Профили киберпреступников

Кто угрожает информационной безопасности вашей организации и как защититься

Для выбора надежного способа защиты инфраструктуры предприятия от киберугроз необходимо определить портрет предполагаемого злоумышленника: его квалификацию, цели и инструменты.

Solar JSOC предлагает классификацию злоумышленников, в основе которой база о векторах атаки и методах работы, накопленная за 8 лет непрерывного мониторинга состояния информационных инфраструктур более 100 предприятий, работающих в различных отраслях: госсекторе, промышленности, энергетике, ретейле и других.

Профили киберпреступников

  • Автоматические сканеры

    Автоматические сканеры

    Ищут IT-инфраструктуры с низким уровнем защиты для дальнейшей перепродажи информации о них или использования в массовых атаках

  • Киберхулиганы

    Киберхулиганы

    Сфокусированы на поиске стандартных уязвимостей с целью прокачки своих навыков и мелкого хулиганства, редко самостоятельно занимаются монетизацией взлома. Используют общедоступные инструменты для анализа защищенности.

  • Кибермошенники

    Кибермошенники

    Нацелены на получение прямой финансовой выгоды путем кражи денег, получения выкупа и использования вычислительных мощностей атакуемой компании для майнинга криптовалютных активов. Часто объединяются в организованные группировки.

  • Кибернаемники

    Кибернаемники

    Действуют в интересах заказчика либо охотятся за крупной монетизацией, например, за счет продажи базы клиентских данных в даркнете. Объединяются в иерархические группы, самостоятельно разрабатывают инструменты и методики взлома.

  • Проправительственные группировки

    Проправительственные группировки

    Служат интересам государственных структур и террористических организаций. Ориентированы на перехват полного контроля над инфраструктурой, хактивизм. Отличаются максимально длительным скрытым присутствием внутри периметра.

Энтузиаст-одиночка, классические кибермошенники или продвинутая хакерская группировка?
Как определить, для кого инфраструктура конкретного предприятия — лакомый кусок?

Предлагаем ответить на 4 вопроса и получить описание предполагаемого киберзлоумышленника

Опрос:

Наличие значимой критической инфраструктуры

Выбор защитных мер в зависимости от профиля киберпреступника

Автоматические боты-сканеры и энтузиасты-хулиганы Наладили эффективное использование вновь обнаруженных уязвимостей, поэтому точкой входа стали RDP на периметре и незащищенные веб-сервисы, распространившиеся за время пандемии.

Для защиты от них установите и настройте, как минимум, решения класса UTM и WAF. Как максимум, задайте правило о своевременной установке патчей и обновлений.

Кибермошенники Не просто ищут слабые места, но и используют вредоносное ПО для проникновения в корпоративные сети и заметания следов. Важно знать, что они активно провоцируют пользователей, используя фишинговые техники, а также взламывают удаленные и домашние компьютеры, подключенные к инфраструктуре предприятия.

Для предупреждения угрозы базовых средств защиты уже недостаточно. Преступники научились их обходить. Необходимо добавить в стратегию инструменты непрерывного мониторинга и реагирования, подобные сервису IRP и анализаторы периметрового трафика. Или подключить сервис мониторинга 24/7 от коммерческого центра кибербезопасности. Положительное влияние на уровень защищенности оказывает киберграмотность сотрудников.

Кибернаемники Во многих случаях самостоятельно разрабатывают инструменты для осуществления атаки, так как их работе свойствен разовый или заказной характер. Часто взламываемая компания не является целью, а лишь звеном в цепочке для получения доступа к настоящему объекту интереса злоумышленников.

Необходима установка не только базовых, но и продвинутых средств защиты: Anti-APT, Sandbox, контроль технологических сегментов. Выявить их присутствие в инфраструктуре помогает продвинутый инструментарий SOC, включая такие сервисы, как EDR и NTA. Дополнительная глубокая аналитика регистрируемых событий позволяет не только идентифицировать инциденты, но и выявлять взаимосвязи между ними.

Проправительственные группировки Как правило, ассоциированы с прогосударственными структурами. Тщательно выбирают свою жертву, долго готовятся и никуда не торопятся. Они используют 0-day-уязвимость на этапе проникновения и выбирают легитимные сервисы для закрепления и перемещения по инфраструктуре.

Противодействие требует выделенного пула экспертов и опыта раскрытия киберпреступлений для выявления неочевидных аномалий на сети и хостах. Используется весь доступный спектр инструментов и сервисов, необходима высокая зрелость ИТ-, ИБ-инфраструктуры и процессов. Каждый инцидент должен рассматриваться как цепочка взаимосвязей, приводящих к потенциальной кибератаке. Реализовать это можно, как минимум, используя маппинг по Killchain+Mitre ATT&CK.

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах