Однажды проникнув в сеть, злоумышленник открывает дивный новый мир незнакомой инфраструктуры, в которой он — незваный гость. И ему ничего не известно о вашей сети и о том, на каких узлах хранятся пароли и нужные ему данные. Изучение сети и поиск необходимых доступов — основная причина, почему хакерские атаки могут развиваться днями и неделями.
Во время своего путешествия по домену они часто “прыгают” от одного узла сети к другому в попытках развить свою атаку дальше, пока не найдут ту пару логина и пароля, которая даст им полную власть над доменом. И делают они это так же, как и все мы (например, при помощи протокола удаленного рабочего стола (RDP)). Если же администраторы для работы на других узлах используют средство запуска команд PsExec, то злоумышленникам тоже ничего не мешает его использовать, но уже для компрометации других узлов. И как нам тогда различать, где PsExec запустил администратор👨💻, а где — хакер😈? Наверное, это можно было бы сделать вручную: сравнить имена пользователей и узлы, с которых и на которые были выполнены команды. Но лучше бы, чтобы NTA-система умела делать это сама.
Или, например, почему нельзя написать простое правило, чтобы вовремя замечать эксфильтрацию (несанкционированную передачу) данных? А потому, что такое правило будет давать большое число ложных срабатываний, из-за чего на него просто перестанут обращать внимание. Ведь рядовые сотрудники тоже скачивают и выкачивают данные. Это похоже на историю с мальчиком, который часто кричал: «Волки!»
С сервисами облачного хранения («Яндекс.Диск», Dropbox) тоже не все так просто: их любят все. И если ими пользуются почти во всех организациях, создавать инцидент на каждое обращение к Dropbox просто не имеет никакого смысла. А что, если написать правило на передачу большого объема данных? Тогда у каждой организации будут свои нормы: где-то часто используют Dropbox, где-то редко. Теперь написание качественного правила кажется невыполнимой задачей.
Этот список можно продолжать и продолжать. Там, где средства злоумышленников и пользователей пересекаются, системам защиты становится сложно отличить одно от другого. И преступники этим активно пользуются. Злоумышленники давно освоили технику Living off the land, когда они не применяют свои инструменты, а пользуются теми, что уже есть в системе. Это работает и в сетевой среде: TeamViewer и AnyDesk, которые мы любим за удобство удаленного управления, нравятся и злоумышленникам.
Какой выход❓
Необходим механизм, который сможет гибко адаптироваться под инфраструктуру заказчика и выявлять аномальные всплески только там, где они действительно есть (например, всплески объема трафика и количества сессий, аномалии на одном узле или во всей сети сразу). Необходимо одинаково хорошо профилировать количество RDP-подключений в серверном сегменте или объем трафика, поступающего на DMZ-сервер.
Кажется, что мы нашли такие механизмы поиска аномалий🤔
Хотите узнать? Приходите к нам на лонч PT Network Attack Discovery 12, там я, Кирилл Шипулин, руководитель группы исследования методов обнаружения атак в Positive Technologies, расскажу эти и другие true-crime-истории про экспертизу.
Источник новости: habr.com
