Продолжая пользоваться сайтом, Вы соглашаетесь с условиями использования файлов cookies.

SOC
ИБ-сервисы по подписке
Мониторинг и реагирование на кибератаки

Интеграционные решения
Новости
События
Компания
Запросить консультацию
ГлавнаяНовостиЭксперты RED Security SOC зафиксировали двукратный рост атак с использованием решений по кибербезопасности

Эксперты RED Security SOC зафиксировали двукратный рост атак с использованием решений по кибербезопасности

Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, сообщает о том, что за последние полгода киберпреступники стали в два раза чаще использовать легитимные средства защиты информации, такие как антивирусные решения и системы класса EDR (Endpoint Detection and Response), для проведения атак на российские компании.

По данным экспертов центра мониторинга и реагирования на кибератаки RED Security SOC, после первоначального проникновения в инфраструктуры российских компаний хакеры целенаправленно ищут серверы управления системами безопасности. Получив доступ к центральной консоли управления антивирусом или EDR с привилегиями администратора, злоумышленники используют эти доверенные инструменты для тотального распространения вредоносного ПО или выполнения деструктивных скриптов на всех рабочих станциях и серверах организации, где установлены агентские модули этих систем защиты.

Хакеры стали чаще обращаться к этому методу, поскольку использование легитимных инструментов позволяет им действовать максимально быстро и незаметно. При этом очевидно, что антивирусные или EDR-решения установлены практически во всех крупных организациях, а значит, такой подход с высокой вероятностью может сработать. Именно поэтому компаниям очень важно учитывать эти риски и применяли необходимые меры защиты

Владимир Зуев

Технический директор центра мониторинга и реагирования на кибератаки RED Security SOC

Главной причиной успешности таких атак, по данным аналитиков RED Security, является пренебрежение корпоративных заказчиков базовыми политиками информационной безопасности, которые в обязательном порядке рекомендуют вендоры защитных решений. Чаще всего нарушаются принципы строгой сегментации сети, изоляции и защиты критически важных систем управления, используются слабые или стандартные учетные данные для доступа к консолям администрирования, а также игнорируется применение самих средств защиты на серверах управления ими.

Для противодействия данной угрозе эксперты RED Security рекомендуют применять для доступа к системам управления безопасностью модель нулевого доверия (Zero Trust), включая механизмы многофакторной аутентификации и ограничение привилегий пользователей до минимально необходимых.

Также критически важно выделить и изолировать серверы управления системами защиты в отдельные сегменты сети с ограниченным доступом. Эксперты RED Security SOC подчеркивают, что настройки и активность EDR и антивирусов должны проходить регулярный аудит, а подозрительные действия с консолей управления данными средствами защиты необходимо поставить на круглосуточный мониторинг.

RED Security SOC предоставляет сервисы защиты от киберугроз в режиме 24/7 и ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах заказчиков. Эксперты центра мониторинга выявляют цепочки кибератак и выдают рекомендации, которые помогают заблокировать их развитие на ранних стадиях — до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.