Александр Дорофеев, 20/10/25
Злоумышленники, использующие легитимные учетные записи – ключевая угроза сегодня для корпоративной инфраструктуры. Если атаки через вредоносный трафик может обнаружить система IDS, а вирусное ПО – антивирус, то действия хакера под видом обычного сотрудника выявить гораздо сложнее. Здесь на помощь приходит SIEM.
Автор: Александр Дорофеев, ССК, CISSP, CISA, CISM, АО “Эшелон Технологии”
Давайте разберем, какие признаки компрометации учетной записи стоит отслеживать, как использовать обманные объекты и как даже небольшая организация может выстроить эффективный мониторинг с помощью KOMRAD Enterprise SIEM 4.5.
Подозрительные действия пользователей
В описаниях ландшафта киберугроз, актуальных для российских организаций, в топ-3 методов первоначального проникновения в инфраструктуру входит использование легитимных учетных записей.
Для того чтобы вычислить злоумышленника, действующего от лица сотрудника, важно понимать, какие события сигнализируют о проблеме. В список наиболее вероятных можно включить следующие:
- нетипичная по времени или источнику авторизация для конкретной доменной учетки;
- параллельные активные сессии одной учетки с разных узлов или с разных учеток с одного узла;
- создание механизмов закрепления (новые службы, задания планировщика, элементы автозагрузки, добавление в локальные администраторы);
- очистка журналов событий;
- остановка средств защиты;
- использование нетипичных команд в пользовательской сессии;
- интерактивная авторизация с учетной записью приложения;
- попытка повышения привилегий;
- выполнение системных команд из СУБД;
- экспорт данных вне расписания.
Обманные объекты: ловим злоумышленника на крючок
Эффективным способом раннего выявления злоумышленников также является отслеживание обращений к внедренным заранее приманкам. Наиболее простые и популярные варианты:
- фейковые учетные записи (например, testadmin), которые выглядят как административные, но на деле не используются;
- файлы с заманчивыми названиями, например "отчет_по_крупным_клиентам_2024.xlsx";
- пароли и API-ключи, преднамеренно оставленные в открытых местах;
- мнимые ресурсы, например сетевой каталог corp_backup.
Обращение к таким объектам фиксируется SIEM и становится красным флагом для ИБ-специалистов.
Зачем нужен SIEM?
Если SIEM отсутствует, организация зачастую узнает о факте атаки из телеграм-каналов или от клиентов, чьи данные утекли. При этом злоумышленники обычно успевают зачистить следы.
Даже базовое внедрение SIEM для мониторинга описанных выше событий позволяет:
- вовремя выявлять подозрительные действия;
- реагировать на компрометацию еще на стадии разведки;
- накапливать доказательную базу для расследования.
Решение: KOMRAD Enterprise SIEM 4.5
Многие компании малого и среднего бизнеса все еще считают SIEM недоступной технологией из-за ограничений в вычислительных и людских ресурсах, а также стоимости. Но с выходом KOMRAD Enterprise SIEM 4.5 эти барьеры перестают существовать. Развертывание системы занимает всего пять минут и не требует дорогостоящего железа. Поддержка российских операционных систем – Astra Linux, РЕД ОС, "Альт СП", а также Windows (через WSL) – позволяет интегрировать решение в привычную ИТ-среду.
Система собирает и нормализует события практически с любых источников, что избавляет специалистов от рутины и экономит время. Уведомления о важных инцидентах приходят туда, где их действительно заметят, – по email или в Telegram.
В случае ограничения ресурсов, как правило, отсутствуют ИБ-специалисты, которые могут за мониторами следить за ИБ в режиме 24/7. Поэтому мы рекомендуем настроить систему так, чтобы алерты приходили ответственному лицу только в случае самых критичных ситуаций (очистка журналов, доступ к обманным объектам и т. п.). Для событий, по которым потенциально будет большое количество ложных срабатываний, необходимо выработать практику периодической работы с KOMRAD Enterprise SIEM в режиме поиска угроз (Threat Hunting). Для этого используются фильтры событий и поисковые запросы.
Любой может самостоятельно попробовать KOMRAD Enterprise SIEM 4.5, загрузив демо-версию с нашего корпоративного сайта [1]. Минимальные рекомендуемые требования CPU: 2 ядра, ОЗУ: 8 Гбайт, SSD: 100 Гбайт. Ожидаемые EPS при выполнении данных требований: от 500 до 5 тыс. в зависимости от количества включенных директив корреляции. Доступны бесплатные пакеты экспертизы (Windows, Linux – auditd).
Заключение
Злоумышленник, использующий легитимные учетные данные, – один из самых опасных противников. Но грамотный мониторинг с помощью SIEM, использование обманных объектов и автоматизация алертов позволят заметить его на ранней стадии атаки. Сегодня даже небольшие компании могут выстроить этот уровень защиты.
KOMRAD Enterprise SIEM 4.5 – это способ внедрить такой подход быстро и без лишних затрат.
Реклама: АО «НПО «Эшелон». ИНН 7718676447. Erid: 2SDnjcYpLYo
