Уязвимые точки: как бизнесу защититься от хакерских атак на конечные устройства сотрудников
Одни из популярных точек входа для хакеров в корпоративные IT-системы — это конечные устройства. Так называют любое оборудование, которое подключается к компьютерной сети и обменивается с ней данными. Это, например, рабочие инструменты сотрудников (ноутбуки, планшеты, смартфоны), корпоративные серверы, сетевое оборудование. Такая «востребованность» у злоумышленников объясняется массовостью конечных устройств: они используются повсеместно и занимают большой объем инфраструктуры. К тому же пользователи часто не IT-специалисты и не эксперты в области информационной безопасности (ИБ). Они могут не сильно разбираться в вопросах киберзащиты.
О том, как меняется ландшафт кибератак на конечные устройства и что делать бизнесу, чтобы защитить свою компанию, IT-системы и финансы, рассказывает руководитель направления по развитию защиты конечных устройств Positive Technologies Юрий Бережной.
Хакеры все чаще атакуют конкретные компании
Большинство кибератак целенаправленные: в прошлом году таких было 78% от общего количества. В отличие от массовых атак, которые обычно подразумевают распространение обезличенных фишинговых рассылок среди пользователей, целевые готовятся под определенную компанию.
Такая атака состоит из нескольких этапов. Сначала преступная группировка проводит расследование: злоумышленники используют социальную инженерию и другие инструменты, чтобы проанализировать, кто работает в организации и чем именно они занимаются, на какие ресурсы заходят, какое ПО и оборудование используют. Исходя из полученных результатов подбирается комбинация техник, способных сделать атаку как можно более результативной.
Чаще всего преступники внедряют шпионское программное обеспечение, ПО для удаленного доступа и вирусы-шифровальщики. Последние применяют, чтобы остановить критичный бизнес-процесс и потребовать выкуп за расшифровку файлов. Компании приходится идти на поводу у хакеров или же заново разворачивать IT-инфраструктуру. Второй вариант для многих может стать неподъемной задачей.
«Подобные атаки происходят в финансовой индустрии, госсекторе, сфере образования, промышленности. Жертвами также становятся торговые компании. Хакеров интересует любая организация, которая предоставляет важные услуги большому количеству пользователей. В этом случае приостановка процесса будет стоить дорого».
Злоумышленники могут использовать в том числе легитимные инструменты. Это, например, PowerShell — средство автоматизации от Microsoft из оболочки с интерфейсом командной строки и языка сценариев. Оно позволяет выполнять практически любое действие на конечном устройстве. С его помощью хакеры могут получить доступ к девайсу, чтобы открыть или загрузить какие-либо файлы.
Задачу усложняет искусственный интеллект
Хакеры научились использовать возможности нейросетей — сегодня они сильно сокращают время на написание вредоносного ПО. Популярные средства защиты, такие как антивирусы, проводят анализ на основе сигнатур (идентификации известных угроз по готовой базе данных). А с помощью нейросетей злоумышленники могут видоизменить код так, что распознать его не получится.
Более того, мы уже видим, как появляются специализированные даркнет-ресурсы. В них даже хакеры с не самыми обширными компетенциями в разработке могут сформировать с помощью нейросетей готовый файл с измененной сигнатурой.
Также искусственный интеллект используется и в социальной инженерии. Хакеры могут, например, создать дипфейки, сделать эмуляцию голоса и на звонке выдать себя за знакомого, коллегу, руководителя. Потом они просят жертву открыть файл, дать доступ к аккаунту, перевести деньги. Яркий пример — в этом году специалист из транснациональной компании перевел мошенникам $25 млн после видеосозвона с дипфейками финансового директора и других коллег.
По данным Positive Technologies, 74% организаций считают себя недостаточно защищенными от сложных и целевых атак. Но на самом деле на рынке достаточно решений в области кибербезопасности конечных устройств.
Решения для защиты: от базовой до комплексной
Эффективное решение: и для офиса, и для удаленных сотрудников
В последние годы особой популярностью пользуются EDR. Спрос на них вырос в период пандемии, когда много конечных устройств оказалось за пределами корпоративной IT-инфраструктуры. Девайсы начали активно использовать в том числе в личных целях. В результате они оказались уязвимыми.
Хакеры воспользовались этим — адаптировались к новым реалиям и заодно усовершенствовали инструменты для кибератак. В частности, в рамках целенаправленных атак они начали проводить длительную и глубокую разведку, постепенно распространяя свое ПО на устройствах и месяцами собирая нужную информацию.
После COVID-19 удаленная работа и вовсе вошла в норму. А в России распространение дистанционки подстегивает еще и дефицит кадров. В первый месяц лета 2024 года компаний, в которых удаленно работало более 30% персонала, было не больше 4%. К осени их количество выросло до 11%.
Ответом на новые вызовы и стали EDR-продукты.
«Например, в Positive Technologies мы создали MaxPatrol EDR, который позволяет вовремя выявлять сложные угрозы и целевые атаки и реагировать на них».
Его работу можно условно разделить на три части. Первая — непрерывный сбор событий. С помощью собственных модулей наш продукт взаимодействует с широким кругом операционных систем (в том числе отечественных) и получает информацию о поведении всех конечных устройств.
Второй этап — постоянный анализ миллионов найденных событий для своевременного обнаружения атак. Это как анализ подозрительных файлов, так и поведенческий анализ, который позволяет скоррелировать цепочки событий с техниками хакеров. В процессе используются знания экспертов Positive Technologies за более чем 20 лет работы. На этом этапе продукт информирует аналитика или специалиста по ИБ об угрозе и сообщает, где именно замечено подозрительное поведение и на какие устройства оно распространилось.
И третий этап — реагирование. Мы предоставляем ИБ-службе широкий инструментарий и разные модули. Например, можно мгновенно удалить файл или поместить его в карантин, отключить конечное устройство от сети, заблокировать учетную запись, сделать синкхолинг (перенаправить трафик, чтобы хакеры не смогли давать команды скомпрометированному устройству). Все это позволяет гибко пресекать атаку до того, как она нанесет вред бизнесу, а уже потом расследовать инцидент.
В тренде гибкое реагирование и автономность
В кибербезопасности именно реагирование — очень щепетильная тема. Важно и остановить злоумышленников, и при этом не мешать работе сотрудников.
«MaxPatrol EDR отличает возможность гибко настраивать ручное и автоматическое реагирование для разных групп конечных устройств с помощью политик».
Так можно оптимизировать время и ресурсы отдела ИБ. Специалисты по кибербезопасности могут заранее обсудить со своими коллегами из IT- и других команд, как именно и в каких случаях действовать.
Например, в отдельную группу можно выделить отдел продаж. Его сотрудники часто ездят к клиентам с ноутбуками и при этом редко хранят на них критически важные файлы. Их презентации как минимум продублированы в облаке. Если удалить файл или завершить процесс на устройстве, глобально на компанию это не повлияет. Для такой группы сотрудников логично включить именно автоматическое реагирование.
А если речь идет, например, об отделе финансов или бухгалтерии, стоит приоритезировать группу девайсов и настроить для них ручное реагирование. Это позволит специалисту подключиться к системе и разобраться в ситуации прежде, чем предпринимать какие-то действия. Таким образом важные файлы вроде годовых отчетов не удалятся автоматически.
«Важно, что MaxPatrol EDR работает на конечном устройстве автономно. Не имеет значения, находится ли ноутбук или другой девайс в корпоративной сети или в принципе онлайн».
Модули обнаружения и реагирования в любом случае будут активны после развертывания. Это отличает MaxPatrol EDR от некоторых других продуктов, которые обмениваются информацией с родительским административным решением на сервере для анализа данных и принятия решений.
Эффективность MaxPatrol EDR подтверждает успешный опыт его использования. В частности, продукт использовался в защите «Игр будущего» — международного мультиспортивного фиджитал-турнира. В 2024 году соревнования собрали порядка 2000 участников из 116 стран, количество просмотров на стриминговых площадках превысило 150 млн.
За несколько дней мы смогли развернуть средства безопасности на всю IT-инфраструктуру. А благодаря сети квалифицированных партнеров нам удавалось подключать абсолютно разные устройства буквально на лету, соблюдая условия SLA по срокам реагирования на инциденты. В итоге получилось обеспечить кибербезопасность турнира и мониторинг со всех устройств площадки.
Также мы дважды участвовали в Standoff — открытой кибербитве. Белые хакеры атакуют копии инфраструктур компаний из разных отраслей для проверки их киберустойчивости. Со своей стороны мы помогли в защите IT-инфраструктуры энергетического предприятия. Из преимуществ MaxPatrol EDR его представители отмечали глубокое информирование об атаках и возможности реагирования.
Будущее за диверсификацией
Мы постоянно анализируем новые техники киберпреступников и добавляем как экспертизу в MaxPatrol EDR. В ноябре планируем выпустить обновление, чтобы повысить уровень кастомизации продукта и упростить его администрирование. И конечно, будем выстраивать интеграцию с другими классами продуктов. Это позволит отслеживать больше цепочек атак.
«Наша конечная цель — предоставить российским компаниям не просто EDR, а возможность настройки комплексного решения. Оно будет анализировать и предотвращать все недопустимые события (то есть те, которые критично повлияют на деятельность организации, будь то остановка конвейера, утечка данных или потеря денег)».
За последние годы сотрудники, работающие в области ИБ в России, получили уникальный опыт отражения атак. Сейчас он интересен многим глобальным компаниям. Соответственно, есть планы и на международное масштабирование: мы уже видим интерес ряда клиентов не только из ближнего зарубежья, но и на других континентах.
Такой спрос неудивителен, ведь, как показал недавний сбой CrowdStrike, в сфере кибербезопасности важно всегда иметь второе мнение и план Б. Необходимо диверсифицировать риски, но делать это с учетом ценности, которую представляют конкретные активы для бизнеса. В этом случае, даже если в одной системе защиты по каким-либо причинам произойдет сбой, прерывать работу не придется.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
О том, как меняется ландшафт кибератак на конечные устройства и что делать бизнесу, чтобы защитить свою компанию, IT-системы и финансы, рассказывает руководитель направления по развитию защиты конечных устройств Positive Technologies Юрий Бережной.
Хакеры все чаще атакуют конкретные компании
Большинство кибератак целенаправленные: в прошлом году таких было 78% от общего количества. В отличие от массовых атак, которые обычно подразумевают распространение обезличенных фишинговых рассылок среди пользователей, целевые готовятся под определенную компанию.
Такая атака состоит из нескольких этапов. Сначала преступная группировка проводит расследование: злоумышленники используют социальную инженерию и другие инструменты, чтобы проанализировать, кто работает в организации и чем именно они занимаются, на какие ресурсы заходят, какое ПО и оборудование используют. Исходя из полученных результатов подбирается комбинация техник, способных сделать атаку как можно более результативной.
Чаще всего преступники внедряют шпионское программное обеспечение, ПО для удаленного доступа и вирусы-шифровальщики. Последние применяют, чтобы остановить критичный бизнес-процесс и потребовать выкуп за расшифровку файлов. Компании приходится идти на поводу у хакеров или же заново разворачивать IT-инфраструктуру. Второй вариант для многих может стать неподъемной задачей.
«Подобные атаки происходят в финансовой индустрии, госсекторе, сфере образования, промышленности. Жертвами также становятся торговые компании. Хакеров интересует любая организация, которая предоставляет важные услуги большому количеству пользователей. В этом случае приостановка процесса будет стоить дорого».
Злоумышленники могут использовать в том числе легитимные инструменты. Это, например, PowerShell — средство автоматизации от Microsoft из оболочки с интерфейсом командной строки и языка сценариев. Оно позволяет выполнять практически любое действие на конечном устройстве. С его помощью хакеры могут получить доступ к девайсу, чтобы открыть или загрузить какие-либо файлы.
Задачу усложняет искусственный интеллект
Хакеры научились использовать возможности нейросетей — сегодня они сильно сокращают время на написание вредоносного ПО. Популярные средства защиты, такие как антивирусы, проводят анализ на основе сигнатур (идентификации известных угроз по готовой базе данных). А с помощью нейросетей злоумышленники могут видоизменить код так, что распознать его не получится.
Более того, мы уже видим, как появляются специализированные даркнет-ресурсы. В них даже хакеры с не самыми обширными компетенциями в разработке могут сформировать с помощью нейросетей готовый файл с измененной сигнатурой.
Также искусственный интеллект используется и в социальной инженерии. Хакеры могут, например, создать дипфейки, сделать эмуляцию голоса и на звонке выдать себя за знакомого, коллегу, руководителя. Потом они просят жертву открыть файл, дать доступ к аккаунту, перевести деньги. Яркий пример — в этом году специалист из транснациональной компании перевел мошенникам $25 млн после видеосозвона с дипфейками финансового директора и других коллег.
По данным Positive Technologies, 74% организаций считают себя недостаточно защищенными от сложных и целевых атак. Но на самом деле на рынке достаточно решений в области кибербезопасности конечных устройств.
Решения для защиты: от базовой до комплексной
- EDR (Endpoint Detection & Response) — EPP (Endpoint Protection) — самая базовая защита. Это антивирусы, которые за последние 15–20 лет уже стали для всех привычными. Как показывает наше исследование, 24% компаний верят, что для защиты устройств этого достаточно. На деле это обычно не так.
- EDR (Endpoint Detection & Response) — технология проактивного обнаружения нетиповых угроз и целевых атак на конечных устройствах. Это продукт более высокого уровня, который обнаруживает техники и тактики атакующих и может реагировать на них. Он работает не с отдельным файлом, как антивирус, а с целой цепочкой действий: анализирует поведение пользователя, работу ПО на конечном устройстве, взаимодействие между программами.
- XDR (Extended Detection and Response) — класс комплексных решений, которые могут включать в себя сразу несколько продуктов: EPP, EDR, сетевой мониторинг, анализ уязвимостей в корпоративной сети и т. д. Разные производители по-своему трактуют этот термин.
Эффективное решение: и для офиса, и для удаленных сотрудников
В последние годы особой популярностью пользуются EDR. Спрос на них вырос в период пандемии, когда много конечных устройств оказалось за пределами корпоративной IT-инфраструктуры. Девайсы начали активно использовать в том числе в личных целях. В результате они оказались уязвимыми.
Хакеры воспользовались этим — адаптировались к новым реалиям и заодно усовершенствовали инструменты для кибератак. В частности, в рамках целенаправленных атак они начали проводить длительную и глубокую разведку, постепенно распространяя свое ПО на устройствах и месяцами собирая нужную информацию.
После COVID-19 удаленная работа и вовсе вошла в норму. А в России распространение дистанционки подстегивает еще и дефицит кадров. В первый месяц лета 2024 года компаний, в которых удаленно работало более 30% персонала, было не больше 4%. К осени их количество выросло до 11%.
Ответом на новые вызовы и стали EDR-продукты.
«Например, в Positive Technologies мы создали MaxPatrol EDR, который позволяет вовремя выявлять сложные угрозы и целевые атаки и реагировать на них».
Его работу можно условно разделить на три части. Первая — непрерывный сбор событий. С помощью собственных модулей наш продукт взаимодействует с широким кругом операционных систем (в том числе отечественных) и получает информацию о поведении всех конечных устройств.
Второй этап — постоянный анализ миллионов найденных событий для своевременного обнаружения атак. Это как анализ подозрительных файлов, так и поведенческий анализ, который позволяет скоррелировать цепочки событий с техниками хакеров. В процессе используются знания экспертов Positive Technologies за более чем 20 лет работы. На этом этапе продукт информирует аналитика или специалиста по ИБ об угрозе и сообщает, где именно замечено подозрительное поведение и на какие устройства оно распространилось.
И третий этап — реагирование. Мы предоставляем ИБ-службе широкий инструментарий и разные модули. Например, можно мгновенно удалить файл или поместить его в карантин, отключить конечное устройство от сети, заблокировать учетную запись, сделать синкхолинг (перенаправить трафик, чтобы хакеры не смогли давать команды скомпрометированному устройству). Все это позволяет гибко пресекать атаку до того, как она нанесет вред бизнесу, а уже потом расследовать инцидент.
В тренде гибкое реагирование и автономность
В кибербезопасности именно реагирование — очень щепетильная тема. Важно и остановить злоумышленников, и при этом не мешать работе сотрудников.
«MaxPatrol EDR отличает возможность гибко настраивать ручное и автоматическое реагирование для разных групп конечных устройств с помощью политик».
Так можно оптимизировать время и ресурсы отдела ИБ. Специалисты по кибербезопасности могут заранее обсудить со своими коллегами из IT- и других команд, как именно и в каких случаях действовать.
Например, в отдельную группу можно выделить отдел продаж. Его сотрудники часто ездят к клиентам с ноутбуками и при этом редко хранят на них критически важные файлы. Их презентации как минимум продублированы в облаке. Если удалить файл или завершить процесс на устройстве, глобально на компанию это не повлияет. Для такой группы сотрудников логично включить именно автоматическое реагирование.
А если речь идет, например, об отделе финансов или бухгалтерии, стоит приоритезировать группу девайсов и настроить для них ручное реагирование. Это позволит специалисту подключиться к системе и разобраться в ситуации прежде, чем предпринимать какие-то действия. Таким образом важные файлы вроде годовых отчетов не удалятся автоматически.
«Важно, что MaxPatrol EDR работает на конечном устройстве автономно. Не имеет значения, находится ли ноутбук или другой девайс в корпоративной сети или в принципе онлайн».
Модули обнаружения и реагирования в любом случае будут активны после развертывания. Это отличает MaxPatrol EDR от некоторых других продуктов, которые обмениваются информацией с родительским административным решением на сервере для анализа данных и принятия решений.
Эффективность MaxPatrol EDR подтверждает успешный опыт его использования. В частности, продукт использовался в защите «Игр будущего» — международного мультиспортивного фиджитал-турнира. В 2024 году соревнования собрали порядка 2000 участников из 116 стран, количество просмотров на стриминговых площадках превысило 150 млн.
За несколько дней мы смогли развернуть средства безопасности на всю IT-инфраструктуру. А благодаря сети квалифицированных партнеров нам удавалось подключать абсолютно разные устройства буквально на лету, соблюдая условия SLA по срокам реагирования на инциденты. В итоге получилось обеспечить кибербезопасность турнира и мониторинг со всех устройств площадки.
Также мы дважды участвовали в Standoff — открытой кибербитве. Белые хакеры атакуют копии инфраструктур компаний из разных отраслей для проверки их киберустойчивости. Со своей стороны мы помогли в защите IT-инфраструктуры энергетического предприятия. Из преимуществ MaxPatrol EDR его представители отмечали глубокое информирование об атаках и возможности реагирования.
Будущее за диверсификацией
Мы постоянно анализируем новые техники киберпреступников и добавляем как экспертизу в MaxPatrol EDR. В ноябре планируем выпустить обновление, чтобы повысить уровень кастомизации продукта и упростить его администрирование. И конечно, будем выстраивать интеграцию с другими классами продуктов. Это позволит отслеживать больше цепочек атак.
«Наша конечная цель — предоставить российским компаниям не просто EDR, а возможность настройки комплексного решения. Оно будет анализировать и предотвращать все недопустимые события (то есть те, которые критично повлияют на деятельность организации, будь то остановка конвейера, утечка данных или потеря денег)».
За последние годы сотрудники, работающие в области ИБ в России, получили уникальный опыт отражения атак. Сейчас он интересен многим глобальным компаниям. Соответственно, есть планы и на международное масштабирование: мы уже видим интерес ряда клиентов не только из ближнего зарубежья, но и на других континентах.
Такой спрос неудивителен, ведь, как показал недавний сбой CrowdStrike, в сфере кибербезопасности важно всегда иметь второе мнение и план Б. Необходимо диверсифицировать риски, но делать это с учетом ценности, которую представляют конкретные активы для бизнеса. В этом случае, даже если в одной системе защиты по каким-либо причинам произойдет сбой, прерывать работу не придется.
