По данным компании RED Security за последние полгода для проведения атак киберпреступники стали в два раза чаще использовать легитимные средства защиты информации, такие как антивирусные решения и системы класса EDR (Endpoint Detection and Response).
Преимущества способа
После первоначального проникновения в инфраструктуры российских компаний хакеры целенаправленно ищут серверы управления системами безопасности. Получив доступ к центральной консоли управления антивирусом или EDR с привилегиями администратора, злоумышленники используют эти доверенные инструменты для тотального распространения вредоносного ПО или выполнения деструктивных скриптов на всех рабочих станциях и серверах организации, где установлены агентские модули этих систем защиты.
«Хакеры стали чаще обращаться к этому методу, поскольку использование легитимных инструментов позволяет им действовать максимально быстро и незаметно. При этом очевидно, что антивирусные или EDR-решения установлены практически во всех крупных организациях, а значит, такой подход с высокой вероятностью может сработать. Именно поэтому компаниям очень важно учитывать эти риски и применяли необходимые меры защиты», – рассказал Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC.
Пренебрежение политиками ИБ
Основной причиной успешности таких атак, по данным аналитиков RED Security, является пренебрежение корпоративных заказчиков базовыми политиками информационной безопасности, которые в обязательном порядке рекомендуют вендоры защитных решений.
Чаще всего нарушаются принципы строгой сегментации сети, изоляции и защиты критически важных систем управления, используются слабые или стандартные учетные данные для доступа к консолям администрирования, а также игнорируется применение самих средств защиты на серверах управления ими.
Что делать?
Для противодействия данной угрозе эксперты RED Security рекомендуют применять для доступа к системам управления безопасностью модель нулевого доверия (Zero Trust), включая механизмы многофакторной аутентификации и ограничение привилегий пользователей до минимально необходимых.
Также критически важно выделить и изолировать серверы управления системами защиты в отдельные сегменты сети с ограниченным доступом. Эксперты RED Security SOC подчеркивают, что настройки и активность EDR и антивирусов должны проходить регулярный аудит, а подозрительные действия с консолей управления данными средствами защиты необходимо поставить на круглосуточный мониторинг.
Источник: RED Security
