Киберпреступники могут украсть значительные объемы ценных данных из сети компании в короткие сроки. Понимание того, как работает кибератака и какие уязвимости используются хакерами, может минимизировать риск того, что компания станет жертвой этого.
Её ключевыми элементами являются:
- Получение первоначального доступа: использование известных уязвимостей, создание поддельных веб-сайтов и приложений или эффективная фишинговая атака позволяет преступникам установить точку соприкосновения для дальнейшего внутрисетевого проникновения.
- Начало действия: на этом этапе злоумышленник запускает файл, команду или сценарий, чтобы начать разведку сети и процесс обнаружения последующих брешей в безопасности.
- Сохранение в сети: когда киберпреступник уже установил точку привязки, следующий шаг – избежать обнаружения. Это позволяет ему продолжать поиск потенциальных целей в сети.
- Расширение прав: получение базового доступа не позволяет хакерам осуществлять свободный поиск в корпоративной сети. Чтобы обойти это и начать кражу ресурсов, они получают более высокие права.
- Избежать систем безопасности: злоумышленники должны обходить решения безопасности во время поиска по сети, особенно при краже данных. Поэтому они используют такие действия, как имитация поведения стандартного сетевого трафика или деактивация решений безопасности.
- Получение аутентификации. Многие организации защищают ключевую информацию и другие ресурсы, используя соответственно расширенную аутентификацию. Данные хранятся в реестре или в файлах, которые злоумышленники могут использовать в своих целях. К сожалению, добраться до них не всегда сложно. Существуют методы, позволяющие киберпреступникам перехватывать сетевой трафик для кражи учетных данных. Они также могут манипулировать учетными записями, добавляя или изменяя свои права.
- Поиск ресурсов: не все данные находятся в сегменте взломанной сети. Многие из указанных шагов повторяются злоумышленником, чтобы найти наиболее ценные ресурсы и переместиться между различными сегментами сети в физических и виртуальных центрах обработки данных.
- Сбор и кража данных: злоумышленник уже достиг ресурсов, которые он искал. На этом этапе он хочет вывести их из сети, не обнаружив своей активности. Это часто самая сложная стадия всего процесса и может включать в себя огромные объемы данных. Однако, если киберпреступник досконально выполнил каждый элемент атаки до этого момента, он может оставаться в сети компании в течение нескольких месяцев. В течение этого времени он будет медленно отправлять данные в другие места, не находящиеся под строгим контролем, чтобы, в конечном итоге, вывести их из сети.
- Управление и контроль: последний шаг злоумышленника – полностью стереть следы. Киберпреступники хотят быть уверены, что вы не сможете их отследить. Для этого они используют, например, соответствующие прокси-серверы или маскировку передаваемых данных.
Нарушения безопасности, которые приводят к потере данных, могут происходить в считанные минуты или часы, и для их обнаружения часто требуются недели и месяцы. До этого времени преступники смогут «обчистить» сеть, а украденная информация будет потеряна или продана на черном рынке.
Эффективным способом решения этой проблемы является отказ от традиционного подхода, основанного на индивидуальных средствах защиты, и внедрение интегрированной архитектуры безопасности.