КОД ИБ: информационная безопасность

Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов

В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний".

➡️ Смотреть выпуск на YouTube
➡️ Смотреть выпуск на RuTube
➡️ Смотреть выпуск в ВК

📝 Напомним вводные

• Атака на крупную нефтехимическую компанию.
• Цель — шифрование ключевой базы данных.
• В компании:
— Разветвленная инфраструктура, включающая складские комплексы и логистику, заводы и производство.
— Обрабатывают ПДн.
— В штате несколько сотен сотрудников, ИБ-команда отсутствует, функции переложены на IT.
— СЗИ — антивирус и бэкап.

🔓 Этапы атаки

День 1-7. Разведка:
• Прощупывание периметра: перебор паролей, попытки входа под заблокированными УЗ.
• Компания активности не заметила.

Даже простые меры без закупки дорогих решений могли бы заметить разведку и остановить атаку еще до фишинга и заражения.

📌 Что можно было сделать: установить honeypot на IP, капчи на формах входа и геоблокировку, настроить алерты и Rate-limiting.

День 8. Фишинг:
• Архив с вредоносом прислали на четыре почты компании.
• Отправитель — домен ro.ru (Рамблер), ссылка — на Яндекс.Диск.
• Бухгалтер открыл файл → запустился .lnk-пейлоуда → PowerShell → загрузился dropper → ПК заражен.

📌 Причины проблемы: отсутствие фильтрации трафика, антиспама и обучения сотрудников. Антивирус не отработал, так как пейлоуд был уникален.

Доступ к RDP и 1С:
• От имени пользователя хакеры нашли вход на RDP-сервер и далее — на 1С.
• У пользователя была сохранена инструкция по подключению с паролем "12345" с настоятельной просьбой сменить пароли на 1C и RDP после первого входа, что не было сделано. Такой же пароль был и у других пользователей.

📌 Причины проблемы: не использовалась принудительная смена пароля, не было 2FA и контроля доступа.

Сканирование сети:
• Используя функцию обратных обработок на 1С-сервере, хакеры подняли привилегии до прав учетной записи под которой запущен 1С.
• Запустили сканирование от этой учетной записи.

Шифрование:
• Хакеры обнаружили уязвимость средства бекапа Veeam CVE-2023-27532 и выгрузили учетки.
• Учетку средства бэкапа добавили в доменные администраторы.
• Быстро нашли целевой сервер и изменили ключевую базу данных.

НС реализовано!

🚨 Главные ошибки компании

— Полное отсутствие зрелых ИБ-процессов
— Доступ в домен снаружи без должной защиты
— Хранение логинов и паролей в открытом виде
— Отсутствие мониторинга, реакции на инциденты, обучения персонала

💬 Рекомендации экспертов

Технические меры:
Настроить XDR/EDR, прокси с категоризацией, антиспам, WAF, геоблокировку.

Организационные:
Работать над осведомленностью сотрудников, проводить регулярные учения и отрабатывать сценарии реагирования.

Навести порядок в учетках и доступах:
Контролировать обязательную смену временных паролей, привилегии, разделить внутреннюю сеть.

Изменить отношение к безопасности:
Информационная безопасность = партнер, а не враг. Важно выстраивать доверие между ИБ, IT и бизнесом.

Эфиры ток-шоу "Безопасная среда" проходят каждый месяц. Следите за анонсами, чтобы не пропустить разбор нового инцидента.

Please open Telegram to view this post

VIEW IN TELEGRAM

❤3👍2

www.tgoop.com/codeibnews/3397

1.2K viewsApr 28 at 10:38

Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов

В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний".

➡️ Смотреть выпуск на YouTube
➡️ Смотреть выпуск на RuTube
➡️ Смотреть выпуск в ВК

📝 Напомним вводные

• Атака на крупную нефтехимическую компанию.
• Цель — шифрование ключевой базы данных.
• В компании:
— Разветвленная инфраструктура, включающая складские комплексы и логистику, заводы и производство.
— Обрабатывают ПДн.
— В штате несколько сотен сотрудников, ИБ-команда отсутствует, функции переложены на IT.
— СЗИ — антивирус и бэкап.

День 1-7. Разведка:
• Прощупывание периметра: перебор паролей, попытки входа под заблокированными УЗ.
• Компания активности не заметила.

Даже простые меры без закупки дорогих решений могли бы заметить разведку и остановить атаку еще до фишинга и заражения.

📌 Что можно было сделать: установить honeypot на IP, капчи на формах входа и геоблокировку, настроить алерты и Rate-limiting.

День 8. Фишинг:
• Архив с вредоносом прислали на четыре почты компании.
• Отправитель — домен ro.ru (Рамблер), ссылка — на Яндекс.Диск.
• Бухгалтер открыл файл → запустился .lnk-пейлоуда → PowerShell → загрузился dropper → ПК заражен.

📌 Причины проблемы: отсутствие фильтрации трафика, антиспама и обучения сотрудников. Антивирус не отработал, так как пейлоуд был уникален.

Доступ к RDP и 1С:
• От имени пользователя хакеры нашли вход на RDP-сервер и далее — на 1С.
• У пользователя была сохранена инструкция по подключению с паролем "12345" с настоятельной просьбой сменить пароли на 1C и RDP после первого входа, что не было сделано. Такой же пароль был и у других пользователей.

📌 Причины проблемы: не использовалась принудительная смена пароля, не было 2FA и контроля доступа.

Сканирование сети:
• Используя функцию обратных обработок на 1С-сервере, хакеры подняли привилегии до прав учетной записи под которой запущен 1С.
• Запустили сканирование от этой учетной записи.

Шифрование:
• Хакеры обнаружили уязвимость средства бекапа Veeam CVE-2023-27532 и выгрузили учетки.
• Учетку средства бэкапа добавили в доменные администраторы.
• Быстро нашли целевой сервер и изменили ключевую базу данных.

НС реализовано!