Как обнаружить злоумышленника с помощью анализа трафика
По данным Positive Technologies, 90% организаций, обращающихся за услугами по оценке киберзащищенности, уже взломаны злоумышленниками, при этом они находятся в сетях незаметно несколько месяцев и только потом наносят ущерб. Звучит шокирующе, особенно в контексте 2022 года, когда количество кибератак выросло на 1/5 в сравнении с аналогичным периодом прошлого года. Однако руководитель направления сетевой безопасности Positive Technologies Денис Батранков уверен, что первый шаг по защите компании от угроз информационной безопасности — принять, что хакеры научились проникать в сети, второй — выбрать верную тактику для защиты.
Девять из десяти организаций, заказавших аудит защищенности, в результате выяснили, что уже взломаны внутренним или внешним злоумышленником, — следует из статистики компании Positive Technologies. Только во втором квартале 2022 года злоумышленники реализовали свыше 700 кибератак, 83% из которых пришлись на организации, а остальные — на частных лиц. Из-за взломов каждая вторая компания сталкивается с нарушениями основной деятельности, а другие вынуждены мириться с утечками конфиденциальной информации.
Ты не видишь хакера? А он тебя видит
Когда наши сотрудники экспертного центра безопасности Positive Technologies — PT Expert Security Center, PT ESC при расследовании кибератак находят следы присутствия злоумышленников, чаще всего хакеры «работают» в организации уже не первый месяц, «среднее по больнице» — около 200 дней до обнаружения (результаты наших исследований 2000–2021 годов). Мы видели случаи, когда время проникновения в сеть составляло 30 минут, а максимальное время, которое хакер оставался незамеченным, — 11 лет. Нужно понимать, что на протяжении этого времени злоумышленник имеет доступ ко всей корпоративной информации и может не только просматривать, но и изменять ее.
Человеческий фактор
Эксперты выделяют порядка 17 способов проникновения в сеть компаний: это и простейший подбор паролей, и фишинговые письма по электронной почте, и ссылки на вредоносный код в облачном файлообменнике, и другие способы, более сложные. К последним относятся, например, атака на DNS-серверы организации или использование вредоносных контейнеров в Kubernetes.
Но все же угроза взлома в большинстве случаев исходит не столько от использования сомнительного ПО или деятельности самой компании, сколько от умений (или желаний) рядовых сотрудников соблюдать элементарные правила кибергигиены. Например, один сотрудник рассылает коллегам пиратский софт, а внутри оказывается троян. Второй сотрудник использует один и тот же пароль для разных внутренних систем. А третий регулярно заходит по всем ссылкам, которые получает в почту, и забывает об этом сказать специалисту по ИБ. В таком случае, конечно, никакие даже самые продвинутые средства защиты не смогут предотвратить взлом.
83% атак, совершенных во втором квартале 2022 года, были направлены на организации (данные Positive Technologies).
Даже небольшие ошибки в обеспечении информационной безопасности могут привести к недопустимым последствиям для компании: к потере значительной части прибыли, остановке производства, использованию ресурсов для атак на другие компании и даже к закрытию бизнеса. И такие случаи уже были.
Интересно, что даже технологические лидеры IT-рынка не могут быть на 100% защищены от кибератак. Например, в августе 2022 года команда информационной безопасности Cisco (а именно Cisco Talos) опубликовала отчет об атаке на инфраструктуру компании, которая произошла в мае. Злоумышленники проникли в корпоративную сеть и даже получили доступ к критически важным ресурсам — дошли до контроллеров домена (серверы, имеющие доступ к сетевым ресурсам в рамках одного конкретного домена). В итоге утекли данные «облака» одного пользователя, которые не относились к конфиденциальной информации. Атаку расследовали, компания не пострадала. Могла ли Cisco предотвратить этот инцидент на раннем этапе? Да, если бы специалисты по ИБ тщательнее изучали результаты сканирования трафика продуктами класса network traffic analysis (NTA).
Как защититься
Первое, с чего рекомендуем начать, — рассказать сотрудникам основные принципы кибергигиены. Сюда входят обучение и регулярные проверки знаний по парольным политикам (нужны сложные, несловарные пароли и, главное, разные пароли для разных сервисов), а также проверки по киберграмотности: как отличить фишинг, социнженерию, как работать со своими персональными данными, обращаться с логинами и паролями.
И второе действие уже касается служб ИТ и ИБ: нужно начать отслеживать признаки шагов злоумышленника внутри сети. 2022 год показал, что проникновение в инфраструктуру все равно не предотвратить, если цель хакера — именно ваша компания. И задачи службы ИБ — вовремя это обнаружить. Чем быстрее вашему ИБ-подразделению удастся обнаружить злоумышленника, тем меньший ущерб ждет вашу компанию и тем меньше временных и материальных ресурсов придется потратить на устранение «дыр». Поэтому важно максимально сократить время скрытого присутствия — снизить среднее время обнаружения компрометации с 200 дней до нескольких часов или даже минут.
Продукт-помощник
С указанными угрозами может справиться продукт-визионер для анализа трафика и обнаружения атак, созданный компанией Positive Technologies. Еще в 2016 году мы создали PT Network Attack Discovery (PT NAD) (0+) — программное решение класса NTA. Это система, которая позволяет выявлять вредоносные действия как внутри сети, так и на ее периметре, анализируя проходящий в сети трафик. Отличительной особенностью системы является то, что она записывает весь трафик внутри компании, чтобы во время расследования аналитики могли найти в трафике артефакты атаки, которые ранее могли быть неизвестны. Кроме того, система отслеживает аккаунты сотрудников, от которых идут соединения; страны, трафик которых есть в сети; имена файлов, которые передаются внутри и вовне сети; а затем отправляет файлы на проверку во внешние системы, например в песочницы (в портфеле Positive Technologies — PT Sandbox).
PT NAD входит в топ-5 наиболее успешных продуктов Positive Technologies (по результатам первого полугодия 2022 года рост продаж PT NAD составил 236 %).
PT NAD умеет определять и анализировать трафик 94 различных протоколов передачи данных по 1200 параметрам. Это позволяет максимально эффективно проанализировать внешний и внутренний трафик в инфраструктуре компании, включая как уязвимости, так и нарушения регламентов уже используемых систем. Например, нелегитимное использование майнеров (программных обеспечений, которые добывают криптовалюту за счёт несанкционированного использования ресурсов устройства) и утилит удаленного управления или подключения в сеть компании из-за границы, что может быть нарушением политики безопасности. Также система содержит более 7000 правил определения уже известных атак, которые обновляются сотрудниками экспертного центра безопасности Positive Technologies два раза в неделю. Есть еще правила для выявления аномалий, например медленных сканирований сети.
Аномалия — это отклонение от обычного поведения, а скрытая угроза — событие, которое не обнаруживается имеющимися средствами защиты. Самым частым способом сокрытия действий злоумышленника является шифрование. И PT NAD позволяет выявлять его даже в зашифрованном трафике.
PT NAD находит как аномалии, так и скрытые угрозы на любом этапе их возникновения. Нетипичное поведение любого сотрудника или устройства в сети (не только компьютера, но также веб-камеры, маршрутизатора, принтеров) будет сразу отслежено и блокировано до выяснения обстоятельств происшедшего. Например, однажды в моей практике был такой случай. В компании не было интернета, а 2500 принтеров внутри постоянно пытались синхронизировать время с интернетом, это создавало огромный поток трафика: по сути, это была внутренняя DDoS-атака, сеть атаковала саму себя. Мы выявили причины такой загрузки в первые же минуты анализа сети.
PT NAD можно запустить из установочного файла даже без подключения к интернету. Сам процесс установки займет не более 15 минут. Можно запросить бесплатную пробную версию с нашего официального сайта.
Важно, что даже во время пилотных проектов мы видим внешние атаки и внутренние нарушения (пароли в открытом виде, неправильная настройка сети, майнинг и многое другое). То есть после «пилота» на руках у компании остается полноценный отчет об уже имеющихся уязвимостях и недочетах в ее сетях. После покупки сервиса ретроспективного анализа мы проводим полноценный анализ сетевого трафика клиента и даем рекомендации по расследованию и устранению выявленных атак и подозрительных активностей.
Владельцам бизнеса и руководителям департаментов ИБ нужно принять тот факт, что больше не существует компании, которую нельзя взломать. Каждый месяц это правило подтверждается несколькими громкими случаями кибератак. Чем быстрее топ-менеджмент и IT-службы придут к этому пониманию, тем быстрее они смогут подобрать подходящую систему защиты и предотвратить нежелательные проникновения в свою сеть.
27 октября в 14:00 (мск) Positive Technologies проведет онлайн-запуск новой версии PT NAD для всех, кто заинтересован в защите компании от киберугроз. Эксперты расскажут про актуальные тренды на рынке и новые возможности продукта. Среди всех участников будут разыграны призы. Зарегистрироваться на онлайн-мероприятие можно по ссылке.