СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Makves
19 сентября
#Статьи #ИБ#Инфра

Противодействие «живущим в системе» злоумышленникам: выявление и устранение техник lateral movement и persistence с DCAP

Противодействие живущим в системе злоумышленникам: выявление и устранение техник lateral movement и persistence с DCAP

Традиционно компании вкладываются в защиту периметра: межсетевые экраны, системы предотвращения вторжений, фильтры трафика. Это важно, но не гарантирует полной безопасности — злоумышленник рано или поздно может оказаться внутри корпоративной сети.

Причины могут быть разными, начиная с уязвимости в приложениях и фишинга до действий инсайдера. Особенно опасны целенаправленные атаки APT (Advanced Persistent Threat), которые отличаются скрытностью и длительным присутствием в инфраструктуре. Такие группы изучают сеть, перемещаются между сегментами и закрепляются в системах, готовя следующий шаг.

Особое внимание стоит уделять двум этапам — lateral movement (горизонтальному перемещению внутри сети) и persistence (закреплению для долгосрочного доступа).

Lateral Movement

Представим ситуацию. В 2:30 ночи сотрудник отдела кадров, обычно работающий с кадровыми документами, вдруг начинает скачивать инженерные чертежи. Для большинства систем это может выглядеть как обычное событие, но мы понимаем какие угрозы могут на самом деле стоять за такими действиями.

Такие решения как DCAP смотрят на ситуацию шире. Система анализирует данные от разных источников, учитывает поведение пользователя за месяцы, а модуль UEBA фиксирует резкое отклонение: сотрудник никогда не обращался к таким файлам и не работал ночью.

DCAP также видит, что недавно к этим же данным обращался другой аккаунт из того же сегмента — признак возможного lateral movement. Запросы идут сериями, включая системные скрипты и ограниченные директории.

В итоге система автоматически блокирует сессию, уведомляет SOC и сохраняет полную историю действий — ценный материал для расследования. При этом приоритизация инцидентов происходит с учётом критичности данных — SOC тратит ресурсы на действительно важные события.

Persistence

Признаки закрепления в системе часто проявляются в изменении прав доступа или появлении новых учётных записей с доступом к критичным данным.

Из того же примера: проходит несколько дней после инцидента и SOC почти уверен, что проблема закрыта. Но ночью в бухгалтерском хранилище появляется новая учётная запись с полными правами. Анализ показывает, что аккаунт создан не по стандартной процедуре, а напрямую с серверной консоли. Новый пользователь просматривает файлы, которые не связаны с его задачами: старые договоры, архивы паролей.

DCAP-система связывает эти действия с прошлым инцидентом — вероятно, злоумышленник вернулся под другим именем. Политики безопасности срабатывают автоматически: права отзываются, сессия блокируется, а SOC получает детальный отчёт.

Из собственного опыта использования автоматизации тестов на проникновение могу сказать, что они отлично дополняют такую защиту. В отличие от разовых пентестов, автоматизация позволяет регулярно воспроизводить реальные сценарии атак на рабочей инфраструктуре. Это помогает не только выявлять уязвимости, но и проверять, как системы защиты и команда реагируют на атаки в динамике.

Автоматизированные тесты моделируют те же шаги злоумышленника: lateral movement, повышение прав, persistence и другие. При этом атака контролируемая и безопасная. Это позволяет выявить не только технические слабости, но и процессуальные пробелы: где реагирование запаздывает, какие события остаются незамеченными, какие политики обходятся.

Повторные запуски после исправлений подтверждают эффективность мер. Такой подход перестаёт быть разовой проверкой и становится частью регулярной работы — мы знаем, как система поведёт себя в реальной атаке.

Заключение

Однако ни один инструмент не даёт полной гарантии. DCAP помогает выявлять аномалии и реагировать на подозрительные действия, также хранит всю цепочку взаимодействия пользователей с другими системами, а автоматизация тестов регулярно проверяет эту защиту в реальных условиях и помогает улучшать её.

Комплексный подход — сочетание технологий, процессов и постоянной работы команды безопасности — создаёт реальные шансы обнаружить и остановить «тихих» злоумышленников до серьёзных последствий.

Автор: Дмитрий Симчук, специалист отдела технического сопровождения компании Makves.

Makves
Автор: Makves
Makves — российский разработчик программного обеспечения для аудита и мониторинга информационных ресурсов предприятия.
Комментарии: