Експерт: Дастін Дуран

Ось що моя команда робить  під час комплексних атак . Ми відразу встановлюємо зв’язок між різними етапами кібератаки, щоб краще зрозуміти її першопричини.

Крім того, ми уявляємо себе на місці зловмисників.

Вони ставлять перед собою певну мету й виконують послідовність дій для її досягнення. Зловмисники об’єднують різні методи в ланцюгову послідовність (саме тому атаки називаються поетапними) і застосовують їх найоптимальнішим для себе способом. Поетапна атака не є лінійним процесом. Зловмисники мислять категоріями графів.

Ми як спеціалісти із захисту теж маємо так робити. Якщо мислити категоріями списків, ми не зможемо відтворити повну картину дій під час атаки. Нам потрібно швидко визначити, як зловмисники отримали доступ до системи, як виконують бокове зміщення і яка їхня мета.

Щоб точно ідентифікувати зловмисну атаку, спеціалісти із захисту мають розуміти послідовність усіх її етапів укупі, а не окремо.

Наведу чудовий приклад. Нещодавно, аналізуючи серії атак, пов’язаних із фінансовими махінаціями, ми помітили, що для обходу багатофакторної автентифікації (БФА) зловмисники використовували налаштування зворотного проксі-сервера. Ми зафіксували сигнали обходу БФА й установили їх зв’язок з іншими екземплярами, де було виявлено застосування відповідного методу. Відтворивши повну картину подій, нам удалося дізнатися про збирання облікових даних і, як наслідок, швидше вжити відповідних заходів для усунення атаки. Такий підхід допомагає нам краще виконувати свою роботу.

Коли мене запитують, що можна зробити, щоб краще захищати організацію, завжди відповідаю одне: "Використовуйте БФА на постійній основі". Це одна з наших найважливіших рекомендацій і найголовніших речей, яку можуть зробити організації, щоб краще вбезпечити себе. Оскільки безпарольне середовище – це середовище, у якому не діють нові методи зловмисників. Належне використання БФА ускладнює роботу хакерам. Якщо вони не зможуть отримати доступ до ваших ідентифікаційних даних і системи організації, то це зробить атаку майже неможливою.