Защита личных данных пользователя прежде всего — разбор действий злоумышленников

Недавно компания по кибербезопасности FireEye сообщила о нападении группы правительственных хакеров. В рамках этой атаки злоумышленники даже украли инструменты так называемой красной команды FireEye, которые проводят кибератаки, максимально близкие к реальным, для проверки систем безопасности своих клиентов.

Это значит, что мошенники не меняя подхода во взаимодействии, атаковали большое количество клиентов компании. Соответственно, система восприняла их действия как должное, поскольку они действовали так, как это делали CrowdStrike. Существенное отличие лишь в том, что почти все эти атаки, ориентированные на использование собранных личных данных. И, в общем, если заметить это — можно отбить огромное количество атак.

Сегодня злоумышленники дают предпочтение именно таким атакам. Собрать личные данные пользователей совсем не сложно, а отследить этот сбор — задача не из легких. Поэтому эти преступления гораздо реже разоблачают. Кроме того, способ является дешевле других видов мошенничества — для этого требуется минимальное количество ресурсов.

Приведем пример: учетные данные можно использовать для доступа к важным пользовательским ресурсам. К таким учетным данным относятся логин и пароль сотрудников компаний, важных должностных лиц и клиентов. Так, даже хорошо продуманная ИТ-инфраструктура, внедряет соответствующие средства контроля доступа, может пострадать от мошенников, которые перехватили информацию в режиме реального времени. Именно поэтому важно устанавливать дополнительные средства проверки, такие как двухфакторная аутентификация.Таким образом, информации для входа нужно больше и предоставить ее может только сам пользователь.

 

SolarWinds Sunburst: выявление и предотвращение Lateral Movement Detection в режиме реального времени

Цепь поставок SolarWinds был атакован троянизированным обновлением программного обеспечения. Для этого злоумышленниками были использованы действующие аккаунты, поскольку к ним можно легко получить доступ. Мошенники использовали несколько учетных записей, чтобы попасть в сеть жертвы, усложнив выявление трояна и посторонних действий в профиле. Поскольку Lateral Movement Detection может происходить очень быстро, любые журналы или постанализ сами по себе были бы слишком медленными, чтобы предупредить аналитика по безопасности для уменьшения вреда.

Для того, чтобы предотвратить атаки, нужно постоянно анализировать трафик аутентификации в режиме реального времени и машинное обучение (ML). Используя этот подход, можно обнаружить и остановить другие атаки, например, такие как те, что осуществляются программами Maze. Более того, они являются более медленными, поэтому могут не быть очевидно обозначенными как злонамеренные. Надо тщательно проверять всю информацию.

 

Выявление и реагирование на различные способы атаковать с использованием личных данных пользователя

Чтобы обеспечить защиту предприятий, нужно обновить соответствующие наименования хостов: IP-адреса, URL-адреса, хэши, ключи реестра и другие IOC, тактики, техники и процедуры (TTP) к различным базам данных, включая обозначения двоичных файлов и командно-административных (C2 ) имен хостов как вредные.

Некоторые из инструментов, похищенных вместе с красными инструментами FireEye, действие которых можно отследить, включают:

  • Разведка и эксплуатация Active Directory.
  • Демпинг и кража учетных данных.
  • Злоупотребления и эксплуатация Kerberos.
  • Указаны конкретные инструменты с открытым кодом, в частности SharpHound, ADPassHunt и другие.

 

Вам может понравится
Рубрика: мир IT
Популярные
×
Оставьте свой номер и мы вам перезвоним