Контакты
Подписка 2024

Гонка хакеров и защитников. На чьей стороне время?

Эльман Бейбутов, 08/12/22

Злоумышленники начинают сканировать узлы Интернета в поиске уязвимостей буквально в течение часа с момента публикации данных об очередной CVE. Как быть, если производители не торопятся с выпуском патчей? Разберемся, сколько на самом деле есть времени на повышение защищенности у компаний, использующих уязвимое ПО, и как правильно им распорядиться.

Автор: Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies

По нашим экспертным оценкам, активное сканирование злоумышленниками IP-адресов на наличие уязвимых сервисов можно наблюдать спустя десятки минут после публикации CVE. Это то, что в первую очередь делают хакеры на этапе разведки по матрице MITRE ATT&CK [1]. Но после выявления уязвимых узлов киберпреступникам еще нужно время, чтобы разработать эксплойт самим или дождаться его появления на специализированных площадках. Для громких, но несложных уязвимостей хакеры в течение пары часов могут подготовить инструкцию и набор команд для развития векторов атак.

Будет ли эксплойт доступен широкому кругу атакующих? Будет ли эксплойт бесплатным? В первые дни, как правило, нет. До начала массовой эксплуатации уязвимости может пройти несколько дней. На подготовку эксплойта тратится несколько часов. На выпуск патчей производителям уязвимого ПО могут потребоваться недели, месяцы, а в сложных случаях – даже годы. По нашим данным, из всех выявленных и отправленных вендорам в 2021 г. уязвимостей, в частности в промышленных системах, в разумные сроки было исправлено меньше половины – 47%.

Разная сложность – разная скорость

Если злоумышленник стремится захватить узел, продать доступ или запустить майнер, то он может обойтись одним эксплойтом. Атака же с реально значимыми последствиями потребует от преступников значительно больше шагов и ресурсов. Злоумышленнику потребуется время на то, чтобы преодолеть сетевой периметр, получить первоначальный доступ к узлам и закрепиться на них, повысить привилегии, получить доступ к ключевым сегментам сети и целевым серверам, компьютерам, собрать дополнительные данные и, наконец, реализовать недопустимые события. Часть задач может быть выполнена злоумышленниками для последующей перепродажи своих результатов специализированным группировкам, что занимает время и удлиняет цепочку атаки.

В итоге на всю атаку целиком злоумышленникам может потребоваться не 15 минут, а несколько недель. По данным Positive Technologies, за 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.

Добавить трудностей хакерам

Важно максимально затруднить работу киберпреступнику, а именно сделать реализацию потенциальной атаки максимально невыгодной с точки зрения затрачиваемых ресурсов. Для этого нужно провести следующие тактические мероприятия:

  • определить недопустимые события, именно для вашей организации;
  • выделить ключевые бизнес-процессы и целевые системы, для которых недопустимые события должны быть невозможны;
  • разделить сеть на критические сегменты под каждую целевую систему;
  • повысить базовый уровень безопасности путем харденинга настроек целевых систем;
  • регулярно проводить инвентаризацию активов, контролировать периметр и критические сегменты сети: отслеживать появление новых узлов и сервисов, изменение настроек их безопасности;
  • организовать службу контроля защищенности, мониторинга и реагирования на инциденты;
  • участвовать в киберучениях, организовывать повышение квалификации специалистов по ИБ;
  • повышать киберграмотность сотрудников.

Игра на опережение

Злоумышленники торопятся с выпуском эксплойтов, а значит, и вам важно действовать проактивно:

  • анализировать киберугрозы и мониторить публикации о новых уязвимостях [2] (используйте экспертизу производителей VM-решений [3] по приоритизации уязвимостей);
  • в случае обнаружения новых релевантных инфраструктуре уязвимостей – анализировать возможность выявления фактов их эксплуатации по косвенным признакам в сети или на узле и описывать полученные результаты в правилах детектирования угроз;
  • выявлять сетевые и узловые аномалии с помощью специализированных решений класса NTA [4] и XDR [5], отправлять сработки на корреляцию событий в SIEM-систему;
  • мониторить инциденты с помощью SIEM-решений [6], используя соответствующие правила детектирования;
  • реагировать по дежурным процедурам в четко поставленные сроки, включая активные действия в инфраструктуре.

Откуда ждать помощи?

При реализации мер безопасности нужно учитывать, что злоумышленник проэксплуатирует уязвимость быстрее, чем получится ее устранить и появится обновление от производителя ПО. Эшелонированная защита, сегментация сети, харденинг систем – это минимальный, но недостаточный набор мероприятий. А анализ киберугроз и разработка правил их детектирования требуют уникальных компетенций, которые имеют единичные представители компаний – лидеров в своих отраслях. В одиночку отдельно взятой организации будет тяжело справиться с защитой целевых систем в таких условиях.

Поэтому применение систем управления уязвимостями (VM), анализа сетевой активности (NTA), мониторинга событий безопасности (SIEM) и расширенного реагирования (XDR) с обширной экспертизой разработчика может значительно повысить уровень информированности об угрозах и фактической защищенности. Объединение экспертизы поставщика решений в сфере ИБ и знаний собственной инфраструктуры защитниками компаний, позволяет достичь результативной кибербезопасности в условиях реальных вторжений со стороны атакующих.


  1. https://mitre.ptsecurity.com/ru-RU/techniques
  2. https://www.ptsecurity.com/ru-ru/products/mp-vm/
  3. https://www.ptsecurity.com/ru-ru/products/mp-vm/
  4. https://www.ptsecurity.com/ru-ru/products/network-attack-discovery/
  5. https://www.ptsecurity.com/ru-ru/products/xdr/
  6. https://www.ptsecurity.com/ru-ru/products/mpsiem/
Темы:Positive TechnologiesSOCуязвимости0-day уязвимостиХакерские атакиЖурнал "Информационная безопасность" №5, 2022

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать