По данным экспертов центра мониторинга и реагирования на кибератаки RED Security SOC, после первоначального проникновения в инфраструктуры российских компаний хакеры целенаправленно ищут серверы управления системами безопасности. Получив доступ к центральной консоли управления антивирусом или EDR с привилегиями администратора, злоумышленники используют эти доверенные инструменты для тотального распространения вредоносного ПО или выполнения деструктивных скриптов на всех рабочих станциях и серверах организации, где установлены агентские модули этих систем защиты.
«Хакеры стали чаще обращаться к этому методу, поскольку использование легитимных инструментов позволяет им действовать максимально быстро и незаметно. При этом очевидно, что антивирусные или EDR-решения установлены практически во всех крупных организациях, а значит, такой подход с высокой вероятностью может сработать. Именно поэтому компаниям очень важно учитывать эти риски и применяли необходимые меры защиты», – рассказал Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC.
Главной причиной успешности таких атак, по данным аналитиков RED Security, является пренебрежение корпоративных заказчиков базовыми политиками информационной безопасности, которые в обязательном порядке рекомендуют вендоры защитных решений. Чаще всего нарушаются принципы строгой сегментации сети, изоляции и защиты критически важных систем управления, используются слабые или стандартные учетные данные для доступа к консолям администрирования, а также игнорируется применение самих средств защиты на серверах управления ими.
Для противодействия данной угрозе эксперты RED Security рекомендуют применять для доступа к системам управления безопасностью модель нулевого доверия (Zero Trust), включая механизмы многофакторной аутентификации и ограничение привилегий пользователей до минимально необходимых.
Также критически важно выделить и изолировать серверы управления системами защиты в отдельные сегменты сети с ограниченным доступом. Эксперты RED Security SOC подчеркивают, что настройки и активность EDR и антивирусов должны проходить регулярный аудит, а подозрительные действия с консолей управления данными средствами защиты необходимо поставить на круглосуточный мониторинг.
RED Security SOC предоставляет сервисы защиты от киберугроз в режиме 24/7 и ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах заказчиков. Эксперты центра мониторинга выявляют цепочки кибератак и выдают рекомендации, которые помогают заблокировать их развитие на ранних стадиях – до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.
