Що можна дізнатися з тематичних досліджень Playbook 2021 щодо компаній, які стали жертвами кібератак? У серії статей експерти Sophos подорожують у майбутнє та розглядають різні конкретні аспекти ІТ-безпеки, щоб отримати рекомендації, які можуть бути впроваджені кожним.
Як зазначено в посібнику Sophos Active Adversary Playbook 2021, зловмисники люблять використовувати інструменти, якими користуються ІТ-адміністратори та спеціалісти з безпеки, щоб ускладнити виявлення підозрілих дій. Багато з цих інструментів розпізнаються продуктами безпеки як «потенційно небажані програми» або скорочено PUA (або RiskWare або RiskTool), але вони необхідні для щоденного використання ІТ-командами. Щоб впоратися з цим, адміністратори повинні поставити собі два ключових питання щодо ІТ-політики компанії: чи всі користувачі повинні мати можливість використовувати ці утиліти і чи повинні ці утиліти працювати на кожному пристрої?
Що таке PUA?
PUA — це інструменти адміністрування, що входять до складу операційної системи (наприклад, PowerShell) і забезпечують способи автоматизації та керування пристроями в мережі. Крім того, існують додаткові інструменти сторонніх розробників, які зазвичай використовуються для розширення функцій, таких як сканування портів, захоплення пакетів, створення сценаріїв, моніторинг, інструменти безпеки, стиснення та архівування, шифрування, налагодження, тестування на проникнення, керування мережею та віддалений доступ. Більшість із цих програм працюють із системним або кореневим доступом.
Чому список виключень ІТ є проблематичним
Якщо інструменти адміністратора встановлені та використовуються внутрішньо вашою ІТ-командою, ці програми є корисними інструментами. Однак, якщо це роблять інші користувачі, вони вважаються PUA і часто позначаються як такі авторитетними рішеннями безпеки для кінцевих пристроїв. Щоб дозволити їм вільно користуватися цими інструментами, багато адміністраторів просто додають інструменти, якими вони користуються, до глобального списку виключень або дозволів у конфігурації безпеки кінцевої точки. На жаль, цей метод також дозволяє неавторизованим особам встановлювати та використовувати інструменти, часто без будь-якого моніторингу, сповіщень або сповіщень.
Як кіберзлочинці використовують PUA?
Тому політики безпеки, які дозволяють PUA, слід налаштовувати обережно. Тому що такий безкоштовний квиток на вагу золота для кіберзлочинців, і немає жодного уявлення про використання, наміри та контекст інструменту.
Після того, як інструмент виключено, зловмисник все ще може спробувати встановити та використовувати його, навіть якщо він ще не встановлено на певному пристрої. Однак метод атаки, відомий як «жити за рахунок землі», вимагає, щоб зловмисники використовували наявні функції та інструменти, щоб уникнути виявлення якомога довше. Вони дозволяють суб’єктам здійснювати виявлення, доступ до облікових даних, ескалацію привілеїв, ухилення від захисту, стійкість, пересування з боку в бік мережі, збирання та ексфільтрацію, не помахуючи жодним червоним прапорцем.
Допуск ПУА в компанію тільки в контрольованому режимі
Першим кроком є перевірка поточних глобальних винятків у компанії:
- Чи потрібні вони?
- Чи вказана причина для виключення – чи вона «завжди була»? Відповідальні особи повинні дослідити, чому рішення безпеки виявило PUA в першу чергу - чи могло воно вже використовуватися зловмисно?
- Чи справді винятки мають застосовуватися до ВСІХ серверів і кінцевих пристроїв?
- Чи все ще потрібен інструмент адміністрування, чи його можна віднести до вбудованої функції?
- Вам потрібен більше ніж один інструмент для досягнення того самого результату?
Спираючись на численні тематичні дослідження, Sophos рекомендує дозволяти PUA лише на дуже контрольованій основі: конкретна програма, конкретні машини, точний час і вибрані користувачі. Цього можна досягти за допомогою політики з необхідним виключенням, яке також можна знову видалити, якщо потрібно. Будь-яке виявлене використання PUA, яке не очікується, має бути розслідувано, оскільки це може свідчити про те, що кіберзлочинець уже отримав доступ до систем.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.