Больше материалов: Boosty | Sponsr | TG

облачных сред: меньшая уязвимость сети по сравнению с

локальными системами парадоксальным образом делает
преодоление первоначального доступа наиболее
эффективным.
За последний год наблюдаемые TTPs были простыми, и
вместе с тем эффективными так как использовались
служебные и бездействующие учётные записи. В целом
публикация вызывает прохладное утешение, предполагая,
что прочная основа основ безопасности всего лишь гонка на
опережение специалистов по безопасности с атакующими.
II. КЛЮЧЕВЫЕ ВЫВОДЫ
• Адаптация к облачным сервисам: сместился
фокус с эксплуатации уязвимостей локальной сети
на прямое воздействие на облачные сервисы. Это
изменение является ответом на модернизацию
систем и миграцию инфраструктуры в облако.
• Аутентификация как ключевой шаг: чтобы
скомпрометировать облачные сети, необходимо
успешно пройти аутентификацию у поставщика
облачных услуг. Предотвращение этого
первоначального доступа имеет решающее
Аннотация. В документе представлен всесторонний анализ значение для предотвращения компрометации.
публикации, в которой подробно описаны известные
тактики, методы и процедуры (TTP), используемые кибер- • Расширение таргетинга: расширена сфера
профессионалами для получения первоначального доступа к воздействия на сектора, такие как, как авиация,
облачным системам. Анализ охватывает различные аспекты, образование, правоохранительные органы,
включая выявление и использование уязвимостей, различные
методы использования облачных технологий, развёртывание региональные и федеральные организации,
специального вредоносного ПО. правительственные финансовые департаменты и
военные организации. Это расширение указывает на
Представлены ключевые моменты и полезная информация, стратегическую диверсификацию целей сбора
которую могут использовать ИБ и ИТ специалисты и разведывательной информации.
специалисты в различных отраслях для улучшения своих
защитных стратегий, против спонсируемых государством • Использование служебных и неактивных
киберугроз. Понимая адаптированную тактику субъекта для учётных записей: подчёркивается, что за
первоначального доступа к облаку, заинтересованные последние 12 месяцев использовались брутфорс-
стороны могут лучше предвидеть и снижать потенциальные атаки для доступа к служебным и неактивным
риски для своей облачной инфраструктуры, тем самым учётным записям. Эта тактика позволяет получить
укрепляя свою общую безопасность. первоначальный доступ к облачным средам.
I. ВВЕДЕНИЕ • Профессиональный уровень атакующих:
Документ под названием «cyber actors adapt tactics for выявлена возможность осуществления
initial cloud access», опубликованный Агентством компрометациии глобальной цепочки поставок, как,
национальной безопасности (АНБ) предупреждает, об например, инцидент с SolarWinds в 2020 году.
адаптации тактики для получения первоначального доступа • Первая линия защиты: подчёркивается, что
к облачным сервисам, а не для использования уязвимостей первая линия защиты включает предотвращения
локальной сети. возможности первичного доступа к сервисам.
Переход от локальных решений к облачным является III. АДАПТАЦИЯ К ОБЛАЧНЫМ СЕРВИСАМ
ответом на то, что организации модернизируют свои
системы и переходят на облачную инфраструктуру. Также Адаптация атак к облачным сервисам знаменует собой
кибер-кампании расширяются в сторону таких секторов, эволюцию в сфере кибершпионажа и кибервойны и
как авиация, образование, секторов, связанных представляет собой более глубокую стратегическую
региональными и федеральными, а также адаптацию к меняющейся технологической среде и
госучреждениями, правительственными финансовыми растущей зависимости правительств и корпораций от
департаментами и военными организациями. облачной инфраструктуры. Переход организаций к
облачным сервисам обусловлен преимуществами
Реальность такова, что для взлома облачных сетей масштабируемости, экономической эффективности и
нужно только пройти аутентификацию у поставщика возможности быстрого развёртывания и обновления
облачных услуг, и в случае успеха, защита будет
преодолена. Другими словами, «неожиданный» аспект
 Больше материалов: Boosty | Sponsr | TG
сервисов. Однако этот переход также создаёт новые IV. ДЕТАЛИ TTP:
уязвимости и проблемы для кибербезопасности.
• Доступ к учётным данным / подбор пароля T1110:
A. Стратегический переход к облаку используются password-spray и подбор паролей в
По мере того, как организации модернизировали свои качестве начальных векторов заражения. Подход
системы и переходили на облачную инфраструктуру, предполагает попытку ввода нескольких паролей для
участники адаптировали свои тактики, методы и процедуры разных учётных записей или многочисленные
(TTP) к новой среде. Эта адаптация обусловлена попытки для одной учётной записи для получения
осознанием того, что облачные сервисы, централизуя несанкционированного доступа.
огромные объёмы данных и ресурсов, представляют собой • Первоначальный доступ / T1078.004
выгодную цель для шпионажа и сбора разведывательной Действительные учётные записи: Облачные
информации. Облачная архитектура, предлагая учётные записи: получение доступа к облачным
организациям многочисленные преимущества, также сервисам, используя скомпрометированные учётные
требует переоценки стратегий безопасности для устранения данные: как системные учётные записи
уникальных уязвимостей. (используемые для автоматизированных задач и
B. Тактика, методы и процедуры (TTP) служб), так и неактивные учётные записи, учётные
которые все ещё остаются в системе.
Адаптация участников к облачным сервисам включает в
себя ряд сложных TTP, предназначенных для • Доступ к учётным данным / T1528 Кража токена
использования конкретных характеристик облачных сред. доступа к приложению: злоумышленники
Один из основных методов получения первоначального используют украденные токены доступа для входа в
доступа к облачным сетям включает аутентификацию у учётные записи без необходимости ввода паролей.
поставщика облачных услуг, что достигается различными Токены доступа — это цифровые ключи, которые
способами, включая подбор пароля и password-spray для позволяют получить доступ к учётным записям
доступа к служебным и неактивным учётным записям. Эти пользователей. Их получение позволяет обойти
учётные записи, часто используемые для запуска традиционные механизмы входа в систему.
приложений и управления ими без прямого контроля со
стороны человека, особенно уязвимы, поскольку они могут • Доступ к учётным данным / Формирование
быть не защищены многофакторной аутентификацией запроса многофакторной аутентификации T1621:
(MFA) и обладать высокими уровнями привилегий. метод «бомбардировка MFA» предполагает, что
злоумышленники неоднократно отправляют запросы
Кроме того, было замечено, что использование для MFA на устройство жертвы. Цель состоит в том,
аутентификации выданных системой токенов позволяет чтобы жертва приняла запрос и таким образом
убрать необходимость в паролях. Дополнительно предоставила злоумышленнику доступ.
использовался процесс регистрации новых устройств в
облаке с обходом механизмов безопасности MFA, в • Командование и контроль / T1090.002 Прокси:
частности, с помощью таких методов, как «бомбардировка Внешний прокси: чтобы поддерживать «тайные
MFA», с целью случайного одобрения пользователем операции и сливаться с обычным трафиком»,
одного из этих запросов как легитимного. Кроме того, используются открытые прокси, расположенные в
использование резидентных прокси-серверов для сокрытия частных диапазонах IP-адресов, т.к. вредоносные
своего присутствия в Интернете и затруднения соединения сложнее отличить от легальной
обнаружения вредоносной деятельности представляет активности пользователей в журналах доступа.
собой ещё один уровень профессионального подхода. • Постоянство / T1098.005 Манипулирование
C. Последствия учётными записями: Регистрация устройств:
после получения доступа к учётным записям
Адаптация участников к целевым облачным сервисам предпринимаются попытки зарегистрировать свои
имеет серьёзные последствия для кибербезопасности. Это собственные устройства в облачном клиенте.
подчёркивает необходимость внедрения надёжных мер Успешная регистрация устройства может обеспечить
безопасности, адаптированных к облачной среде. Сюда постоянный доступ к облачной среде.
входит применение политик надёжных паролей, внедрение
MFA, управление и мониторинг служебных и неактивных A. Доступ через сервисные и спящие учётные записи
учётных записей, а также настройка политик регистрации Одна из ключевых стратегий, применяемых
устройств для предотвращения несанкционированного злоумышленниками, предполагает нацеливание на
доступа. Кроме того, корректировка срока действия сервисные и неактивные учётные записи в облачных
токенов, выпущенных системой, и использование средств средах. Учётные записи служб используются для запуска
защиты на уровне сети для обнаружения и предотвращения приложений и служб и управления ими без прямого
использования резидентных прокси-серверов являются взаимодействия с человеком. Эти учётные записи особенно
важными шагами в защите от этих угроз. уязвимы, поскольку их часто невозможно защитить с
помощью многофакторной аутентификации (MFA), и они
могут иметь высокопривилегированный доступ в
зависимости от их роли в управлении приложениями и
 Больше материалов: Boosty | Sponsr | TG
службами. Получив доступ к этим учётным записям, действия этих токенов в соответствии с их потребностями в
злоумышленники могут получить привилегированный безопасности. Сокращение срока действия токенов может
первоначальный доступ к сети, которую они используют в уменьшить окно возможностей для несанкционированного
качестве стартовой площадки для дальнейших операций. доступа, если токены будут скомпрометированы.
Кампании нацелены на неактивные учётные записи, G. Обход аутентификации по паролю и MFA
пользователи которых больше не активны в организации- Отмечается, что обход аутентификации по паролю в
жертве, но не были удалены из системы. Эти учётные учётных записях с помощью повторного использования
записи могут быть использованы для восстановления учётных данных и password-spray. Метод предполагает
доступа к сети, особенно после мер реагирования на попытку получить доступ к большому количеству учётных
инциденты, таких как принудительный сброс пароля. Было записей с использованием часто используемых паролей, в
замечено, что субъекты входили в эти неактивные учётные то время как повторное использование учётных данных
записи и следовали инструкциям по сбросу пароля, что позволяет пользователям повторно использовать одни и те
позволяло им сохранять доступ даже после того, как группы же пароли для нескольких учётных записей
реагирования на инциденты пытались их «выселить».
Также применяется техника «бомбардировка MFA»
B. Аутентификация токена на основе облака (T1621), для обхода систем MFA. Метод предполагает
Ещё один TTP — это использование аутентификации на повторную отправку запросов MFA на устройство жертвы
основе облачных токенов. Замечено, что злоумышленники до тех пор, пока жертва, перегруженная постоянными
использовали выданные системой токены доступа для уведомлениями, не примет запрос. Метод эффективно
аутентификации в учётных записях жертв без использует человеческую психологию и неудобство
необходимости ввода пароля. Этот метод позволяет повторных уведомлений для обхода надёжных мер
обходить традиционные методы аутентификации на основе безопасности.
учётных данных и может быть особенно эффективным,
если срок действия этих токенов длительный, или если H. Регистрация новых устройств в облаке
токены не защищены должным образом. После преодоления первоначальных барьеров
выполняется регистрация собственных устройств в
C. Брутфорс и password-spray качестве новых (T1098.005). Этот шаг имеет решающее
Использование злоумышленниками атаки (T1110) значение для сохранения доступа к облачной среде и
применяется в качестве начальных векторов заражения. облегчения дальнейших вредоносных действий. Успех
Метод включают попытку доступа к учётным записям тактики зависит от отсутствия строгих правил проверки
путём перебора множества паролей или использования устройств в конфигурации безопасности арендатора облака.
общих паролей для многих учётных записей Без надлежащих мер проверки устройств крайне легко
соответственно. Метод часто бывает успешен из-за добавить неавторизованные устройства в сеть, предоставив
использования слабых или повторно используемых паролей им доступ к конфиденциальным данным и системам.
для разных учётных записей.
I. Защита от несанкционированной регистрации
D. Роль токенов доступа устройств
Токены доступа являются неотъемлемой частью Внедряя строгие правила проверки устройств и
современных систем аутентификации, особенно в облачных политики регистрации, организации могут значительно
средах. Они предназначены для упрощения процесса входа снизить риск несанкционированной регистрации устройств.
в систему для пользователей и обеспечения безопасного Известны случаи, когда эти меры были эффективно
метода доступа к ресурсам без повторного ввода учётных применены, успешно защитили от злоумышленников,
данных. Токены выдаются после того, как пользователь лишив их доступа к арендатору облака.
входит в систему с именем и паролем, и их можно
использовать для последующих запросов аутентификации. J. Резидентные прокси и их использование
Резидентные прокси — это промежуточные службы,
E. Риски, связанные с аутентификацией токенов которые позволяют пользователям маршрутизировать
Хотя аутентификация на основе токенов может трафик через IP-адрес, предоставленный интернет-
обеспечить удобство и безопасность, она также создаёт провайдером (ISP), который обычно присваивается
определённые риски, если ею не управлять должным резидентному адресу. Из-за этого трафик выглядит так, как
образом. Если злоумышленники получат эти токены, они будто он исходит от обычного пользователя, что может
смогут получить доступ к учётным записям без быть особенно полезно для целей слиться с обычным
необходимости знания пароли, особенно если токены трафиком и избежать раскрытия.
имеют длительный срок действия.
Использование резидентных прокси-серверов служит
F. Настройка срока действия токена целью сокрытия истинного местонахождения и источника
Отмечается, что время действия токенов, выпущенных их вредоносной деятельности. Создавая впечатление, что
системой, по умолчанию может варьироваться в их трафик исходит из диапазонов легитмных провайдеров.
зависимости от используемой системы. Однако для Тактика усложняет обеспечение безопасности, которые
облачных платформ крайне важно предоставить полагаются на репутацию IP-адреса или геолокацию как на
администраторам возможность регулировать время индикаторы компрометации.
 Больше материалов: Boosty | Sponsr | TG
K. Проблемы, создаваемые резидентными прокси • Адаптивная аутентификация. Механизмы
Эффективность резидентных прокси-серверов в адаптивной аутентификации корректируют
сокрытии источника трафика представляет собой проблему требования в зависимости от контекста запроса
для сетевой защиты. Традиционные меры безопасности, доступа. Такие факторы, как местоположение,
которые отслеживают и блокируют известные вредоносные устройство и поведение пользователя, могут влиять
IP-адреса, неэффективны против использующих на процесс аутентификации, что позволяет
резидентные прокси-серверы, поскольку эти IP-адреса применять более строгий контроль в сценариях
могут не иметь предыстории вредоносной активности и повышенного риска.
неотличимы от IP-адресов законных пользователей. • Архитектура нулевого доверия. Принятие
V. АУТЕНТИФИКАЦИЯ КАК КЛЮЧЕВОЙ ШАГ подхода нулевого доверия к облачной безопасности,
при котором ни один пользователь или система не
A. Аутентификация как ключевой шаг в облачной пользуется доверием по умолчанию, может
безопасности повысить эффективность аутентификации. Эта
В изменяющемся кибер-ландшафте адаптация к модель требует строгой проверки личности каждого
целевым облачным сервисам подчёркивает кардинальный кто пытается получить доступ к ресурсам,
сдвиг в тактике кибершпионажа. Переход от использования независимо от их местоположения или сети.
уязвимостей локальной сети к прямому нацеливанию на • Использование биометрии. Методы
облачные инфраструктуры знаменует собой значительную биометрической аутентификации, такие как
эволюцию киберугроз. В основе этого лежит решающая сканирование отпечатков пальцев или
роль аутентификации как ключевого шага в защите распознавание лиц, обеспечивают высокий уровень
облачных сетей от кибер-профессионалов. безопасности за счёт использования уникальных
B. Важность аутентификации в облачных средах физических характеристик пользователей. Эти
методы могут быть особенно эффективными для
Аутентификация служит шлюзом к облачным сервисам, предотвращения несанкционированного доступа в
определяя, следует ли предоставить доступ пользователю облачных средах.
или системе. В облачных средах, где ресурсы и данные
размещаются за пределами предприятия и доступны через • Шифрование данных аутентификации.
Интернет, невозможно переоценить важность надёжных Шифрование данных аутентификации (паролей,
механизмов аутентификации. В отличие от традиционных токенов аутентификации и другой
локальных систем, где есть меры физической безопасности конфиденциальной информации), как при передаче,
и внутренняя сетевая защита, облачные сервисы по своей так и при хранении, может защитить от перехвата и
сути более подвержены воздействию Интернета. Такая использования злоумышленниками.
уязвимость делает начальный этап аутентификации не
просто мерой безопасности, а критически важным VI. ПЕРВОНАЧАЛЬНЫЙ ДОСТУП
механизмом защиты от несанкционированного доступа. A. Возросшая важность первоначального доступа в
C. Проблемы облачной аутентификации облачной безопасности
Переход к облачным сервисам приносит с собой Смещение акцента кибер-профессионалов на облачные
уникальные проблемы в реализации эффективных сервисы вывело важность обеспечения первоначального
стратегий аутентификации. Пользователи получают доступ доступа на передний план. В облачных средах
к облачным сервисам из разных мест, устройств и сетей, что первоначальный доступ представляет собой критический
требует эффективных механизмов аутентификации. момент, когда безопасность всей системы становится
наиболее уязвимой. В отличие от традиционных локальных
Масштабируемость облачных сервисов означает, что сетей, доступ к облачным сервисам осуществляется через
механизмы аутентификации должны быть в состоянии Интернет, что делает начальную точку входа основной
обрабатывать большое количество запросов на доступ без целью для злоумышленников.
значительных задержек и ухудшения пользовательского
опыта. Это требование масштабируемости и удобства для B. Первоначальный доступ как плацдарм для
пользователя часто противоречит необходимости строгих злоумышленников
мер безопасности, создавая хрупкий баланс, который Получение первоначального доступа к облачным
должны соблюдать организации. сервисам позволяет злоумышленникам закрепиться в
D. Стратегии усиления облачной аутентификации целевой среде с последующим повышением привилегий,
распространения по сети и получения доступа к
• Многофакторная аутентификация (MFA). MFA конфиденциальным данным. Распределённый характер
добавляет дополнительный уровень безопасности, облачных сервисов также означает, что компрометация
требуя от пользователей предоставления двух или одной учётной записи может потенциально предоставить
более факторов проверки для получения доступа. доступ к широкому спектру ресурсов и данных.
Подход снижает риск несанкционированного
доступа, поскольку значительно сложнее получить
несколько факторов аутентификации.
 Больше материалов: Boosty | Sponsr | TG
C. Проблемы в обеспечении первоначального доступа использовать уязвимости конечных точек для
• Удалённый доступ. Облачные сервисы получения первоначального доступа.
предназначены для удалённого доступа, что • Обнаружение аномалий. Внедрение систем
увеличивает поверхность атаки. обнаружения аномалий помогает выявить
• Управление идентификацией и доступом (IAM). необычные модели доступа или попытки входа в
В облачных средах IAM становится важнейшим систему, которые могут указывать на попытку
компонентом безопасности. Организации должны взлома.
обеспечить надёжность политик IAM и VII. РАСШИРЕНИЕ СФЕРЫ ДЕЯТЕЛЬНОСТИ
предоставление разрешений на основе принципа
наименьших привилегий, чтобы минимизировать A. Расширение таргетинга
риск первоначального доступа со стороны Стратегическое расширение деятельности на более
неавторизованных лиц. широкий круг секторов является тревожным событием в
• Фишинг и социнженерия. используются методы сфере глобальной безопасности. Такая диверсификация
фишинга и социальной инженерии для получения целей отражает расчётливый подход к использованию
первоначального доступа. Эти методы используют взаимосвязанного характера современных отраслей и
человеческий фактор, а не технические уязвимости, растущей зависимости от облачных сервисов в различных
что затрудняет защиту от них с помощью секторах.
традиционных мер безопасности. B. Расширение сферы шпионажа
D. Примеры методов первоначального доступа Расширение таких секторов, как авиация, образование,
• Credential Stuffing. Метод предполагает правоохранительные органы, местные и федеральные
использование ранее взломанных пар имени учреждения, правительственные финансовые ведомства и
пользователя и пароля для получения военные организации, демонстрирует их намерение
несанкционированного доступа к учётным записям, собирать разведданные из широкого спектра источников.
делая ставку на вероятность того, что люди будут Широкая стратегия таргетинга предполагает, что они
повторно использовать учётные данные в заинтересованы не только в традиционной информации,
нескольких службах. связанной с национальной безопасностью, но также в
получении разнообразного набора данных, которые могут
• Использование некорректных конфигураций. обеспечить экономические, политические или
Облачные сервисы сложно настроить правильно, и технологические преимущества.
используются некорректные конфигурации:
открытые сетевые сегменты или ошибки в C. Последствия для различных секторов
настройке управления доступом. • Авиация. Авиационная отрасль включает в себя
сложную экосистему авиакомпаний, аэропортов,
• Компрометация сторонних сервисов. производителей и служб поддержки, каждая из
Злоумышленники могут атаковать сторонние которых обрабатывает конфиденциальные данные,
сервисы, которые интегрируются с облачными связанные с национальной безопасностью и
средами, например приложения SaaS, чтобы запатентованными технологиями.
получить первоначальный доступ к облачной
инфраструктуре. • Образование. Университеты и исследовательские
институты являются источниками передовых
E. Снижение рисков первоначального доступа исследований и интеллектуальной собственности.
• Комплексные политики доступа. Установление и Их часто таргетируют за новаторскую работу в
соблюдение комплексных политик доступа может области науки, технологий и обороны.
помочь контролировать, кто и на каких условиях
имеет доступ к облачным ресурсам. • Правоохранительные органы. организации
хранят конфиденциальные данные об уголовных
• Регулярные аудиты и проверки. Проведение расследованиях, вопросах национальной
регулярных аудитов и проверок журналов доступа и безопасности и личную информацию граждан, что
разрешений может помочь выявить и устранить делает их ценной целью для шпионажа.
потенциальные уязвимости до того, как они будут
использованы. • Местные и федеральные учреждения. Органы
местного и федерального самоуправления
• Обучение по вопросам безопасности. Обучение управляют критически важной инфраструктурой,
сотрудников рискам фишинга и социальной госуслугами и имеют доступ к огромным объёмам
инженерии может снизить вероятность персональных данных, которые могут быть
компрометации учётных данных. использованы для различных злонамеренных целей.
• Endpoint Security. Обеспечение безопасности и • Государственные финансовые департаменты.
актуальности всех устройств с доступом к облачным департаменты обрабатывают конфиденциальные
сервисам, может помешать злоумышленникам экономические данные и имеют представление о
 Больше материалов: Boosty | Sponsr | TG
национальных финансовых стратегиях и политике, предоставить злоумышленникам доступ, необходимый им
что может быть ценным для иностранных для достижения своих целей, если они не управляются и не
разведывательных служб. защищаются должным образом.
• Военные организации. представляют большой B. Понимание сервисных и неактивных учётных записей
интерес из-за их стратегической важности и доступа Учётные записи служб — это специализированные
к секретной информации об оборонных учётные записи, используемые приложениями или
возможностях, операциях и технологиях. службами для взаимодействия с операционной системой
D. Проблемы защиты широкого круга целей или другими службами. Они часто имеют повышенные
привилегии для выполнения определённых задач и могут не
• Разнообразие подходов к обеспечению быть привязаны к личности отдельного пользователя. С
безопасности. Разные отрасли имеют разные другой стороны, неактивные учётные записи — это учётные
уровни зрелости и ресурсов кибербезопасности, что записи пользователей, которые больше не используются
делает некоторые из них более уязвимыми для либо потому, что пользователь покинул организацию, либо
сложных киберугроз. потому, что цель учётной записи была достигнута. Эти
• Взаимосвязь. Взаимосвязанный характер этих учётные записи особенно опасны, поскольку о них часто
секторов означает, что нарушение в одной области забывают, им оставляют больше привилегий, чем
может иметь каскадные последствия для других, как необходимо, и они не контролируются так тщательно, как
это видно в атаках на цепочки поставок. активные учётные записи пользователей.

E. Стратегии снижения рисков C. Почему служебные и неактивные учётные записи

подвергаются атаке
• Секторальные механизмы кибербезопасности.
Разработка и внедрение механизмов • Повышенные привилегии. Учётные записи служб
кибербезопасности, адаптированных к уникальным имеют повышенные привилегии, необходимые для
потребностям и рискам каждого сектора, может системных задач, которые можно использовать для
повысить общую безопасность. получения широкого доступа к сети организации.

• Обмен информацией. Обмен информацией об • Отсутствие мониторинга. Неактивные учётные

угрозах и лучшими практиками внутри секторов и записи используются нерегулярно, что снижает
между ними может помочь организациям опережать вероятность их отслеживания на предмет
возникающие угрозы и координировать подозрительной активности делает их
реагирование на инциденты. привлекательной целью для злоумышленников.

• Регулярные оценки безопасности. Проведение • Слабые учётные данные или учётные данные по
регулярных оценок безопасности и тестирования на умолчанию. Учётные записи служб могут быть
проникновение может помочь организациям настроены со слабыми учётными данными или
выявлять и устранять уязвимости до того, как они учётными данными по умолчанию, которые проще
будут использованы. найти с помощью атак методом перебора.

• Безопасность цепочки поставок. Укрепление • Обход аналитики поведения пользователей.

безопасности цепочки поставок имеет решающее Поскольку учётные записи служб выполняют
значение, поскольку злоумышленники часто автоматизированные задачи, их модели поведения
нацелены на менее защищённые элементы в цепочке могут быть предсказуемыми, что позволяет
поставок, чтобы получить доступ к более крупным вредоносным действиям сливаться с обычными
организациям. операциями и уклоняться от обнаружения.

• Планирование реагирования на инциденты. D. Угроза, которую представляют

Наличие чётко определённого плана реагирования скомпрометированные учётные записи
на инциденты может гарантировать, что • Распространение: использование привилегий
организации готовы быстро и эффективно учётной записи для дальнейшего распространения в
реагировать на нарушения. сети, получая доступ к другим системам и данным.
VIII. ИСПОЛЬЗОВАНИЕ СЕРВИСНЫХ И НЕАКТИВНЫХ • Повышение привилегий: использование учётной
УЧЁТНЫХ ЗАПИСЕЙ записи для повышения привилегий и получения
административного доступа к критически важным
A. Использование сервисных и неактивных учётных системам.
записей в кибератаках
Эксплуатация сервисных и неактивных учётных записей • Закрепление: обеспечение постоянного
кибер-профессионалами представляет собой изощренный и присутствия в сети, что затрудняет обнаружение и
часто упускаемый из виду вектор кибератак. Эти учётные устранение злоумышленника.
записи, созданные для различных операционных целей в • Эксфильтрация данных: доступ к
облачных и локальных средах организации, могут конфиденциальным данным и их удаление, что
 Больше материалов: Boosty | Sponsr | TG
приводит к утечке данных и краже Способность вести себя сдержанно в целевых сетях часто
интеллектуальной собственности. позволяет им проводить долгосрочные шпионские
операции без обнаружения.
E. Снижение рисков, связанных с сервисными и
неактивными счетами D. Тактика психологической и социальной инженерии
• Регулярные проверки. Проведение регулярных Помимо технических возможностей, он
проверок всех учётных записей для выявления и продемонстрировал искусность в тактике психологической
деактивации неактивных учётных записей и и социальной инженерии. Эти методы предназначены для
обеспечения того, чтобы учётные записи служб манипулирования людьми с целью разглашения
имели минимально необходимые привилегии. конфиденциальной информации или выполнения действий,
ставящих под угрозу безопасность. Фишинговые кампании,
• Строгий контроль аутентификации. Применение целевой фишинг и другие формы социнженерии часто
политики надёжных паролей и использование MFA используются для получения первоначального доступа к
для учётных записей служб, где это возможно. целевым сетям или для повышения привилегий внутри них.
• Мониторинг. Внедрение механизмов мониторинга E. Выбор цели и сбор разведданных
и оповещения для обнаружения необычных
Процесс выбора цели носит стратегический характер и
действий, связанных со службами и неактивными
соответствует национальным интересам России. Цели
учётными записями.
тщательно выбираются на основе их потенциала
• Разделение ролей. Применение принципа предоставления ценной разведывательной информации,
разделения ролей к учётным записям служб, чтобы будь то политическая, экономическая, технологическая или
ограничить объем доступа и снизить риск военная. Как только цель скомпрометирована, участники
неправомерного использования. сосредотачиваются на долгосрочном доступе и сборе
разведданных, отдавая предпочтение скрытности и
• Инструменты автоматического управления. закреплению вместо немедленной выгоды.
Использование инструментов автоматического
управления учётными записями, чтобы отслеживать F. Адаптируемость к ландшафту кибербезопасности
использование и жизненный цикл учётной записи, Одним из наиболее определяющих аспектов является
гарантируя, что учётные записи будут его адаптивность. Переход в сторону облачных сервисов и
деактивированы, когда они больше не нужны. использования сервисных и неактивных учётных записей
является свидетельством такой адаптивности.
IX. ИЗОЩРЁННОСТЬ АТАК
G. Базовые механизмы защиты
A. Сложность киберопераций
• Контроль доступа: обеспечение того, чтобы только
Отмечался высокий уровень сложности атак, что авторизованные пользователи имели доступ к
отражает глубокое понимание киберландшафта и информационным системам и данными чтобы они
способность адаптироваться в условиях меняющихся мер могли выполнять только те действия, которые
безопасности. Эта изощрённость очевидна не только в необходимы для их роли.
технических возможностях, но и в их стратегическом
подходе к кибершпионажу, который включает в себя • Шифрование данных: защита данных при
тщательный выбор целей, планирование и использование хранении и передаче посредством шифрования, что
передовых тактик, методов и процедур (TTP). делает их нечитаемыми для неавторизованных
пользователей.
B. Техническое мастерство и инновации
• Управление исправлениями: регулярное
Кибероперации характеризуются использованием обновление программного обеспечения и систем
специального вредоносного ПО и уязвимостей нулевого для устранения уязвимостей и снижения риска
дня. Эксплуатация этих уязвимостей позволяет эффективно эксплуатации.
проникать, например chain-атака SolarWinds, в результате
которой был нарушен процесс разработки ПО путём • Брандмауэры и системы обнаружения
внедрения вредоноснго кода в обновление ПО, что вторжений (IDS): внедрение брандмауэров для
затронуло клиентов, включая правительственные блокировки несанкционированного доступа и IDS
для мониторинга сетевого трафика на предмет
учреждения и компании из списка Fortune 500.
подозрительной активности.
C. OpSec и скрытность • Многофакторная аутентификация (MFA):
OpSec является отличительной чертой операций, и требование от пользователей предоставления двух
атакующие делают все возможное, чтобы замести следы и или более факторов проверки для получения
сохранить скрытность в скомпрометированных сетях. Это доступа к системам, что значительно повышает
включает в себя использование зашифрованных каналов безопасность.
для кражи данных, тщательное управление серверами
• Обучение по вопросам безопасности: обучение
управления и контроля во избежание обнаружения, а также
сотрудников рискам кибербезопасности и
использование легитимных инструментов и услуг (LOTL),
чтобы гармонировать с обычной сетевой деятельностью.
 Больше материалов: Boosty | Sponsr | TG
передовым методам предотвращения атак X. МЕРЫ ПО СМЯГЧЕНИЮ ПОСЛЕДСТВИЙ
социальной инженерии и других угроз.
• Внедрение многофакторную аутентификацию
• Планирование реагирования на инциденты: (MFA). MFA — это один из наиболее эффективных
подготовка к потенциальным инцидентам способов защиты учётных записей пользователей от
безопасности с помощью чётко определённого компрометации. Требуя несколько форм проверки,
плана реагирования и восстановления. MFA значительно затрудняет злоумышленникам
получение несанкционированного доступа, даже
H. Роль механизмов в защите от сложных угроз если они получили учётные данные пользователя.
Многие из кибер-стратегий по-прежнему используют
• Регулярная установка исправлений и
основные недостатки безопасности, такие как плохое обновлений. Поддержание актуальности
управление паролями, необновленное ПО и недостаточный программного обеспечения и систем с
контроль доступа. Придерживаясь базовых механизмов использованием последних исправлений имеет
безопасности, организации могут устранить эти решающее значение для устранения брешей в
уязвимости, значительно усложняя злоумышленникам безопасности, которыми могут воспользоваться
первоначальный доступ или распространение внутри сети. злоумышленники. Должен быть установлен
Например, реализация MFA может предотвратить регулярный процесс управления исправлениями,
несанкционированный доступ, даже если учётные данные чтобы обеспечить своевременное применение
обновлений.
скомпрометированы. Регулярное управление
исправлениями может закрыть уязвимости до того, как они • Сегментация сети. Разделение сети на более
смогут быть использованы в ходе атаки нулевого дня. мелкие контролируемые сегменты ограничивает
Обучение по вопросам безопасности может снизить риск возможность злоумышленника перемещаться
того, что сотрудники станут жертвами фишинга или других внутри сети и получать доступ к
тактик социальной инженерии. конфиденциальным областям. Сегментация также
помогает сдерживать потенциальные нарушения в
I. Проблемы в поддержании механизмов безопасности меньшем подмножестве сети.
Несмотря на очевидные преимущества, поддержание • Защита конечных точек. Развёртывание
«прочного фундамента безопасности» может оказаться расширенных решений для защиты конечных точек
непростой задачей для организаций. Это связано с может помочь обнаружить и предотвратить
множеством факторов, включая ограниченность ресурсов, вредоносные действия на устройствах, имеющих
сложность современной ИТ-среды и быстрые темпы доступ к сети организации. Это включает в себя
технологических изменений. Кроме того, по мере того, как использование антивирусного программного
организации все чаще внедряют облачные сервисы и другие обеспечения, систем предотвращения вторжений на
передовые технологии, среда становится более сложной, базе хоста и инструментов обнаружения и
что требует постоянной адаптации фундаментальных реагирования на конечных точках (EDR).
методов обеспечения безопасности.
• Обучение по вопросам безопасности. Обучение
J. Стратегии усиления защиты сотрудников рискам и передовым методам
• Непрерывная оценка рисков: регулярная оценка кибербезопасности имеет важное значение для
состояния безопасности организации для выявления предотвращения атак социальной инженерии, таких
уязвимостей и определения приоритетности усилий как фишинг. Регулярное обучение может помочь
по их устранению. создать культуру осведомлённости о безопасности
внутри организации.
• Использование структур безопасности: принятие
комплексных структур безопасности, таких как • Контроль доступа с наименьшими
NIST Cybersecurity Framework, для руководства привилегиями. Обеспечение пользователей только
внедрением лучших практик и средств контроля. правами доступа, необходимыми для их роли,
помогает минимизировать потенциальное
• Автоматизация процессов безопасности: воздействие компрометации учётной записи.
использование автоматизации для оптимизации Средства контроля доступа должны регулярно
процессов безопасности, таких как управление пересматриваться и корректироваться по мере
исправлениями и мониторинг, для повышения необходимости.
эффективности и результативности.
• Планирование реагирования на инциденты.
• Формирование культуры безопасности: создание Наличие чётко определённого и проверенного плана
культуры безопасности внутри организации, где реагирования на инциденты позволяет
кибербезопасность рассматривается как общая организациям быстро и эффективно реагировать на
ответственность всех сотрудников. инциденты безопасности, сводя к минимуму ущерб
и восстанавливая операции как можно скорее.
• Сотрудничество и обмен информацией: участие в
сотрудничестве и обмене информацией с коллегами • Непрерывный мониторинг и обнаружение.
по отрасли и государственными учреждениями, Реализация возможностей непрерывного
чтобы оставаться в курсе возникающих угроз и мониторинга и обнаружения может помочь выявить
передового опыта. подозрительные действия на раннем этапе. Сюда
 Больше материалов: Boosty | Sponsr | TG
входит использование систем управления • Подробные TTP: он предоставляет подробную
информацией о безопасности и событиями (SIEM), информацию о тактиках, методах и процедурах
систем обнаружения вторжений (IDS) и анализа (TTP), используемых участниками, включая
сетевого трафика. использование сервисных и неактивных учётных
записей, что может помочь организациям выявить
• Безопасная конфигурация и усиление защиты. потенциальные угрозы и уязвимости.
Системы должны быть надёжно настроены и
защищены от атак. Это включает в себя отключение • Секторальная информация: описывается
ненужных служб, применение параметров расширение охват таких секторов, как авиация,
безопасной конфигурации и обеспечение образование, правоохранительные органы и
включения функций безопасности. военные организации, предлагая отраслевую
информацию, которая может помочь этим отраслям
• Резервное копирование и восстановление. укрепить свою обороноспособность.
Регулярное резервное копирование критически
важных данных и систем, а также надёжные • Стратегии смягчения последствий: предлагает
процедуры восстановления необходимы для практические стратегии смягчения последствий,
устойчивости к программам-вымогателям и другим которые организации могут реализовать для
разрушительным атакам. Резервные копии следует усиления своей защиты от первоначального доступа
регулярно проверять, чтобы гарантировать, что на со стороны субъектов, таких как внедрение MFA и
них можно положиться в чрезвычайной ситуации. управление системными учётными записями.
A. Проблемы в реализации мер по смягчению последствий B. Недостатки:
Хотя эти меры по смягчению последствий теоретически • Ресурсоёмкость: реализация рекомендуемых мер
эффективны, организации часто сталкиваются с по снижению рисков может потребовать
проблемами при их реализации. Эти проблемы могут значительных ресурсов, что может оказаться
включать ограниченность ресурсов, сложность ИТ-среды, затруднительным для небольших организаций с
потребность в специализированных навыках и сложность ограниченными бюджетами и персоналом в области
балансировки безопасности с бизнес-требованиями. Кроме кибербезопасности.
того, быстро меняющаяся природа киберугроз означает, что • Сложность облачной безопасности: в документе
стратегии смягчения их последствий должны постоянно указываются проблемы, присущие обеспечению
пересматриваться и обновляться. безопасности облачной инфраструктуры, которые
B. Совместные усилия и обмен информацией могут потребовать специальных знаний и навыков,
которыми обладают не все организации.
Чтобы преодолеть эти проблемы и повысить
эффективность мер по смягчению последствий, • Развивающаяся тактика: хотя в документе
организации могут участвовать в совместных усилиях и представлены текущие ТТП, тактика участников
обмене информацией с отраслевыми партнёрами, постоянно развивается, а это означает, что защита,
государственными учреждениями и сообществами основанная исключительно на этих рекомендациях,
кибербезопасности. Такое сотрудничество обеспечивает может быстро устареть.
доступ к общим знаниям, информации об угрозах и • Потенциал чрезмерного акцента на конкретных
передовым практикам, которые могут информировать и угрозах: слишком большое внимание к таким
улучшать усилия организации по смягчению последствий. субъектам может привести к тому, что организации
пренебрегут другими векторами угроз, которые
XI. ПРЕИМУЩЕСТВА И НЕДОСТАТКИ ДОКУМЕНТА столь же опасны, но не описаны в документе.
Документ содержит ценную информацию и • Модель общей ответственности: документ
рекомендации для организаций по защите от кибер- подразумевает модель общей ответственности за
профессионалов, нацеленных на облачные сервисы. Однако облачную безопасность, что может привести к
динамичный характер киберугроз и сложность облачных путанице в разделении обязанностей по
сред означают, что организации должны постоянно обеспечению безопасности между поставщиками
обновлять свои методы обеспечения безопасности, а не облачных услуг и клиентами.
полагаться исключительно на статические рекомендации.
• Ложное чувство безопасности: у организаций
A. Преимущества: может возникнуть ложное чувство безопасности,
• Осведомлённость: документ повышает полагаясь на предложенные меры по смягчению
осведомлённость об изменении тактики в сторону последствий, не принимая во внимание
облачных сервисов, что имеет решающее значение необходимость динамической и адаптивной
для понимания организациями текущего ландшафта системы безопасности для реагирования на новые
угроз. угрозы.