Контакты
Подписка 2024

Гонка хакеров и защитников. На чьей стороне время?

Эльман Бейбутов, 08/12/22

Злоумышленники начинают сканировать узлы Интернета в поиске уязвимостей буквально в течение часа с момента публикации данных об очередной CVE. Как быть, если производители не торопятся с выпуском патчей? Разберемся, сколько на самом деле есть времени на повышение защищенности у компаний, использующих уязвимое ПО, и как правильно им распорядиться.

Автор: Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies

По нашим экспертным оценкам, активное сканирование злоумышленниками IP-адресов на наличие уязвимых сервисов можно наблюдать спустя десятки минут после публикации CVE. Это то, что в первую очередь делают хакеры на этапе разведки по матрице MITRE ATT&CK [1]. Но после выявления уязвимых узлов киберпреступникам еще нужно время, чтобы разработать эксплойт самим или дождаться его появления на специализированных площадках. Для громких, но несложных уязвимостей хакеры в течение пары часов могут подготовить инструкцию и набор команд для развития векторов атак.

Будет ли эксплойт доступен широкому кругу атакующих? Будет ли эксплойт бесплатным? В первые дни, как правило, нет. До начала массовой эксплуатации уязвимости может пройти несколько дней. На подготовку эксплойта тратится несколько часов. На выпуск патчей производителям уязвимого ПО могут потребоваться недели, месяцы, а в сложных случаях – даже годы. По нашим данным, из всех выявленных и отправленных вендорам в 2021 г. уязвимостей, в частности в промышленных системах, в разумные сроки было исправлено меньше половины – 47%.

Разная сложность – разная скорость

Если злоумышленник стремится захватить узел, продать доступ или запустить майнер, то он может обойтись одним эксплойтом. Атака же с реально значимыми последствиями потребует от преступников значительно больше шагов и ресурсов. Злоумышленнику потребуется время на то, чтобы преодолеть сетевой периметр, получить первоначальный доступ к узлам и закрепиться на них, повысить привилегии, получить доступ к ключевым сегментам сети и целевым серверам, компьютерам, собрать дополнительные данные и, наконец, реализовать недопустимые события. Часть задач может быть выполнена злоумышленниками для последующей перепродажи своих результатов специализированным группировкам, что занимает время и удлиняет цепочку атаки.

В итоге на всю атаку целиком злоумышленникам может потребоваться не 15 минут, а несколько недель. По данным Positive Technologies, за 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.

Добавить трудностей хакерам

Важно максимально затруднить работу киберпреступнику, а именно сделать реализацию потенциальной атаки максимально невыгодной с точки зрения затрачиваемых ресурсов. Для этого нужно провести следующие тактические мероприятия:

  • определить недопустимые события, именно для вашей организации;
  • выделить ключевые бизнес-процессы и целевые системы, для которых недопустимые события должны быть невозможны;
  • разделить сеть на критические сегменты под каждую целевую систему;
  • повысить базовый уровень безопасности путем харденинга настроек целевых систем;
  • регулярно проводить инвентаризацию активов, контролировать периметр и критические сегменты сети: отслеживать появление новых узлов и сервисов, изменение настроек их безопасности;
  • организовать службу контроля защищенности, мониторинга и реагирования на инциденты;
  • участвовать в киберучениях, организовывать повышение квалификации специалистов по ИБ;
  • повышать киберграмотность сотрудников.

Игра на опережение

Злоумышленники торопятся с выпуском эксплойтов, а значит, и вам важно действовать проактивно:

  • анализировать киберугрозы и мониторить публикации о новых уязвимостях [2] (используйте экспертизу производителей VM-решений [3] по приоритизации уязвимостей);
  • в случае обнаружения новых релевантных инфраструктуре уязвимостей – анализировать возможность выявления фактов их эксплуатации по косвенным признакам в сети или на узле и описывать полученные результаты в правилах детектирования угроз;
  • выявлять сетевые и узловые аномалии с помощью специализированных решений класса NTA [4] и XDR [5], отправлять сработки на корреляцию событий в SIEM-систему;
  • мониторить инциденты с помощью SIEM-решений [6], используя соответствующие правила детектирования;
  • реагировать по дежурным процедурам в четко поставленные сроки, включая активные действия в инфраструктуре.

Откуда ждать помощи?

При реализации мер безопасности нужно учитывать, что злоумышленник проэксплуатирует уязвимость быстрее, чем получится ее устранить и появится обновление от производителя ПО. Эшелонированная защита, сегментация сети, харденинг систем – это минимальный, но недостаточный набор мероприятий. А анализ киберугроз и разработка правил их детектирования требуют уникальных компетенций, которые имеют единичные представители компаний – лидеров в своих отраслях. В одиночку отдельно взятой организации будет тяжело справиться с защитой целевых систем в таких условиях.

Поэтому применение систем управления уязвимостями (VM), анализа сетевой активности (NTA), мониторинга событий безопасности (SIEM) и расширенного реагирования (XDR) с обширной экспертизой разработчика может значительно повысить уровень информированности об угрозах и фактической защищенности. Объединение экспертизы поставщика решений в сфере ИБ и знаний собственной инфраструктуры защитниками компаний, позволяет достичь результативной кибербезопасности в условиях реальных вторжений со стороны атакующих.


  1. https://mitre.ptsecurity.com/ru-RU/techniques
  2. https://www.ptsecurity.com/ru-ru/products/mp-vm/
  3. https://www.ptsecurity.com/ru-ru/products/mp-vm/
  4. https://www.ptsecurity.com/ru-ru/products/network-attack-discovery/
  5. https://www.ptsecurity.com/ru-ru/products/xdr/
  6. https://www.ptsecurity.com/ru-ru/products/mpsiem/
Темы:Positive TechnologiesSOCуязвимости0-day уязвимостиХакерские атакиЖурнал "Информационная безопасность" №5, 2022

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Основные вызовы в развитии и совершенствовании коммерческих SOC
    Эксперты ведущих компаний делятся своим видением актуальных вызовов в развитии SOC: дефицит квалифицированных кадров, необходимость внутреннего и внешнего обучения персонала, импортозамещение и использованию отечественных решений. 
  • Пять главных ошибок при выборе NGFW
    Анна Комша, руководитель практики NGFW в Positive Technologies
    Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и успешно справлялся с базовыми сетевыми задачами?
  • Каких знаний не хватает у соискателей в операторы и аналитики SOC?
    Несмотря на растущую значимость роли операторов и аналитиков SOC, нередки случаи недостатка в знаниях соискателей на эти позиции
  • Коммерческие SOC в 2023 году: мотивация и развитие. Часть 2
    Каким должен быть первый шаг для подключения к SOC, если принципиальное решение уже принято, и что SOC точно не сделает за заказчика?
  • Киберразведка по методу Innostage – CyberART TI
    Камиль Садыков, ведущий аналитик информационной безопасности Innostage
    Выгоду от применения TI подсчитать практически невозможно: раз нет атаки, то нет и последствий для предприятия, выраженных в финансовой форме. Но с помощью киберразведки можно смоделировать максимально доступный уровень риска
  • Коммерческие SOC в 2023 году: мотивация и развитие
    Какая мотивация приводит заказчиков в SOC? Где должна проходить граница между SOC и заказчиком? Редакция журнала “Информационная безопасность” попросила ответить практикующих экспертов в области коммерческих SOC.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать