Организациите трябва да осъзнаят, че сигурността не се състои в броя на внедрените инструменти, а в това да се гарантира, че тези инструменти ефективно прекъсват веригата на атаките на всеки етап.

NAC, SDN, SASE, CASB, IDaaS, PAM, IGA, SIEM, TI, EDR, MDR, XDR, CTEM – списъкът е дълъг. Ако тази „азбучна супа“ ви звучи познато, това е така, защото организациите по целия свят внедряват редица инструменти за сигурност, като всички те обещават защита срещу пробиви в данните. Според неотдавнашна прогноза на Gartner глобалните разходи за информационна сигурност ще достигнат 212 млрд. долара през 2025 г., което е с 15,1% повече в сравнение с 2024 г.

При такива значителни инвестиции може да се предположи, че сме на няколко крачки пред киберпрестъпниците. И все пак почти не минава седмица без нова кибератака с голям обществен интерес – независимо дали става дума за масово използване на уязвимост на PHP, пробиви в данните на множество здравни организации или атаки с цел получаване на откуп от предприятия като Tata Technologies.

Това повдига един важен въпрос: Съсредоточаваме ли се върху правилните мерки за сигурност? Самият брой на внедрените инструменти не определя киберустойчивостта на дадена организация. Това, което наистина има значение, е ефикасността на тези средства за контрол на сигурността и способността да се прекъсне веригата на атаката в ранните ѝ етапи. За да постигнат това, организациите трябва да разберат анатомията на една кибератака.

Реалността на кибератаките

В продължение на години кибератаките са представяни като сложни операции, използващи уязвимости от нулев ден, изискващи усъвършенствани техники за кодиране, за да се пробие привидно непробиваемата защита. Реалността е съвсем различна:

Днес кибернетичните противници не хакват – те влизат в системата. Нападателите използват предимно слаби, откраднати или компрометирани идентификационни данни. Според Доклада на Verizon за разследванията на нарушения на сигурността на данните през 2024 г. 80 % от нарушенията са свързани с фишинг и злоупотреба с удостоверения.

Въпреки това много организации все още отделят най-голям дял от бюджета си за сигурност за периметрова защита, вместо да инвестират в контроли, които се отнасят до най-често срещаните вектори на атака: злоупотреба с пълномощия и компрометирани крайни точки.

Това е критична грешка. За да изградят ефективна стратегия за киберсигурност, организациите трябва да разберат как действат хакерите, като идентифицират техните тактики, техники и процедури (TTP). Това изисква задълбочено вникване в жизнения цикъл на кибератаката.

Анатомия на кибератаката

Макар че съществуват различни модели за описание на жизнения цикъл на кибератаката – известен още като верига на поразяване – повечето следват една и съща основна трифазна структура. Тези фази се прилагат както за външни, така и за вътрешни заплахи.

Фаза 1: Компрометиране

Повечето кибератаки започват със събиране на данни за удостоверения. Нападателите използват:

• Фишинг кампании
• Техники за социално инженерство
• Издирване на пароли
• Цифрови скенери
• Атаки, базирани на зловреден софтуер
• Откраднати идентификационни данни от тъмната мрежа

След като получат идентификационните данни, киберпрестъпниците използват груба сила, набиване на идентификационни данни или разпръскване на пароли, за да получат достъп.

Тъй като тези атаки заобикалят традиционните защити на периметъра, организациите трябва да променят начина си на мислене и да възприемат подход на нулево доверие, който предполага, че нападателите вече са вътре в мрежата. Тази перспектива трябва да определя архитектурата, инвестициите и политиките за сигурност занапред.

Фаза 2: Проучване

След като получат достъп, нападателите извършват разузнаване, като картографират мрежата, за да идентифицират ценни активи, привилегировани акаунти и контроли за сигурност. Основните им цели включват:

• Контролери на домейни
• Активни директории
• Критични сървъри

За да ограничат разузнаването и страничното движение, организациите трябва да приложат най-добрите практики за управление на легитимния достъп (Privileged Access Management – PAM), включително:

• Прилагане на многофакторна автентикация (MFA) навсякъде
• Прилагане на контрол на привилегиите „точно навреме“
• Създаване на зони за достъп
• Използване на защитена среда за администриране

Фаза 3: Ексфилтриране и прикриване

След като атакуващите открият чувствителни данни, те увеличават привилегиите си, за да ексфилтрират информация и да прикрият следите си. Обичайните тактики включват:

• Създаване на задни врати (напр. SSH ключове) за бъдещ достъп
• Деактивиране на дневниците и сигналите за сигурност
• Маскиране като легитимни потребители

За да противодействат на тези заплахи, организациите трябва:

• да прилагат MFA за всички акаунти
• да разделят административните акаунти (както се препоръчва от Microsoft)
• да прилагат одитиране и мониторинг на базата на хостове
• да използват машинно обучение за откриване на аномално поведение на привилегировани потребители

Заключение

Разбирането на TTPs на хакерите е от съществено значение за привеждане на мерките за сигурност в съответствие с реалните заплахи. Организациите трябва да признаят, че сигурността не се състои в броя на използваните инструменти, а в това да се гарантира, че тези инструменти ефективно прекъсват веригата на атаките на всеки етап. В крайна сметка инвестициите в сигурността трябва да бъдат съобразени с реалните тактики за атаки, а не само с разпространението на инструментите.

Чрез приоритизиране на сигурността на удостоверенията, защитата на крайните точки и принципите на нулевото доверие предприятията могат значително да намалят излагането си на риск и да изградят истинска киберустойчивост.

Автор: Торстен Джордж