Методы проникновения в корпоративные сети
Проблема безопасности является вопросом первостепенной важности, а также одной из составляющих успеха компании. По этой причине руководители по информационной безопасности должны входить в число первых лиц каждой организаций. Их задача — обеспечивать соответствие стратегий защиты информации деловым интересам компании.
Выход в Интернет — это безграничные возможности, однако, после подключения мы оказываемся в огромной общей экосистеме. Важно понимать, что беда, случившаяся с одной компанией, обязательно отразится на других организациях. Происшествие может сказаться не только на непосредственных деловых партнерах пострадавшей компании, но и на организациях, действующих в совершенно других областях. Например, в случае проникновения в корпоративную сеть часто происходит утечка личных сведений (PII). Эти данные можно не только продать или использовать в мошеннических целях, но и разработать на их основе фишинговые атаки. Чем более подробными сведениями о вас располагает злоумышленник, тем более реалистично будет выглядеть поступившее от него сообщение электронной почты, которое вы наверняка откроете.
Многие из используемых в настоящее время технологий атак схожи с теми, которые применялись несколько лет назад: например, обход недостаточно надежных паролей, фишинговые атаки и загрузка вредоносного программного обеспечения с зараженных или рекламных сайтов. В то же время злоумышленники разработали более эффективные и незаметные техники проникновения в сетевые системы благодаря некоторым широко распространенным уязвимостям.
К их числу относятся социальные сети и информационные службы. Множество людей в той или иной мере пользуется социальными сетями, например Facebook, LinkedIn или сайтами интернет-знакомств. Это позволяет злоумышленникам проникать на пользовательские устройства при помощи социальной инженерии, играя на человеческих эмоциях. Принципы социальной инженерии остались теми же, но изменились направления атак. Также следует учесть тот факт, что злоумышленники используют различные методы уклонения. Они все эффективнее скрывают атаки, поэтому традиционных антивирусных программ часто недостаточно для надежной защиты.
Из числа новых технологий незаконного проникновения в корпоративные сети чаще всего используются фишинговые атаки. К фишинговым сообщениям электронной почты прикрепляются вредоносные коды или ссылки, которые на первый взгляд вызывают доверие и побуждают пользователей перейти по ним.
Еще одна используемая злоумышленниками технология — скрытая загрузка. Преступники проникают на веб-сайт и устанавливают вредоносный Java-скрипт, который перенаправляет ничего не подозревающего пользователя на другой веб-сайт, содержащий вредоносные данные (программу). Эти данные в фоновом режиме загружаются на устройство пользователя. Перед проведением целевой атаки злоумышленники тратят много месяцев на исследование веб-сайтов, часто посещаемых сотрудниками компаний, и заражение этих сайтов.
Следующая технология — вредоносная реклама. Принцип этой атаки схож со скрытой загрузкой, однако в этом случае злоумышленник заражает рекламные сайты. Один зараженный рекламный сайт в свою очередь может заразить тысячи других. Впечатляющий результат без особых усилий!
Последними по распространенности, но от этого не менее опасными являются атаки мобильных устройств. Во многом они похожи на описанные выше атаки. Отличие заключается в том, что целью этого вида атак являются мобильные устройства. Кроме того, вредоносные программы могут попадать на устройства в SMS-сообщениях или под видом других приложений, таких как игры или порнография.
После успешного проникновения в сеть пользовательского устройства, например ноутбука, настольного компьютера или мобильного устройства, злоумышленник начинает загружать вредоносное программное обеспечение и инструменты для достижения своей противоправной цели. Как правило, необходимые злоумышленникам данные находятся не на рабочих станциях, а на серверах, базах данных и в других расположениях. Ниже описаны этапы деятельности преступников после проникновения в сеть:
- Загрузка других инструментов и вредоносных программ в целях дальнейшего заражения сети.
- Исследование сети и поиск других серверов, содержащих данные, необходимые злоумышленникам. Поиск сервера Active Directory, содержащего все имена пользователей и пароли. В случае удачного взлома этого сервера преступники получат свободный доступ ко всем ресурсам.
- Обнаружив данные, злоумышленники найдут и сервер дополнительного распределения информации для копирования этих данных. В идеале это сервер со стабильной работоспособностью (не подверженный сбоям) с доступом к Интернету.
- Данные будут медленно передаваться на серверы злоумышленников, которые располагаются в облаках, что делает затруднительным блокировать передачу данных.
Находясь в сети в течение длительного времени, злоумышленники способны собрать доступные данные любых типов. Большинство корпоративных данных хранятся в электронном виде. Чем дольше злоумышленники остаются необнаруженными, тем больше они узнают о деловой активности компании и потоках данных. В качестве примера можно привести атаку Carbanak. В ходе этой атаки преступникам удалось обнаружить компьютеры администраторов, получить доступ к камерам видеонаблюдения, проследить за работой банковских служащих и зафиксировать все их действия в мельчайших подробностях. Имитируя эти действия, злоумышленники вывели деньги при помощи собственных систем.
Как я сказал ранее, проникновение в сеть часто происходит при переходе пользователя по вредоносной ссылке. Попав в сеть устройства, злоумышленники ищут необходимые им данные, перемещаясь по сети. Вот почему так важна сегментация сети. Во-первых, она снижает отрицательные последствия нарушения безопасности за счет изоляции проникших в сеть вредоносных элементов на каком-либо участке и предотвращения их распространения по сети. Также благодаря сегментации конфиденциальные данные можно переместить в область с более высоким уровнем защиты, откуда злоумышленникам будет сложнее извлечь их. И, наконец, отследить все происходящее в сети и сделать защитный периметр непроницаемым физически невозможно, так как сеть — слишком большая и сложная структура. Поэтому целесообразнее изолировать важные данные и сосредоточиться на слежении за путями подхода к этим данным.
Автор: Энтони Джандоменико (Anthony Giandomenico), главный специалист по вопросам безопасности