Incident Response
Нашим экспертам часто приходится оказывать компаниям экстренную помощь: их вызывают для реагирования на инциденты, они помогают проводить (или полностью берут на себя) расследования или анализируют инструменты злоумышленников. По итогам работы в 2020 году эксперты собрали множество данных, позволяющих посмотреть на современный ландшафт угроз, спрогнозировать наиболее вероятные сценарии атак и выбрать адекватные защитные тактики. В числе прочего они проанализировали и самые распространенные начальные векторы проникновения злоумышленников в корпоративные сети.
При изучении киберинцидента начальному вектору атаки всегда уделяется особое внимание: чтобы избежать повторения инцидента, важно выявить слабое место в защитных системах. К сожалению, сделать это удается не всегда. В некоторых случаях это невозможно из-за времени, прошедшего между инцидентом и его обнаружением, а иногда жертва просто не хранит логи, плюс следы часто уничтожаются (как случайно, так и намеренно). Кроме того, в последнее время злоумышленники все чаще атакуют через цепочку поставок, так что начальный вектор в принципе следует искать не у конечной жертвы, а у какого-нибудь разработчика сторонней программы или поставщика сервиса. Однако более чем в половине инцидентов начальный вектор атаки удалось определить достаточно точно.
Первое и второе места: брутфорс и эксплуатация публично-доступных приложений
Первое и второе места делят два вектора атаки — брутфорс (то есть перебор паролей) и эксплуатация уязвимостей в приложениях и системах, доступных вне периметра компании. Каждый из них становился начальным вектором проникновения в 31,58% случаев.
Как и в прошлые годы, эксплуатация уязвимостей продолжает оставаться наиболее эффективным методом начала атаки. А более детальный анализ используемых уязвимостей позволяет говорить о том, что это прежде всего связано с несвоевременной установкой обновлений, так как на момент атаки все используемые уязвимости имели соответствующие исправления, и их установка позволила бы избежать последствий этих атак.
Всплеск популярности атак с применением брутфорса можно объяснить массовым переходом компаний на удаленную работу и использованием сервисов удаленного доступа. Но при этом многие организации не уделили вопросам безопасности должного внимания. В связи с этим количество атак на механизмы таких подключений мгновенно выросло. Например, с марта по декабрь 2020 года количество брутфорс-атак на протокол RDP увеличилось на 242%.
Третье место: вредоносная почта
В 23,68% случаев начальным вектором атаки стали вредоносные письма: как рассылки, непосредственно содержащие зловреды, так и фишинговые послания. Оба метода давно используются и операторами целевых атак, и авторами массовых рассылок.
Четвертое место: компрометация сторонних веб-сайтов (drive-by compromise)
Иногда злоумышленники пытаются получить доступ к системе, используя сторонний веб-сайт, на который жертва заходит периодически или попадает случайно. Сайт снабжается скриптами, которые используют какую-либо уязвимость в браузере пользователя, чтобы выполнить вредоносный код на его машине, или же через него злоумышленники обманом заставляют жертву скачать и установить зловред. Такую тактику иногда применяют в достаточно сложных APT-атаках. В 2020 году данная тактика стала начальным вектором атаки в 7,89% случаев.
Пятое и шестое место: переносные накопители и инсайдеры
Зловред, проникающий в системы компании через USB-диск — сейчас редко встречающийся вариант. Вирусы, которые могли случайно заразить флеш-накопитель, практически ушли в прошлое, а сценарий с целевым подбрасыванием вредеоносной флешки не слишком надежен. Тем не менее, такой метод в ответе за 2,63% начальных проникновений в сеть.
Столько же (2,63%) инцидентов произошло из-за действий инсайдеров — сотрудников, которые по тем или иным причинам решили причинить вред собственной компании.
Разумеется, это далеко не вся полезная информация, которую можно найти в отчете наших экспертов. Полный текст «Реагирование на инциденты: аналитический отчет 2021 г.» доступен вот здесь.
Как минимизировать вероятность киберинцидента и его последствия
Согласно выводам наших экспертов, большинства этих инцидентов можно было избежать. По итогам изучения первопричин они рекомендуют:
- Установить и контролировать жесткую парольную политику и внедрить методы многофакторной аутентификации.
- Исключить использование сервисов удаленного управления из общего доступа.
- Своевременно устанавливать обновления ПО.
- Снабдить почтовые серверы средствами выявления фишинга и зловредов.
- Периодически повышать осведомленность сотрудников о современных киберугрозах.
Кроме того, не стоит забывать о важности правильной настройки систем аудита и логирования, а также применения систем резервного копирования данных — это не только облегчит расследование, но и, возможно, позволит минимизировать ущерб при оперативном реагировании на инцидент.
