Автор: Альберт Газизов, директор по продукту DataGrain RUMA

Длительное присутствие злоумышленника в инфраструктуре компании — это стратегическая операция, которая может быть рассчитана на месяцы и даже на годы. Главной ее особенностью является то, что хакер действует максимально скрытно, применяя методы, маскирующиеся под легитимную активность. Для реализации данной стратегии злоумышленник в своих интересах использует процессы организации, связанные с авторизацией, аутентификацией и управлением доступом.

Сегодня все больше атак строится не на «взломе двери», а на «входе через нее» с действительными учетными данными. Такой подход дает злоумышленнику возможность оставаться незамеченным в течении длительного периода, перемещаться по инфраструктуре между локальными системами, получать доступ к конечным точкам и сервисам без срабатывания базовых механизмов защиты. Риски возрастают при использовании гибридной среды и облачных провайдеров. Так, в случае компрометации учетных записей злоумышленник может не только перемещаться по сети, но и модифицировать синхронизированные объекты, получая контроль над критическими ресурсами.

Путь злоумышленника часто начинается с простых, но эффективных техник, таких как подбор паролей, фишинг, перехват хешей или токенов сессии. Получив хотя бы одну пару логин-пароль или cookie, хакер может войти в систему, обойти многофакторную аутентификацию. Используя привилегированные учетные записи, атакующий способен незаметно для ИТ и ИБ-служб изучать архитектуру сети, собирать данные об учетных записях и конфигурациях, подготавливать цепочки перемещения для доступа к нужным сегментам. На этом этапе не обязательно использовать вредоносное программное обеспечение, злоумышленники часто применяют встроенные в операционные системы инструменты администрирования и легитимные удаленные агенты.

Такая длительная стратегическая операция почти всегда включает боковое перемещение. Атакующий способен переходить от одного сервера к другому, постепенно расширяя привилегии и доступ. Для того, чтобы обойти сегментацию сети он может применять старые или неиспользуемые учетные записи, сервисные учетные записи с избыточными правами или уязвимости в конфигурациях. При этом скорость действий злоумышленника тщательно «дозирована», чтобы избежать появления подозрительной активности в логах. Поэтому для продвижения к новой цели хакерам может понадобиться несколько дней.

Выявить такого злоумышленника можно только через постоянный сбор и агрегацию данных о поведении пользователей и систем. Непрерывное формирование поведенческих профилей позволяет зафиксировать даже малейшее отклонение: начиная от входа из новых мест, использования ранее неактивных сервисных учетных записей, попыток доступа к системам, повышения привилегий, до событий, не связанных с рабочими обязанностями пользователей.

Технически данный функционал реализуется с помощью интеграции в одну архитектуру систем защиты конечных устройств, систем управления доступом и средств обнаружения угроз идентификации с последующим реагированием на них. Такой подход обеспечивает полный обзор пути атаки от точки входа до текущего положения злоумышленника в инфраструктуре.

Автоматическая проверка аномалий при входе в систему и их сопоставление с активностью на конечных точках позволяют оперативно локализовать инцидент. Так, если зафиксирован вход в корпоративную почту из другой страны, а на рабочей станции пользователя параллельно запускается процесс, нетипичный для его профиля, система определит событие как инцидент. Далее она либо запросит повторную MFA, либо полностью закроет доступ к ресурсу.

Ключом к выявлению злоумышленника, который находится внутри организации длительное время, является не разовая проверка, а непрерывный мониторинг и адаптивная защита. Чем больше источников телеметрии объединено в одну аналитическую модель, тем меньше шансов, что хакер сумеет оставаться невидимым внутри сети и будет использовать системы организации в своих интересах.

Полноценная стратегия защиты компании должна строиться с учетом понимания того, что в современном мире злоумышленники не ломают двери, а проходят через них, пользуясь уже готовым ключом. Только выстроенная система поведенческого анализа способна этот ключ отобрать.

Продукт DataGrain RUMA в таком контексте выступает как один из эффективных инструментов для обнаружения злоумышленника, который уже закрепился в инфраструктуре компании. Благодаря своей архитектуре, ориентированной на глубокую поведенческую аналитику и агрегацию событий, система обеспечивает непрерывный мониторинг конечных точек и учетных записей. Решение фиксирует малейшие признаки подозрительной активности, например, использование встроенных системных инструментов для бокового перемещения, попытки эскалации привилегий, нетипичные запросы к критическим ресурсам или необычные сессии входа в систему.

Одно из преимуществ системы — встроенный модуль классификации идентификационных данных, который позволяет определить: является ли учетная запись пользовательской или служебной. Модуль горизонтального перемещения выявляет нелегитимные перемещения объекта внутри сети. Дополнительный слой защиты открывает возможность сценарного реагирования: все подозрительные действия объединяются в единый поведенческий профиль для последующего углубленного расследования. Таким образом DataGrain RUMA позволяет выявить атакующего даже при его долгосрочном присутствии — за счёт анализа совокупности минимальных отклонений. Решение ускоряет реакцию аналитиков информационной безопасности и переводит процесс расследования из длительного в краткосрочный.