Методи проникнення в корпоративні мережі

У наш час проблема безпеки є питанням першорядної важливості, а також однією зі складових успіху компанії. З цієї причини керівники з інформаційної безпеки повинні входити в число перших осіб кожної організацій. Їх завдання — забезпечувати відповідність стратегій захисту інформації діловим інтересам компанії.

Вихід в Інтернет — це безмежні можливості, однак, після підключення ми опиняємося у величезній загальної екосистемі. Важливо розуміти, що біда, що трапилася з однією компанією, обов’язково відіб’ється на інших організаціях. Подія може позначитися не тільки на безпосередніх ділових партнерів постраждалої компанії, але і на організаціях, що діють в абсолютно інших областях.

Наприклад, в разі проникнення в корпоративну мережу часто відбувається витік особистих відомостей (PII). Ці дані можна не тільки продати або використати в шахрайських цілях, але і розробити на їх основі фішингові атаки. Чим більше докладною інформацією про вас має зловмисник, тим реалістичніше буде виглядати надійшло від нього повідомлення електронної пошти, яке ви напевно відкриєте.

Багато з використовуваних в даний час технологій атак схожі з тими, які застосовувалися кілька років тому: наприклад, обхід недостатньо надійних паролів, фішингові атаки і завантаження шкідливого програмного забезпечення з заражених або рекламних сайтів. У той же час зловмисники розробили більш ефективні і непомітні техніки проникнення в мережеві системи завдяки деяким широко поширеним вразливостей.

До їх числа відносяться соціальні мережі та інформаційні служби. Безліч людей в тій чи іншій мірі користується соціальними мережами, наприклад Facebook, LinkedIn або сайтами інтернет-знайомств. Це дозволяє зловмисникам проникати на призначені для користувача пристрої за допомогою соціальної інженерії, граючи на людських емоціях. Принципи соціальної інженерії залишилися тими ж, але змінилися напрямки атак. Також слід врахувати той факт, що зловмисники використовують різні методи ухилення. Вони все ефективніше приховують атаки, тому традиційних антивірусних програм часто недостатньо для надійного захисту.

З числа нових технологій незаконного проникнення в корпоративні мережі найчастіше використовуються фішингові атаки. До фішингових повідомлень електронної пошти прикріплюються шкідливі коди або посилання, які на перший погляд викликають довіру і спонукають користувачів перейти по ним.

Ще одна використовувана зловмисниками технологія — приховане завантаження. Злочинці проникають на веб-сайт, встановлюють шкідливий Java-скрипт, який перенаправляє користувача на інший веб-сайт, що містить шкідливі дані (програму). Ці дані у фоновому режимі завантажуються на пристрій користувача. Перед проведенням цільової атаки зловмисники витрачають багато місяців на дослідження веб-сайтів, часто відвідуваних співробітниками компаній, і зараження цих сайтів.

Наступна технологія — шкідлива реклама. Принцип цієї атаки схожий з прихованою завантаженням, однак в цьому випадку зловмисник заражає рекламні сайти. Один заражений рекламний сайт в свою чергу може заразити тисячі інших. Вражаючий результат без особливих зусиль!

Останніми за поширеністю, але від цього не менш небезпечними є атаки мобільних пристроїв. Багато в чому вони схожі на описані вище атаки. Відмінність полягає в тому, що метою цього виду атак є мобільні пристрої. Крім того, шкідливі програми можуть потрапляти на пристрої в SMS-повідомленнях або під виглядом інших додатків, таких як ігри чи порнографія.

Після успішного проникнення в мережу призначеного для користувача пристрої, наприклад ноутбука, настільного комп’ютера або мобільного пристрою, зловмисник починає завантажувати шкідливе програмне забезпечення та інструменти для досягнення своєї протиправної мети. Як правило, необхідні зловмисникам дані знаходяться не на робочих станціях, а на серверах, базах даних і в інших розташуваннях. Нижче описані етапи діяльності злочинців після проникнення в мережу:

Завантаження інших інструментів і шкідливих програм з метою подальшого зараження мережі.
Дослідження мережі і пошук інших серверів, що містять дані, необхідні зловмисникам. Пошук сервера Active Directory, що містить всі імена користувачів і паролі. У разі вдалого злому цього сервера злочинці отримають вільний доступ до всіх ресурсів.

Виявивши дані, зловмисники знайдуть і сервер додаткового розподілу інформації для копіювання цих даних. В ідеалі це сервер зі стабільною працездатністю (не схильний до збоїв) з ​​доступом до Інтернету. Дані будуть повільно передаватися на сервери зловмисників, які розташовуються в хмарах, що утруднює блокувати передачу даних.

Перебуваючи в мережі протягом тривалого часу, зловмисники здатні зібрати доступні дані будь-яких типів. Більшість корпоративних даних зберігаються в електронному вигляді. Чим довше зловмисники залишаються невиявленими, тим більше вони дізнаються про ділову активність компанії і потоках даних. Як приклад можна привести атаку Carbanak. В ході цієї атаки злочинцям вдалося виявити комп’ютери адміністраторів, отримати доступ до камер відеоспостереження, простежити за роботою банківських службовців і зафіксувати всі їх дії в найдрібніших подробицях. Імітуючи ці дії, зловмисники вивели гроші за допомогою власних систем.

Як я сказав раніше, проникнення в мережу часто відбувається при переході користувача по шкідливої ​​посиланням. Потрапивши в мережу пристрою, зловмисники шукають необхідні їм дані, переміщаючись по мережі. Ось чому так важлива сегментація мережі. По-перше, вона знижує негативні наслідки порушення безпеки за рахунок ізоляції проникли в мережу шкідливих елементів на якій-небудь ділянці і запобігання їх поширення по мережі. Також завдяки сегментації конфіденційні дані можна перемістити в область з більш високим рівнем захисту, звідки зловмисникам буде складніше отримати їх. І, нарешті, відстежити все, що відбувається в мережі і зробити захисний периметр непроникним фізично неможливо, тому що мережа — занадто велика і складна структура. Тому доцільніше ізолювати важливі дані і зосередитися на спостереженні за шляхами підходу до цих даних.