Рисунок 1. Портрет участников исследования
Рисунок 1. Портрет участников исследования

Чем дольше хакерам удается скрываться от службы безопасности компании, тем глубже они проникают в ее инфраструктуру и воруют больше данных. Хорошая новость заключается в том, что хотя злоумышленники могут скрыть применение своих инструментов от антивирусного ПО, активность в сетевом трафике спрятать сложнее — для этого хакерам придется вносить изменения в протоколы передачи данных. Для анализа трафика обычно применяются решения класса network attack discovery (NTA).

Недавно мы проанализировали результаты мониторинга сетевой активности в 41 компании, в которых ранее проводились пилотные проекты по внедрению PT NAD и комплекса для раннего выявления сложных угроз (PT Anti-APT). При оценке активности вредоносного ПО также учитывались результаты пилотных проектов по внедрению PT Sandbox

В этой статье мы поделимся основными выводами исследования, а также приведем рекомендации, как компаниям усилить защиту сети от внешних вторжений. 

Главные угрозы ИБ в корпоративных сетях

По итогам исследования мы получили весьма тревожную статистику: в 100% компаний были обнаружены угрозы в инфраструктуре, а в 90% компаний — подозрительная сетевая активность. 

Рисунок 2. Категории выявленных угроз (доли компаний)
Рисунок 2. Категории выявленных угроз (доли компаний)

Рассмотрим подробнее каждую из этих категорий.

Нарушение регламентов ИБ

Рисунок 3. Топ-5 нарушений регламентов ИБ
Рисунок 3. Топ-5 нарушений регламентов ИБ

Нарушения регламентов ИБ выявлены абсолютно в каждой организации. Одно из наиболее частых нарушений — использование ПО для удаленного доступа. В большинстве компаний (59%) применяется TeamViewer, в 21% — Ammyy Admin. Также были замечены LightManager, Remote Manipulator System (RMS), Dameware Remote Control (DWRC), AnyDesk и другие. 

Примечательно, что почти в половине компаний, которые используют ПО для удаленного доступа, установлено одновременно несколько таких программ. Так, например, в одной государственной организации было выявлено сразу пять: Ammy Admin, RMS, AeroAdmin, LiteManager, TeamViewer. 

Мы уже рассказывали о том, как организована удаленная работа в компаниях в России и странах СНГ, где отмечали, что в популярном ПО для удаленного доступа могут содержаться критически опасные уязвимости (например, CVE-2019-11769 позволяет перехватывать учетные данные TeamViewer в открытом виде из памяти процессов). 

Кроме того, используя ПО для удаленного доступа, злоумышленники могут незаметно подключаться к узлам инфраструктуры компании. Поэтому если совсем отказаться от использования ПО для удаленного доступа невозможно, то рекомендуем хотя бы ограничиться одним инструментом и обязательно установить актуальные обновления.

69% компаний используют устаревшие протоколы LLMNR и NetBios. Этот недостаток конфигурации могут использовать злоумышленники для перехвата значений NetNTLMv2 challenge-response, передаваемых по сети, и дальнейшего подбора учетных данных. 

Подозрительная сетевая активность

Рисунок 4. Подозрительная сетевая активность
Рисунок 4. Подозрительная сетевая активность

Переход компаний на удаленную работу повлиял и на сетевую активность — выросла доля подключений во внешнюю сеть по протоколу удаленного доступа RDP (с 3% в 2019 году до 18% — в 2020). Такие подключения должны тщательно контролироваться.

Так, например, в одной промышленной организации PT NAD зафиксировал подключение по RDP на внешний ресурс, содержащий облачное хранилище. В его адрес по протоколам RDP и HTTPS в общей сложности было передано 23 ГБ данных. Злоумышленники могли применить технику T1071 (использование протоколов прикладного уровня) по классификации MITRE ATT&CK, согласно которой нарушители или вредоносное ПО осуществляют скрытную передачу украденных данных на подконтрольные серверы, используя распространенные протоколы прикладного уровня.

В половине промышленных компаний было зафиксировано получение данных с контроллера домена. Сама по себе эта активность легитимная, однако выгрузка состава доменных групп или списка администраторов может также говорить об активности злоумышленников в инфраструктуре компании и быть частью разведки. 

Активность вредоносного ПО

Рисунок 5. ТОП-5 типов активного вредоносного ПО 
Рисунок 5. ТОП-5 типов активного вредоносного ПО 

В 68% анализируемых компаний была обнаружена активность вредоносного ПО. 

В каждой четвертой организации выявлены попытки подключения к засинкхоленным доменам — доменным адресам, которые были ранее замечены во вредоносных кампаниях, а теперь обращения к которым перенаправляются на специальные sinkhole-серверы для недопущения связи ВПО с командными серверами. 

В каждой пятой компании отмечены попытки удаленного запуска процесса. Такая сетевая активность может свидетельствовать о действиях вредоносного ПО. 

В ходе пилотных проектов по мониторингу сетевой активности и выявлению сложных угроз в 2020 году мы столкнулись с активностью 36 семейств вредоносного ПО. Среди них были и такие как шифровальщик WannaCry, банковские трояны RTM, Ursnif и Dridex.

Шпионское ПО AgentTesla было выявлено в трех организациях. Весной 2020 года ВПО Agent Tesla встречался в фишинговых кампаниях, связанных с COVID-19. ВПО было изменено для кражи учетных данных электронной почты из клиента Outlook, а также паролей от WI-FI. 

В каждой четвертой компании была выявлена активность криптомайнеров. Как правило, PT NAD обнаруживал запросы на разрешение доменных имен, относящихся к известным майнинг-пулам, таким как antpool.com, supportxmr.com, minexmr.com, nanopool.org, xmrpool.eu, monerohash.com, io.litecoinpool.org. Злоумышленники могут устанавливать майнеры в нагрузку к основному ВПО или после выполнения своей цели, например, кражи данных. Кроме того, майнеры могут использовать до 80% свободной мощности компьютера, что грозит компаниям существенным снижением их производительности.

Обнаружение любого ВПО в инфраструктуре – это повод для проведения тщательного расследования, поскольку может свидетельствовать о наличии серьезных недостатков в системе безопасности компании.

Попытки эксплуатации уязвимостей в ПО

В каждой третьей компании были отмечены попытки эксплуатации уязвимостей в ПО. Речь идет о попытках атак внутри сети и об успешных атаках для систем, расположенных на периметре. Примечательно, что более чем в половине случаев речь шла об уязвимости CVE-2017-0144 в реализации протокола SMBv1. 

Как правило, уязвимость эксплуатировалась известным шифровальщиком WannaCry. Уязвимость была устранена еще в 2017 году, однако злоумышленники продолжают ее активно использовать, ища в сети уязвимые компьютеры, на которых за 3,5 года так и не было установлено обновление. 

Иногда в компаниях встречаются зараженные компьютеры, которые безуспешно пытаются атаковать уже обновленные устройства. В 2019 году попытки эксплуатации уязвимости CVE-2017-0144 встречались также часто и были выявлены в каждой пятой компании. 

Попытки подбора пароля

Системы мониторинга сетевой активности помогают также выявлять и попытки подбора паролей (26% угроз). Так, например, в одной компании злоумышленники пытались подобрать пароль к системе управления базой данных, веб-интерфейс которой был доступен через интернет. В случае успеха атакующие смогли бы получить доступ к базе данных веб-сайта, в том числе к учетным данным пользователей.

Как защитить сеть от вторжений 

Информационная безопасность на предприятии требует комплексного подхода — необходимо предусмотреть множество факторов, каждый из которых может сыграть решающую роль в отражении кибератак. Более того, приходится учитывать постоянно совершенствующийся арсенал злоумышленников и вовремя обновлять защитные механизмы, а также проводить тренинги среди сотрудников. 

Приведем здесь несколько рекомендаций, как обезопасить корпоративную сеть от основных видов угроз. 

Используйте эффективные технические средства защиты

  • Межсетевой экран (брандмауэр) — первая и совершенно незаменимая линия обороны, которая создает барьер между внутренней и внешними сетями. Брандмауэр может быть аппаратным, программным или смешанного типа. В качестве превентивной меры защиты веб-ресурсов используются межсетевые экраны уровня приложений (web application firewalls).

  • При выборе антивирусного ПО предпочтение стоит отдать решениям, способным обнаруживать скрытое присутствие вредоносных программ и позволяющим выявлять и блокировать вредоносную активность в различных потоках данных — в почтовом, сетевом и веб-трафике, в файловых хранилищах, на веб-порталах. Важно, чтобы выбранное ПО позволяло проверять файлы не только в реальном времени, но и автоматически анализировало уже проверенные ранее, это позволит выявить не обнаруженные ранее угрозы при обновлении баз сигнатур.

  • Также стоит приглядеться к системам антивирусной защиты со встроенной изолированной средой («песочницей») для динамической проверки файлов. Они способны выявлять и блокировать вредоносные файлы в корпоративной электронной почте до момента их открытия сотрудниками. 

  • SIEM-решения позволяют в реальном времени выявлять злонамеренную активность, попытки взлома инфраструктуры, присутствие злоумышленника и принимать оперативные меры по нейтрализации угроз.

  • Система глубокого анализа сетевого трафика (NTA) — продвинутое решение для мониторинга трафика, которое позволяет не только детектировать не обнаруженные ранее факты взлома, но и в режиме реального времени отслеживать сетевые атаки, в том числе запуск вредоносного ПО и хакерских инструментов, эксплуатацию уязвимостей ПО и атаки на контроллер домена. 

  • Специализированные сервисы анти-DDoS позволяют анализировать входящий трафик на предмет аномалий и вовремя предотвращать атаки.

  • Отдельно рекомендуем пристально следить за поддержкой корпоративного ПО в актуальном состоянии, например, с помощью системы централизованного управления обновлениями и патчами. 

 Уделите внимание защите данных

  • Не храните чувствительную информацию в открытом виде или в открытом доступе.

  • Регулярно создавайте резервные копии систем и храните их на выделенных серверах отдельно от сетевых сегментов рабочих систем.

  • Минимизируйте, насколько это возможно, привилегии пользователей и служб.

  • Применяйте двухфакторную аутентификацию там, где это возможно, например для защиты привилегированных учетных записей.

Установите политику в отношении паролей

  • Не допускайте использования слишком простых паролей, предъявите строгие требования к их минимальной длине и сложности.

  • Ограничьте срок использования паролей (не более 90 дней), не допускайте из повторного использования.

  • Смените все стандартные пароли на новые, удовлетворяющие строгой парольной политике.

  • Используйте разные учетные записи и пароли для доступа к различным ресурсам.

Регулярно проверяйте безопасность систем

  • Своевременно обновляйте используемое ПО по мере выхода патчей.

  • Проверяйте и повышайте осведомленность сотрудников в вопросах информационной безопасности.

  • Контролируйте появление небезопасных ресурсов на периметре сети, регулярно проводите инвентаризацию ресурсов, доступных для подключения из интернета, анализируйте защищенность таких ресурсов и устраняйте уязвимости в используемом ПО.

  • Эффективно фильтруйте трафик для минимизации доступных внешнему злоумышленнику интерфейсов сетевых служб. Особое внимание стоит уделять интерфейсам удаленного управления серверами и сетевым оборудованием.

  • Регулярно проводите тестирование на проникновение для своевременного выявления новых векторов атак на внутреннюю инфраструктуру и оценки эффективности принятых мер по защите.

  • Регулярно проводите анализ защищенности веб-приложений, включая анализ исходного кода, с целью выявления и устранения уязвимостей, позволяющих проводить атаки, в том числе на клиентов приложения.

  • Отслеживайте количество запросов к ресурсам в секунду, настройте конфигурацию серверов и сетевых устройств таким образом, чтобы нейтрализовать типичные сценарии атак.

Заключение

Компании стали более осознанно подходить к выбору, пилотированию и внедрению технических средств. По нашим наблюдениям, системы мониторинга сетевой активности стали чаще устанавливать внутри инфраструктуры компании, а не для выявления внешних атак. Такое решение требует хорошего понимания внутренней инфраструктуры и топологии сети, но при этом именно оно позволяет выявить подозрительные действия во внутренней сети компании. 

Результаты мониторинга сетевой активности, полученные в 2020 году, в целом близки к прошлогодним. В каждой компании встречаются нарушения регламентов ИБ: используется ПО для удаленного доступа, устаревшие и незащищенные протоколы передачи данных. 

Вместе с переходом на удаленную работу ожидаемо выросла и доля подключений по RDP. Такие подключения обязательно должны контролироваться, ведь в 2020 году количество атак на протоколы для удаленного доступа выросло более чем в три раза. 

Практически в каждой организации отмечена подозрительная сетевая активность: применяются инструменты для сокрытия трафика, выявлены подозрительные подключения на внешние узлы. Использование NTA-систем позволяет не только вовремя обнаружить подозрительные подключения, но и обратиться к истории сетевой активности узла и проверить, не было ли других подобных попыток.

Может случиться так, что в момент проведения атаки еще не существовало правил обнаружения угроз и индикаторов компрометации, которые доступны сегодня. Поэтому необходимо проверять трафик не только в режиме реального времени, но и проводить ретроспективный анализ с учетом новой информации. Сохранение копий трафика и повторный его анализ позволяют провести детальное расследование и обнаружить действия злоумышленника даже для тех событий, которые произошли некоторое время назад.   

Полная версия исследования доступна по ссылке.