Прошлый год ознаменовался чередой киберинцидентов, повлекших за собой рекордные убытки как для международных, так и для российских компаний. Благодаря ИИ и широкой доступности инструментария атаки становятся все дешевле для хакеров, а вот компании далеко не всегда успевают принять необходимые меры по повышению уровня защищенности, обнаружению нарушителей и своевременному реагированию.
Проблема заключается не столько в квалификации специалистов и доступных ресурсах, сколько в отсутствии базовых процессов, например процесса управления активами, напрямую связанного с получением актуальных данных о защищаемой инфраструктуре и ее слабых местах. Важным остается и то, насколько быстро и эффективно выявляются и устраняются критически опасные недостатки, которыми могут воспользоваться злоумышленники, а также насколько оперативно компания достигает целевого уровня защищенности критически важных бизнес-процессов.
Вместе с тем количество уязвимостей непрерывно растет, а недостатки защиты (например, ошибки конфигурации и избыточные привилегии пользователей) никуда не исчезают. Все это говорит о необходимости пр��менения другого подхода, направленного на достижение киберустойчивости — состояния, когда время реализации атаки (time to attack, TTA) значительно выше, чем время реагирования. В таком случае атака становится слишком дорогой для хакера.
Этот подход был реализован в MaxPatrol Carbon — системе, которая позволяет комплексно анализировать все недостатки инфраструктуры с точки зрения атакующего и проактивно управлять киберустойчивостью, правильно расставив приоритеты. Продукт моделирует потенциальные пути злоумышленников к целевым системам, оценивает уровень угрозы и в первую очередь рекомендует меры по устранению или усложнению наиболее опасных маршрутов. В статье разберем принцип работы MaxPatrol Carbon и расскажем о результатах его первых внедрений в инфраструктуру наших клиентов.
Хакеры ищут простые маршруты
Сегодня для успешной кибератаки хакерам не обязательно иметь высокую квалификацию, значительные финансовые и временные ресурсы. Проекты Positive Technologies по пентесту показали, что путь от проникновения в инфраструктуру до реализации хотя бы одного из сценариев недопустимых событий в среднем составляет четыре шага, а минимальное TTA — всего несколько часов. Причем в 45% случаев маршрут атаки до полной компрометации домена характеризовался низкой сложностью и в 30% — средней. Следовательно, реализовать недопустимое событие злоумышленники могли без особых усилий. В среднем атака, совершенная по простому сценарию, занимает от нескольких часов до недели. В свою очередь, на прохождение сложного маршрута уходит не менее семи дней.
Важно понимать, что для эффективной защиты инфраструктуры недостаточно только устранять уязвимости. Результаты расследования инцидентов и данные проектов по пентесту демонстрируют, что за последние два года хакеры чаще всего использовали уязвимости для «пробива» периметра или для получения первоначального доступа. На последующих этапах атаки дефекты безопасности эксплуатируются значительно реже, что подтверждают и зарубежные источники.
Цели первых внедрений
При проведении первых проектов по внедрению MaxPatrol Carbon в инфраструктуру компаний были поставлены две цели:
Провести динамическую оценку киберустойчивости организации путем непрерывного моделирования и анализа количественных и качественных метрик маршрутов кибератак.
Повысить эффективность мер по устранению слабых мест в инфраструктуре, изучив возможности хакеров и приоритизировав рекомендации по укреплению защиты на основе полученной информации.
Подробнее о принципах работы MaxPatrol Carbon и задачах, решаемых с его помощью, мы рассказывали в статьях «Видеть инфраструктуру как хакер. Почему важно управлять потенциальными маршрутами атак и как их найти» и «Видеть инфраструктуру как хакер. От графа моделирования угроз к алгоритмам, которые находят маршруты атак на нем».
Как проходит внедрение
Для работы MaxPatrol Carbon необходимы данные об активах, сетевой достижимости, привилегиях пользователей, а также сведения об актуальных уязвимостях и соответствии конфигурации устройств требованиям безопасности. Всю эту информацию продукт получает от системы управления уязвимостями MaxPatrol VM с модулем MaxPatrol Host ComplianceControl (HCC), который проверяет ИТ-инфраструктуру на соответствие стандартам кибербезопасности. Кроме того, MaxPatrol Carbon может дополнительно получать данные о параметрах мониторинга источников событий безопасности на активах через MaxPatrol SIEM. С помощью этих сведений при анализе потенциальных путей атак в MaxPatrol Carbonможно оценить время, необходимое специалистам для того, чтобы детектировать действия атакующего (time to detect, TTD).
Проекты по внедрению MaxPatrol Carbon обычно длятся от трех месяцев до полугода. Продолжительность по большей части зависит от выполнения предварительных требований и от общей организации процесса. Первые внедрения показали, что использовать MaxPatrol Carbon с максимальной эффективностью можно при соблюдении ряда условий. Например, необходимы:
Понимание, на каких целевых системах злоумышленники могут реализовать недопустимые события.
Полноценное покрытие инфраструктуры аудитом в MaxPatrol VM. Связность активов на карте сети должна находиться на уровне 80%.
Сегментация сети на базовом уровне. Сеть должна быть по крайней мере разделена на зоны с помощью VLAN с фильтрацией доступа между пользовательскими и серверными сегментами. Это позволяет уменьшить число связей и снизить вариативность возможных действий нарушителя, влияет на технические характеристики сервера, а также на размер графа угроз и скорость его построения.
По результатам внедрений MaxPatrol Carbon было разработано «Руководство по аудиту активов», которое поможет специалистам SOC полноценно просканировать инфраструктуру организации и привести ее к состоянию Carbon-ready.
Установив MaxPatrol Carbon и интегрировав его с MaxPatrol VM, необходимо указать целевые системы и потенциальные точки проникновения атакующих в инфраструктуру. Можно выбрать целевые системы из тех, что будут автоматически предложены на основе экспертных сценариев и данных об активах, или самостоятельно задать учетные записи, FQDN или IP-адреса.
При первом запуске MaxPatrol Carbon в подготовленных инфраструктурах время появления первых маршрутов атак составляло от 30 минут. При этом расчет большинства из них занимал несколько часов и происходил непрерывно: алгоритмыпродолжали «обходить» цифровую модель инфраструктуры и находить все новые и новые маршруты, в том числе включающие десятки шагов.
Чтобы специалисты по кибербезопасности могли обрабатывать в первую очередь наиболее короткие и быстрые [DS3] маршруты, требующие наибольшего внимания, мы стали искусственно ограничивать общее число находок: по умолчанию система отображает максимум 500 тысяч возможных путей злоумышленников. При этом работа MaxPatrol Carbon не прекращается: по мере выполнения рекомендаций по усилению защиты в системе появляются все более длинные и сложные маршруты.
Контролировать расчет маршрутов помогают специальные дашборды на платформе Grafana, которая устанавливается вместе с MaxPatrol Carbon. Пример интерфейса приведен на скриншоте ниже. На нем видно:
гистограмму распределения маршрутов по числу шагов (distribution of routes by number of steps), причем большинство маршрутов состоит из 10–12 шагов;
суммарное число построенных маршрутов за выбранный интервал времени (routes count);
скорость нахождения новых маршрутов (route finding speed, min), которая составляла 4,1 тысячи маршрутов в минуту.
Характерные кейсы
По результатам первых десяти проектов нам удалось собрать полезные сведения о потенциальных возможностях хакеров и определить перспективу дальнейшего развития продукта. В этом помогли отдельные кейсы внедрений.
Внутренний нарушитель: утечка конфиденциальных данных
Социальная инженерия остается основным методом кибератак, причем в первых трех кварталах 2025 года доля успешных атак на организации с ее использованием выросла до 60% после 49% в 2023-м и первой половине 2024-го. Такая динамика объясняется активной деятельностью финансово мотивированных и кибершпионских группировок: их действия обычно начинаются с фишинговых рассылок, направленных на компрометацию пользовательских систем для дальнейшего развития атаки.
В одном из проектов сценарий реализации недопустимого события был связан с утечкой конфиденциальных данных в результате предполагаемого фишинга. Совместно с экспертами компании специалисты Positive Technologies выделили уязвимые учетные записи сотрудников, наиболее подверженных социальной инженерии.
Минимальное время реализации атаки на одном из рассчитанных маршрутов составляло 3 часа 20 минут без учета времени на разведку и сбор данных об инфраструктуре. Подробнее о методике и особенностях расчета времени ат��ки читайте в отдельной статье.
Внешний нарушитель: эксплуатация уязвимости
Среди интересных кейсов также можно выделить сценарий, в котором первым шагом атакующего стало получение доступа к опубликованному во внешней сети веб-серверу[DS4] . Ему удалось этого достичь через эксплуатацию популярной RCE-уязвимости. При расчете маршрута были учтены настройки реверс-прокси и межсетевого экрана. В этом случае минимальное время реализации атаки составило 4 часа 7 минут.
Общие итоги
Минимальное время реализации атаки на проектах в среднем составляло около трех часов. Достичь недопустимого события во всех проектах удавалось не меньше чем за три шага. Если целевая система не находится на периметре, не имеет критически опасной уязвимости с общедоступным эксплойтом, а учетная запись с достаточными привилегиями не будет скомпрометирована в процессе фишинга, то реализация атаки за меньшее число шагов в целом маловероятна. Поэтому можно сделать вывод, что в инфраструктурах компаний уже были соблюдены минимальные требования к безопасности.
Вместе с тем маршруты до четырех шагов присутствовали в каждой инфраструктуре. Они являются наиболее опасными, что подтверждают данные проектов по тестированию на проникновение. Примечательно, что число коротких путей не всегда зависит от числа маршрутов и активов. Так, в одной из инфраструктур на 500 активов было найдено 30 маршрутов в три шага и 1551 маршрут в четыре шага. В свою очередь, в инфраструктуре с 1200 активами было зафиксировано всего 436 маршрутов из четырех шагов.
* В более ранних релизах продукта не было ограничения по количеству отображаемых маршрутов атак
Некоторые маршруты включали множество однотипных действий, связанных с перемещением хакера по сети. Были маршруты и по 50 шагов — именно такой лимит задан в настройках продукта: атакующий вряд ли пойдет по столь длинному пути, поэтому и продолжать расчет было бы бессмысленно. Вместе с тем длинные маршруты помогли выявить проблемы, связанные с чрезмерным сетевым доступом и недостаточным контролем привилегий на рабочих станциях. Получив доступ к одной из них, злоумышленник, используя протокол RDP, мог перемещаться между другими станциями под одной доменной учетной записью пользователя.
Минимальное время обнаружения
Чем раньше получится зафиксировать действия атакующего, тем больше времени останется на реагирование. Рассчитать время, необходимое для обнаружения активности злоумышленника, получилось на маршрутах, где, помимо MaxPatrol VM, использовался наш продукт MaxPatrol SIEM. Были настроены мониторинг источников и журналирование событий, необходимых для обнаружения активности атакующего — подключения по RDP с почтового сервера к контроллеру домена. В результате атака была зафиксирована на третьем шаге, значение TTD составило 1 час 49 минут.
Приоритизация уязвимостей
Мы оценили эффективность использования MaxPatrol Carbon для управления уязвимостями, сравнив продукт с подходом, доступным только при использовании MaxPatrol VM. На рисунке ниже представлена статистика на примере одного из проектов внедрений MaxPatrol Carbon.
В левой части рисунка демонстрируется принцип приоритизации уязвимостей в MaxPatrol VM, основанный на значимости активов; в правой — метод приоритизации с помощью MaxPatrol Carbon с дополнительными критериями через проекцию уязвимостей на маршруты кибератак до целевых систем.
Вот как это выглядит поэтапно. За исходное состояние принимается общее число RCE- и LPE-уязвимостей, выявленных MaxPatrol VM, затем среди них выделяются трендовые. Причем можно заметить, что на граф возможностей хакера, который строит технология моделирования угроз PT Threat Modeling Engine (коротко — граф угроз, граф TME), попали не все трендовые уязвимости. Это связано с тем, что не все дефекты безопасности могут быть использованы атакующим. На данном этапе происходит проверка условий эксплуатации брешей (например, оценка сетевой достижимости и других компенсирующих мер).
Снизить число доступных атакующему уязвимостей может и проекция на маршруты атак. На этом этапе также можно автоматически определить ключевые системы, через которые проходит большинство маршрутов. Обратить внимание стоить в первую очередь на короткие пути с высоким скорингом: на них выявляется до 5% всех уязвимостей, а те, для которых уже есть эксплойт, и вовсе измеряются десятками. Более того, закрыв уязвимости на паре активов, можно нейтрализовать большинство маршрутов к целевым системам. Связано это с тем, что подобные уязвимости часто находятся на узловых активах, например на jump-серверах, рабочих станциях администраторов, контроллере домена.
Описание маршрута и рекомендации
MaxPatrol Carbon позволяет получить статистику по учетным записям, которые с наибольшей вероятностью будут скомпрометированы при прохождении маршрутов атак, а также помогает определить, как именно и какие активы могут быть задействованы. При этом продукт не только дает контекст для приоритизации работ по устранению уязвимостей, но и автоматически формирует перечень рекомендаций по исправлению других возможных недостатков защиты. Как следствие, результативность проактивных мер и снижение остаточного ущерба от инцидентов кратно уменьшают затраты компании на кибербезопасность.
Примеры визуализации потенциальных маршрутов атак и перечень рекомендаций по их нейтрализации можно изучить ниже. На рисунке приведена визуализация маршрута из семи шагов, время реализации атаки составляет 3 часа 22 минуты. В качестве точки входа задана пограничная сеть (доступ из интернета), сценарий недопустимого события — кража отчета с рабочей станции топ-менеджера.
Шаг 1. Получение первоначального доступа к инфраструктуре в результате эксплуатации популярной RCE-уязвимости (CVE-2023-22527) на Unix-сервере care, веб-интерфейс которого доступен из внешней сети по порту 8090.
Шаг 2. Получение доступа к серверу Exchange (exchange01) с помощью эксплуатации другой уязвимости, связанной с удаленным выполнением кода (CVE-2021-34473), на порте 80 или 443. На выполнение этого шага требуется 24 минуты (подробнее про расчет времени рассказали в материале на Хабре). В процессе эксплуатации недостатка нарушитель также получает системную учетную запись (system).
Шаг 3. Получение данных из памяти процесса LSASS с использованием системной учетной записи. Так, атакующий может захватить хранящиеся в памяти процесса учетные данные пользователей, а также учетные данные доменных пользователей из кэша. В данном случае он может похитить учетную запись ademidova_admin.
Шаг 4. Подключение по протоколу RDP к серверу с установленным System Center Configuration Manager (SCCM) с помощью доменной учетной записи ademidova_admin.
Шаг 5. Захват системной учетной записи на активе SCCM путем локального повышения привилегий. Чтобы сделать это, нарушитель должен получить ряд привилегий на Windows-активе — выполнить это помогает имеющаяся у него учетная запись.
Шаг 6. Компрометация конечного устройства после захвата сервера SCCM. Атакующий может раскрыть доступные на конечных устройствах учетные записи, так как SCCM позволяет настраивать параметры защиты и выполнять задачи на конечных устройствах. Впоследствии нарушитель может воспользоваться ими для перемещения внутри периметра. В рассматриваемом кейсе атакующий получает доступ к системной учетной записи на рабочей станции топ-менеджера.
Шаг 7. Извлечение учетн��х данных из памяти процесса LSASS, чтобы захватить доменную учетную запись zgoncharova. Под ней уже возможна кража отчета.
Примеры рекомендаций
MaxPatrol Carbon предоставляет рекомендации, помогающие нейтрализовать действия хакера на каждом этапе атаки, причем для любой из них рассчитывается свое значение скоринга. Выполнение наиболее значимых рекомендаций, расположенных вверху списка, позволяет существенно повысить эффективность принимаемых мер и единовременно устранить значительное число маршрутов. Рекомендации могут быть такими:
1. Своевременное устранение уязвимостей на активах, которые доступны из внешней сети, а также на активах, являющихся ключевыми системами (в рассматриваемом кейсе это сервер exchange01).
2. Применение ролевой модели пользователей.
3. Настройка правил для ограничения доступа только по необходимым TCP- и UDP-портам; изоляция отдельных сегментов сети с помощью VLAN. Контролировать соответствие политикам сетевого доступа позволяет модуль Network Compliance Control (NCC).
4. Настройка мониторинга источников событий на активах. Позволит своевременно детектировать действия хакера на каждом этапе атаки.
5. Настройка эффективной политики паролей на активах exchange01, SCCM и top-user с использованием редактора групповых политик (Group Policy Editor). Согласно информации от модуля MaxPatrol HCC, на активах не задана минимальная длина пароля.
На одном из проектов, реализованном для госоргана (≈1000 активов), все маршруты с внешней точкой входа и условными уязвимостями нулевого дня на периметре проходили через один актив, так как у него были интерфейсы в сети DMZ и во внутреннем сегменте. Этим активом был старый сервер для IP-телефонии, в котором присутствовали критически опасные уязвимости. Отключение одного из интерфейсов и исправление в нем дефекта безопасности позволило нейтрализовать все пути до целевых систем из внешней сети на момент работы системы.
После устранения слабых мест в инфраструктуре и повторного аудита активов MaxPatrol Carbon перестраивает граф угроз на основе обновленной информации. Следовательно, число маршрутов может уменьшиться или, наоборот, увеличиться, если в инфраструктуре появились новые активы или параметры известных ранее устройств были изменены. На возникновение новых путей может повлиять и расширение набора поддерживаемых действий атакующих. Команда экспертного центраPositive Technologies регулярно развивает возможности MaxPatrol Carbon, добавляя поддержку наиболее популярных действий. В обновления закладывается наша экспертиза, основанная среди прочего на результатах пентестов и расследования инцидентов — нередко эти проекты проводятся параллельно с «пилотом» MaxPatrol Carbon.
Заключение
Первые внедрения подтвердили: наш подход к проактивному управлению киберугрозами, реализованный в MaxPatrol Carbon, эффективен в разных по составу и масштабу инфраструктурах. Комплексный анализ всех недостатков инфраструктуры вместо изучения фрагментированных источников предоставляет специалистам дополнительный контекст, позволяющий прогнозировать маршруты атак на критически важные бизнес-системы.
По результатам проведенных проектов, основные источники угроз сконцентрированы на узловых активах, которые находятся на большинстве потенциальных путей кибератак. Критические недостатки инфраструктуры, включая уязвимости, ошибки конфигурации и избыточные привилегии пользователей, составляют порядка 1–5% от всей площади атаки.
Автоматизация процессов и приоритизация мер защиты на основе опасности потенциальных путей атакующих позволяют выявить ключевые недостатки и рационально распределить ИТ‑ресурсы. Принцип «делай меньше, защищай больше» помогает сместить фокус с бесконечного точечного устранения источников опасности к проактивным мерам, дающим максимальный эффект. В результате эффективность работы специалистов по ИТ и ИБ, ответственных за укрепление инфраструктуры, увеличивается на 80%.
Во всех проектах нам удалось указать сотрудникам подразделений ИТ и ИБ на ключевые источники опасности, которым ранее не уделяли внимания (либо потому, что не знали о них, либо потому, что не видели в них реальной угрозы).
Зрелым организациям с большой инфраструктурой MaxPatrol Carbon поможет повысить эффективность управления активами и уязвимостями за счет приоритизации мер защиты. Тем, кто только открывает для себя проактивное управление киберустойчивостью, система позволит построить процессы с правильной расстановкой приоритетов: возьмет на себя всю экспертную составляющую и укажет первостепенные шаги для повышения защищенности бизнеса в условиях ограниченности времени и ресурсов.
Константин Маньяков
Лидер продуктовой практики MaxPatrol Carbon
