Способы противодействия техникам злоумышленников с помощью PAM‑платформы СКДПУ НТ на примере матрицы MITRE ATT&CK.
Часть первая: разведка, подготовка ресурсов, первоначальный доступ.
Привет, Хабр! Меня зовут Дмитрий Симак, я менеджер продукта СКДПУ НТ в компании «АйТи Бастион», и последние 20 лет моя профессиональная жизнь вращается вокруг информационной безопасности. Моя деятельность сосредоточена на разработке и развитии российских решений для защиты критически важных систем, и сегодня поделюсь с вами реальным опытом противодействия современным угрозам.
В этой статье мы разберем, как PAM‑платформа СКДПУ НТ может использоваться для митигации (снижения рисков) техник злоумышленников, описанных в матрице MITRE ATT&CK, с целью увеличения времени атаки или достижения конечной цели злоумышленников, усложняя его действия на каждом этапе, и повышения скорости выявления и реагирования на инциденты, чтобы минимизировать потенциальный ущерб от атаки. Я не буду просто пересказывать общедоступную теорию — вместо этого покажу, какие конкретные механизмы защиты можно применить на практике.
О чем пойдет речь?
Это первая часть цикла, в которой мы рассмотрим следующие тактики злоумышленников:
Разведка (Reconnaissance)
Подготовка ресурсов (Resource Development)
Первоначальный доступ (Initial Access)
Для каждой техники я приведу примеры того, как PAM-платформа СКДПУ НТ помогает блокировать или минимизировать ущерб от атак, будь то предотвращение подготовки злоумышленником вредоносных ресурсов, защита от методов первоначального доступа или противодействие попыткам закрепиться в системе.
Кому будет полезно?
Специалистам по ИБ, которые хотят глубже разобраться в технологиях защиты.
Архитекторам безопасности, ищущим способы закрыть ключевые векторы атак.
Техническим руководителям, оценивающим инструменты для противодействия сложным угрозам.
Если вы только начинаете погружаться в тему PAM, рекомендую статью моего коллеги: Что такое PAM и зачем он нужен.
А для тех, кто хочет освежить знания о MITRE ATT&CK, вот отличный сборник материалов: MITRE ATT&CK: что это и как использовать.
Готовы погрузиться в технические детали? Тогда поехали!
TA0043: Reconnaissance |
T1595: Active Scanning |
T1592: Gather Victim Host Information |
T1590: Gather Victim Network Information |
ТАКТИКА TA0043 РАЗВЕДКА
Разведка — это фундамент любой успешной атаки. Злоумышленники собирают данные о целевой инфраструктуре: ищут открытые порты, уязвимые службы, информацию о пользователях и привилегированных учетных записях. Чем больше данных они получат на этом этапе, тем точнее спланируют атаку.
Может ли PAM-платформа предотвратить разведку?
Напрямую предотвратить — нет. Если злоумышленник изучает публичные данные (соцсети, утекшие базы и т.п.) или сканирует сетевые периметры, PAM не остановит этот процесс. Но он радикально усложняет злоумышленнику переход от разведки к реальной эксплуатации уязвимостей, а также снижает вероятность утечек и саму ценность привилегированных учетных данных для злоумышленников
Как именно?
Все подключения к критическим системам (серверы, базы данных, сетевые устройства) происходят строго через подсистему СКДПУ НТ Шлюза доступа. Прямые SSH/RDP-сессии извне закрыты NGFW или МЭ, который также может быть под контролем PAM — а значит, сканеры злоумышленника не увидят открытых портов 22/3389 на целевых хостах. Даже если атакующий обнаружит сервер, он не сможет взаимодействовать с ним напрямую — только через контролируемый PAM.
Помимо этого, PAM-платформа способна осуществлять мониторинг и блокировку подозрительных подключений. Детектор сканеров в подсистеме Мониторинга и аналитики анализирует попытки доступа без успешной аутентификации (брутфорс или перебор учетных данных), аномальную активность с одного IP (много неудачных попыток за короткое время). При превышении порога система автоматически генерирует инцидент и может, например, инициировать запуск какого-то процесса, который в свою очередь может заблокировать IP на уровне шлюза или — отправить уведомление в SIEM или SOC о потенциальной разведке.
Давайте разберем конкретные техники.
Техника T1595: Активное сканирование
Что делает злоумышленник?
Сканирует внешний периметр сети (Nmap, Masscan, Nessus) в поисках открытых портов, операционных систем, сервисов. Пытается определить, какие системы доступны для атаки, обнаружить потенциально уязвимые узлы, составить карту сети для планирования дальнейшей атаки.
Типичный сценарий злоумышленника: получает исходные данные (например, диапазон IP компании), запускает сканирование, анализирует результаты, выбирая цели для атаки.
Как противодействует СКДПУ НТ?
1. Принцип логического разрыва. Нет прямого доступа = нет сканирования. Критические системы полностью скрыты за PAM. Если критическая система доступна только через PAM, а межсетевое экранирование закрывает другие доступы, сканеры злоумышленника просто не увидят ее в сети.
Пример: При сканировании сети злоумышленник обнаруживает только порты PAM, но не видит SSH/RDP на внутренних серверах.
2. Маскировка реальной инфраструктуры и защита от внутреннего сканирования Даже если атакующий получит доступ к PAM и попытается обследовать инфраструктуру изнутри, PAM будет ограничивать видимость внутренних хостов — пользователь видит только разрешенные ему системы. Также функционал позволяет запретить выполнение произвольных команд, например, nmap внутри сессии.
Пример: Злоумышленник получил доступ к PAM, но сессии работают без доступа к shell, или блокируется выполнение сканирующих команд (nmap, ping, traceroute). Политиками RBAC ограничивают видимость узлов — атакующий видит только разрешенные пользователю системы.
3. Детектирование аномальных подключений. Анализируется частота и характер подключений. Фиксируются множественные попытки доступа без авторизации при превышении порога.
Пример: Злоумышленник зашел на PAM и пытается перебирать логины к целевой системе. PAM-платформа фиксирует попытки доступа к целевой системе без дальнейшей авторизации от конкретного источника в течение определенных промежутков времени. Детектор накапливает информацию о подключениях без авторизации от каждого IP-адреса и при частых повторениях этого подключения создает инцидент, оповещает администратора и блокирует IP-адрес.
Техника T1592: Сбор информации об атакуемых узлах
Что делает злоумышленник?
Собирает детальную информацию о конкретных системах: конфигурацию оборудования и ПО, учетные записи и привилегии, сетевые параметры и зависимости.
Методы сбора: анализ сервисов, запросы к SNMP, LDAP, изучение системных логов и т.п.
Как противодействует СКДПУ НТ?
1. Контролируемый доступ к узлам. Все подключения проходят строгую авторизацию. PAM-платформа ограничивает возможность доступа к целевым системам без прохождения авторизации на стороне СКДПУ НТ. IP-адреса целевых систем недоступны пользователю и не раскрываются.
Даже если злоумышленник проник в PAM, его возможности по сбору информации сильно ограничены. Он не может свободно исследовать инфраструктуру, а его действия могут быть быстро обнаружены и пресечены. Это сильно снижает эффективность разведки.
2. Ограничение сбора информации в сессиях. Могут быть запрещены команды типа uname, systeminfo, cat. Могут быть запрещен запуск конкретных утилит, при помощи которых можно делать снимки экрана или запуск утилиты, куда потенциально можно скопировать изображение.
3. Сессионный контроль. Ведется логирование и запись видео всех действий оператора. Возможно автоматическое завершение сессии при попытке сбора системной информации.
Пример: При попытке выполнить в сессии команду
$cat /etc/ interfaces
PAM-платформа блокирует команду как нарушающую политики, фиксирует инцидент и отправляет уведомление в SOC. При необходимости имеется возможность задать количество предупреждений, выводимых пользователю, до его отключения. При этом на целевом устройстве команда выполняться не будет.
Техника T1590: Сбор информации о сетевой инфраструктуре
Что делает злоумышленник?
На этом этапе атакующий стремится получить максимально детальную информацию о целевой инфраструктуре: сетевую топологию (какие хосты доступны, как связаны между собой), конфигурацию систем (версии ОС, установленное ПО, открытые порты), учетные записи (логины администраторов, сервисные аккаунты).
Методы сбора данных: пассивный анализ, например, парсинг публичных источников, утечек; активные запросы (сканирование сети, запросы к DNS, SNMP, LDAP); социальная инженерия (фишинг, поиск данных в соцсетях).
Цель — построить точную карту атаки, чтобы выбрать уязвимые точки для взлома.
Как противодействует СКДПУ НТ?
Логический разрыв инфраструктуры. PAM-платформа разрывает прямую связь между пользователем и целевой системой. Все подключения к критическим узлам проходят строго через Шлюз доступа. Прямые RDP/SSH-сессии извне невозможны — атакующий не видит реальных IP-адресов внутренних систем. Нет доступа — нет информации.
Маскировка реальной инфраструктуры и изоляция сессии. PAM скрывает реальную сетевую топологию. Пользователь в PAM не видит внутренние IP-адреса. Даже если злоумышленник проникнет на шлюз, он не сможет найти другие серверы. Возможно настроить ограничение доступа к сетевым утилитам.
Сессионный контроль. Ведется логирование и видео запись всех действий оператора. Возможно автоматическое завершение сессии при попытке информации о сетевой инфраструктуре. Администратор может разрешить только конкретные действия или запретить конкретные команды.
Пример: Оператор подключается к серверу через RDP для выполнения административных задач. СКДПУ НТ ведет журнал всех его действий (логи команд, видеозапись экрана), анализирует их в реальном времени и ретроспективно. Даже после закрытия сессии аудитор может просматривать данные и проводить расследования.
4. Контроль стандартных команд. Детектор может анализировать команды и строить по ним базовое поведение пользователя. При обоснованном подозрении, что наблюдается серьезное отклонение от ранее зафиксированного потока команд, который система выучила за настроенный период, детектор создаст инцидент.
Пример: При попытке выполнить в сессии сетевую команду
$netstat -t
PAM-платформа блокирует команду как нарушающую политики, фиксирует инцидент и отправляет уведомление в SOC.
Выводы
PAM-платформа не делает инфраструктуру невидимой, но:
Скрывает критичные системы за шлюзом.
Превращает разведку в шумный и рискованный процесс (блокировки, алерты).
Увеличивает стоимость атаки — злоумышленнику нужно искать обходные пути. Атакующий сталкивается с высоким порогом входа, риском быстрого обнаружения и непредсказуемыми препятствиями. В результате многие атаки прекращаются на этапе разведки — потому что проще найти менее защищенную цель.
PAM-платформа СКДПУ НТ не заменяет другие средства защиты, но создает критически важный "буферный слой", без преодоления которого злоумышленник не может эффективно провести разведку. Противодействие СКДПУ НТ превращает разведку из скрытного процесса в заметное событие, после которого злоумышленник либо раскрывает себя, либо вынужден отказаться от атаки.
Как вам такой подход? Применяли PAM для защиты от разведки в своих проектах? Делитесь опытом в комментариях!
Движемся далее, переходим к тактике подготовки ресурсов.
TA0042: Resource Development |
T1650: Acquire Access |
T1586: Compromise Accounts |
ТАКТИКА TA0042 ПОДГОТОВКА РЕСУРСОВ
Подготовка ресурсов — критически важный этап кибератаки, на котором злоумышленники формируют инфраструктуру для будущего вторжения. Покупка доступа и использование украденных учетных данных делают этот этап особенно опасным.
На этапе подготовки ресурсов атакующий создает инфраструктуру для будущей атаки. Основные цели: получение учетных данных, организация каналов управления, создание точек входа в целевую инфраструктуру. Типичные методы — покупка на черном рынке учетных записей, корпоративных VPN‑доступов, сессий к серверам, целевой фишинг сотрудников с привилегиями, кража сертификатов и т. п.
Может ли PAM‑платформа предотвратить этот этап?
PAM‑платформа СКДПУ НТ безусловно не может полностью предотвратить подготовку ресурсов для атак и полностью заблокировать подготовительные действия, но значительно снижает их эффективность за счет многоуровневого контроля и поведенческого анализа.
Давайте разберем конкретные техники.
Техника T1650: Приобретение доступа
Что делает злоумышленник?
Злоумышленники все чаще используют рынки киберпреступности, вместо того чтобы самостоятельно взламывать целевые системы. Покупают доступы через брокеров, используют партнерские сети, обмениваясь скомпрометированными системами, выбирая «тихие» системы — без мониторинга безопасности и контроля над привилегиями.
Как противодействует СКДПУ НТ?
1. Защита сервисных учетных записей. Сервисные аккаунты могут использоваться только через СКДПУ НТ, что блокирует прямой доступ злоумышленников. Функционал модуля Менеджеру паролей обеспечивает скрытие учетных данных от целевого устройства для пользователя, а также позволяет автоматизировать ротацию паролей учетных записей в соответствии с заданными политиками. Такой подход минимизирует риск утечки авторизационных данных и превращает сервисные аккаунты из потенциальные уязвимости в контролируемый ресурс, сводя риск компрометации к минимуму.
2. Временное предоставление привилегий только на время задачи — JIT-доступ (Just-In-Time).
Пример: Привилегированный пользователь запрашивает временные права для выполнения обновления Windows. Администратор предоставляет доступ на 2 часа, автоматически истекающий после завершения задачи. Дополнительно ведется запись всех действий пользователя. По истечении 2 часов доступ аннулируется. Администратор может проверить действия пользователя для выявления подозрительных операций. Таким образом, даже если права будут проданы, они не смогут быть использованы после истечения срока.
3. Работа по заявкам с подтверждением доступа. PAM-платформа СКДПУ НТ позволяет организовать доступ пользователей к целевым ресурсам по предварительным заявкам с согласованием ответственными лицами, а также с возможностью интеграции подобных заявок с внешними тикет-системами. Для настройки подтверждений доступа администраторами необходимо включить рабочий процесс утверждения, выбрать группу ответственных лиц для подтверждения и установить кворум голосов в разрешенное время и вне времени. При подключении к целевому устройству пользователю будет необходимо указать длительность сессии, а также комментарий и номер тикета (если потребуется), после чего ожидать решения группы ответственных лиц. Только после подтверждения нужным кворумом администраторов пользователю предоставляется доступ к запрашиваемому целевому ресурсу. Это позволяет разрешить доступ только тем пользователям, которым он действительно необходим. Это снижает риски и возможности злоумышленников.
Пример: Сотрудник ИТ-отдела подает заявку на доступ к серверу. Заявка отправляется группе администраторов для утверждения с установленным кворумом голосов. Сотрудник указывает длительность сессии и номер тикета и ждет подтверждения от администраторов. После одобрения доступ предоставляется на ограниченное время. Все действия пользователя фиксируются, доступ аннулируется после завершения работы. Это значительно снижает риски получения доступа злоумышленников к системе.
4. Персонализированные учетные записи. PAM-платформа СКДПУ НТ может ограничивать использование общих аккаунтов (типа admin, root), заменяя их персонализированными учетными записями с привязкой к конкретному сотруднику. Дополнительно возможна идентификация продающих учетную запись — если учетная запись появляется на черном рынке, то по ней возможно установить, кто именно из сотрудников мог ее скомпрометировать.
5. Поведенческий анализ привилегированных пользователей. Выявление аномалий (необычные время входа, географическое положение, частота запросов). СКДПУ НТ предоставляет возможность отслеживания легитимных IP-адресов, с которых пользователи могут подключаться к системе. При попытке подключения с нелегитимного адреса доступ автоматически блокируется, что обеспечивает дополнительный уровень защиты. Также реализована возможность ограничения числа попыток входа, с блокировкой учетной записи при превышении допустимого лимита.
Пример: PAM-платформа отслеживает IP-адреса, с которых пользователи регулярно подключаются к ресурсам. При попытке входа с нового или нелегитимного IP-адреса система автоматически создает инцидент и уведомляет администраторов. Если пользователь пытается войти с адреса, который не соответствует его привычным сетевым адресам, доступ блокируется. Если превышен лимит неудачных попыток входа, учетная запись пользователя блокируется для предотвращения атак. Администраторы получают уведомления об аномальных попытках входа, что позволяет оперативно реагировать на возможные угрозы. Таким образом, система предотвращает несанкционированный доступ и снижает риски, связанные с покупкой доступа злоумышленниками.
6. Многофакторная аутентификация. Система поддерживает двухфакторную аутентификацию (2FA), что предотвращает доступ без второго фактора. Это усложняет использование приобретенных учетных данных.
Техника T1586: Компрометация учетных записей
Что делает злоумышленник?
Учетные записи пользователей — один из ключевых инструментов атакующих. Данная техника описывает, как хакеры компрометируют существующие аккаунты, вместо создания новых. Это позволяет им обходить защитные механизмы, основанные на доверии, и повышает успешность атак, особенно с помощью социальной инженерии. Компрометация аккаунтов — не просто взлом пароля, а целый комплекс методов, направленных на получение контроля над чужими учетными данными.
Как противодействует СКДПУ НТ?
1. Защита сервисных учетных записей. Сервисные аккаунты могут использоваться только через СКДПУ НТ, что блокирует прямой доступ злоумышленников. Функционал подсистемы Менеджер паролей обеспечивает скрытие учетных данных от целевого устройства для пользователя, а также позволяет автоматизировать ротацию паролей УЗ в соответствии с заданными политиками. Такой подход минимизирует риск утечки авторизационных данных и превращает сервисные аккаунты из потенциально уязвимых в контролируемый ресурс, сводя риск компрометации к минимуму.
2. Ограничение доступных действий пользователя. PAM-платформа СКДПУ НТ может ограничить доступные действия, указав, какие функции и команды не могут выполнять пользователи. Имеется возможность осуществлять фиксацию клавиатурного ввода, заголовков окон, запускаемых и останавливаемых процессов, выполняемых команд, текстового и файлового буферов обмена и другие события на целевом устройстве. Система позволяет превентивно запрещать использование тех или иных команд в рамках SSH-сессий, ввод указанного текста и запуск определенных окон в RDP. Возможность реализована благодаря считыванию заголовков окон с помощью технологии оптического распознавания символом (OCR, Optical Character Recognition). Механизм как автоматически закрывает сессии при совпадении с предустановленным запретом, так и незаметно для пользователя отправляет почтовое уведомление специалистам ИБ о нарушениях в сессиях. После получения такого уведомления ИБ-специалист или администратор системы может подключиться к сессии пользователя и на свое усмотрение закрыть доступ или не влиять на сессию. Также реализован механизм запрета использования перехода на другие устройства в инфраструктуре с целевого устройства.
Паттерны формируются следующим образом:
$prefix:><connection address:port>
Еще существует механизм, закрывающий приложения не на уровне считывания заголовка, а на уровне процесса. Паттерн можно настроить как под конкретные процессы, так и при установке соединения до определенных хостов.
Паттерны мониторинга запуска процессов формируются так:
$prefix:><search pattern>
Правило уведомления создается с префиксом $notify. Правило запрета создается с префиксом $deny.
Администраторы могут настраивать PAM-платформу СКДПУ НТ под конкретные сценарии использования, ограничивая доступ к определенным процессам или хостам, и четко определять, какие команды и функции доступны.
3. Поведенческий анализ. В подсистеме Мониторинг и аналитика PAM-платформы СКДПУ НТ детектор забытых персон позволяет выявлять инциденты при появлении активности пользователей после длительного отсутствия. Это типичная ситуация – когда мы забыли почистить старые учетки. С кем такого не было?
Пример: PAM-платформа отслеживает активность пользователей и фиксирует периоды их отсутствия. При обнаружении входа в систему пользователя, который не проявлял активности в течение длительного времени, генерируется инцидент. Уровень критичности инцидента определяется на основе длительности отсутствия пользователя. Чем дольше он не входил в систему, тем выше уровень тревоги. Система уведомляет администраторов о подозрительной активности, позволяя им оперативно реагировать на возможную компрометацию учетной записи. Администраторы могут инициировать дополнительные проверки, такие как подтверждение личности пользователя или ограничить доступ до выяснения обстоятельств.
4. Многофакторная аутентификация. Уже упомянутая двухфакторная аутентификация (2FA) здесь тоже очень может помочь и усложнить использование компрометированных учетных данных.
Выводы:
PAM-платформа СКДПУ НТ не может полностью заблокировать подготовительные действия, но значительно снижает их эффективность за счет многоуровневого контроля и поведенческого анализа, которые:
Делают УЗ бесполезными для атаки
Усложняет использование украденных учетных данных
Своевременно выявляет аномальное поведение
Минимизирует ущерб даже при частичной компрометации
СКДПУ НТ не только снижает эффективность таких действий, но и значительно повышает их стоимость для злоумышленников, вынуждая их искать менее защищенные цели.
В сочетании с другими системами безопасности (например, SIEM, EDR, DLP) и регулярным обучением сотрудников, PAM-платформа становится критически важным элементом защиты на ранних этапах кибератаки.
А как вы защищаетесь от подготовки атак в своих инфраструктурах? Делитесь кейсами в комментариях!
Движемся далее, переходим к ТАКТИКЕ ТА0001 ПЕРВОНАЧАЛЬНЫЙ ДОСТУП.
TA0001: Initial Access |
T1133: External Remote Services |
T1566: Phishing |
T1195: Supply Chain Compromise |
T1199: Trusted Relashionship |
T1078: Valid Accounts |
Может ли PAM-платформа предотвратить этот этап?
PAM-системы традиционно считаются инструментом для контроля уже имеющегося доступа, но современные платформы, такие как СКДПУ НТ, выходят за эти рамки — они не просто регистрируют атаки на этапе первоначального доступа, но и способны активно противодействовать им через многослойную защиту.
Давайте разберем конкретные техники.
Техника T1133: Внешние службы удаленного доступа
Что делает злоумышленник?
Атакующие активно эксплуатируют внешние точки входа в корпоративную инфраструктуру: целенаправленные атаки на VPN-шлюзы через уязвимости, брутфорс сервисов, выставленных в интернет, злоупотребление корпоративными облачными сервисами (VDI, SaaS‑решения), использование компрометированных учетных данных для доступа через легитимные каналы.
Особую опасность как правило представляют: устаревшие реализации протоколов, конфигурационные ошибки (неограниченное количество попыток входа), отсутствие сегментации доступа.
Как противодействует СКДПУ НТ
1. PAM как единственная точка входа. Одной из лучших практик является обеспечение безопасного удаленного доступ к ресурсам организации с помощью системы класса PAM. Комбинирование технологий, процессов и анализа действий пользователей создает многослойную защиту, которая значительно снижает риски, связанные с удаленным доступом. Через внешний удаленный доступ по VPN пользователям доступно только один сервис — PAM‑платформа СКДПУ НТ. Любой внешний привилегированный пользователь, получающий доступ к инфраструктуре, проходит дополнительный контроль и аутентификацию на Шлюзе доступа СКДПУ НТ. С помощью NGFW или МЭ все другие сервисы (RDP, SSH, веб‑интерфейсы) скрыты за корпоративным периметром, реализуется политика «нулевого доверия» на сетевом уровне. Все соединения инициируются изнутри PAM‑системы. Пользователи не имеют прямого доступа к целевым системам.
2. Контроль удаленного доступа внутри сессии. Детектор использования средств удаленного доступа в подсистеме Мониторинг и аналитика PAM-платформы СКДПУ НТ. Детектор дает возможность контролировать подключения к другим системам в рамках сессии.
Пример: Злоумышленник, получивший доступ к легитимной сессии PAM, пытается запустить mstsc.exe из командной строки и подключиться к доменному контроллеру. Детектор использования средств удаленного доступа автоматически создает инцидент и уведомляет администраторов, на почту приходит оповещение с деталями. Администраторы могут начать расследование и реагировать сразу же после попытки подключения. Таким образом СКДПУ НТ обеспечивает контроль не только на этапе аутентификации, но и во время активной сессии, перекрывая векторы латерального перемещения.
Техника T1566: Фишинг
Что делает злоумышленник?
Фишинг остается одной из наиболее распространенных и опасных угроз для организаций, поскольку он нацелен на получение привилегированного доступа к системам и данным. Современные PAM-платформы могут эффективно противостоять этим угрозам, обеспечивая защиту учетных записей, мониторинг активности и управление привилегиями.
Статистика приведена по данным исследования компании Positive Technologies трендов фишинговых атак на организации в 2022–2023 годах.
Рассмотрим подробнее целевой фишинг, как наиболее применяемую злоумышленниками угрозу к привилегированным пользователям.
Обычно привилегированный доступ используют администраторы, которые обучены и знают о потенциальных угрозах фишинга. Однако человеческий фактор имеет место и все еще может приводить к компрометации доступа. Целевой фишинг особенно эффективен против осведомленных пользователей.
В отличие от обычного фишинга, который делает ставку на объем отправленных писем, целевой фишинг делает ставку на точность. При реализации атак целевого фишинга злоумышленники заранее собирают достаточно данных о целевой жертве, чтобы составить максимально убедительное письмо, поэтому даже обученные пользователи могут пройти на вредоносный URL-адрес. Этот подход более трудоемкий и дорогостоящий, но также приносит большую выгоду злоумышленнику в случае успеха.
Типичная атака целевого фишинга может выглядеть следующим образом:
Злоумышленник собирает информацию о жертве из Интернета. Информация может быть свободно доступна, или злоумышленник покупает ее. Затем эта информация используется для создания индивидуально разработанного электронного письма. В сообщении жертву убеждают в том, что пароль необходимо изменить. Жертва нажимает на URL и вводит учетные данные. Злоумышленник перехватывает учетные данные и использует их для получения легитимного доступа жертвы.
Как противодействует СКДПУ НТ?
1. Двухфакторная аутентификация. СКДПУ НТ поддерживает двухфакторную аутентификацию (2FA), что предотвращает доступ без второго фактора. Использование двухфакторной аутентификации не только уменьшает риск скомпрометированных учетных данных, но и активно предотвращает попытки фишинга.
Пример: Авторизация пользователя по TOTP в PAM-платформе СКДПУ НТ. При каждом входе в систему PAM-платформа СКДПУ НТ запрашивает у пользователя логин и пароль.
После ввода логина и пароля и успешной проверки пользователь будет перенаправлен на экран, где ему будет предложено ввести одноразовый TOTP-код.
Пользователь открывает приложение TOTP и вводит текущий одноразовый пароль, который обновляется каждые 30 секунд. СКДПУ НТ проверяет введенный TOTP-код на соответствие с ожидаемым значением, сгенерированным на основе секретного ключа, связанного с учетной записью пользователя. Если TOTP-код действителен, пользователь получает доступ к системе. Если введен недействительный TOTP-код, то система выдаст предупреждение по неправильной авторизации.
2. Отслеживание адресов подключения. СКДПУ НТ предоставляет возможность отслеживания легитимных IP-адресов, с которых пользователи могут подключаться к системе. При попытке подключения с нелегитимного адреса доступ автоматически блокируется или отправляется уведомление в SIEM или SOC, что обеспечивает дополнительный уровень защиты.
3. Ограничения действий пользователей. Система поддерживает возможность ограничения действий пользователей в соответствии с предустановленными политиками. Это включает запрет на запуск определенных приложений и процессов, выполнение команд и другие потенциально опасные действия. Ограничение привилегий и централизованное управление доступом существенно снижают вероятность выполнения несанкционированных операций.
4. Аномалии в поведении пользователей. Для повышения уровня защиты может использоваться механизм мониторинга поведения пользователей. Система автоматически выявляет аномалии при значительных отклонениях от стандартных моделей поведения, что позволяет оперативно реагировать на подозрительные действия. Анализируются типичные сетевые адреса, с которых заходит пользователь, при использовании нетипичных сетевых адресов создается инцидент.
Пример: Привилегированный пользователь (системный администратор) обычно работает с корпоративного ноутбука через офисный IP-адрес в рабочее время с 09:00 до 18:00 по МСК. После успешной фишинговой атаки злоумышленник получает доступ к его учетной записи и пытается войти в PAM-систему в 03:15 с IP-адреса в Нидерландах с незнакомого устройства. Детектор контроля привычных адресов работы автоматически создает инцидент и уведомляет администраторов, на почту приходит оповещение с деталями. Администраторы могут начать расследование и реагировать сразу же после попытки подключения. Подозрительное подключение может быть заблокировано.
Выводы:
Даже при целевом фишинге учетных данных привилегированных пользователей, злоумышленник получает только ограниченный доступ.
Все действия отслеживаются и записываются.
Система может выявлять действия хакеров и блокировать подозрительную активность.
Техника T1195: Компрометация цепочки поставок
Что делает злоумышленник?
Достаточно большой процент успешных кибератак использовали уязвимости в цепочке поставок. Атаки типа SolarWinds и Log4j продемонстрировали, что даже одно скомпрометированное звено может поставить под угрозу тысячи организаций. В этом контексте PAM-системы становятся также одним из рубежей защиты.
Основные тактики злоумышленников: внедрение бэкдоров в легитимные пакеты обновлений, скомпрометированные зависимости, манипуляции с open-source библиотеками, физическая компрометация - предустановленное вредоносное ПО, модифицированные firmware для серверного оборудования.
Как противодействует СКДПУ НТ?
1. JIT-доступ (Just-in-Time) для установки обновлений. Временные права только на период установки. Двухфакторная верификация для критичных операций. Автоматический отзыв прав после завершения.
2. Защита при компрометации стороннего ПО. За счет многоуровневого контроля привилегированного доступа и детектирование аномалий. Детектируются неожиданные сетевые подключения из-за обновлений, число соединений, количество событий, количество и объем полученных или отправленных данных.
Пример: После установки легитимного обновления от вендора в сессии СКДПУ НТ обнаруживает подозрительную активность: рост сетевых подключения, рост исходящего трафика, рост числа событий. Детектор создает инцидент и уведомляет администраторов, на почту приходит оповещение с деталями. Администраторы могут начать расследование и реагировать сразу же. Подозрительное подключение может быть заблокировано.
Вывод:
Современные PAM-системы стараются трансформировать цепочку поставок из вектора атак в более контролируемый процесс, где каждая операция требует доказательства легитимности, ведется расширенный контроль и детектирование аномалий. Это достигается за счет комбинации технических и организационных мер защиты.
Техника T1199: Доверительные отношения
Что делает злоумышленник?
Современные хакеры все чаще атакуют не напрямую, а через доверенных партнеров и подрядчиков. Вы наверняка много где могли видеть статистику взлома компаний, пострадавших от кибератак, которые были скомпрометированы через учетные записи сторонних организаций. Почему это работает? Учетные записи подрядчиков часто имеют очень широкие привилегии. Мониторинг активности третьих лиц менее строгий. Доступ предоставляется обычно на длительный срок.
Основные тактики злоумышленников: атаки на MSP (Managed Service Providers), компрометация инструментов удаленного управления, использование легитимных каналов для распространения malware, опять-таки целевые фишинговые атаки на сотрудников подрядчиков, поддельные порталы обновлений ПО, злоупотребление сервисными аккаунтами, эскалация привилегий через забытые тестовые учетки.
Как противодействует СКДПУ НТ?
1. Контроль подрядчиков и цепочек поставок. Контроль и мониторинг действий сотрудников аутсорс-организаций и внешних компаний для того, чтобы минимизировать риски кибератак, компрометации данных и служебной информации со стороны третьих лиц. Жесткий контроль всех подрядчиков и поставщиков через PAM. Ролевые модели доступа для внешних сотрудников. Запрет горизонтального перемещения. Двухфакторная верификация для критичных операций. Автоматический аудит всех действий третьих лиц. Поведенческий анализ пользователей.
Пример: Известный случай произошел с курьерской компанией СДЭК. Одна из хакерских группировок смогла взломать их инфраструктуру, получив доступ к гипервизору и зашифровав все данные. Злоумышленники продемонстрировали свои действия с помощью скриншотов, что позволило понять, что это была целенаправленная атака, осуществленная через компрометированные учетные записи администраторов.
Хотя точные финансовые показатели ущерба не были озвучены, известно, что компания не могла функционировать в течение трех дней. Это привело к серьезным последствиям для десятков тысяч клиентов и крупных подрядчиков на маркетплейсах, которые также не могли выполнять свою логистическую деятельность. В итоге было задержано до трех миллионов заказов.
PAM-платформа СКДПУ НТ не просто закрывает текущие угрозы — она создает новую культуру работы с третьими сторонами, где доступ всегда минимален, ограничен по времени и всегда под полным контролем.
T1078: Существующие учетные записи
По данным отчета, построенного на данных расследований команды Solar 4RAYS в 2024 году, больше трети (37%) успешных кибератак на российские компании в 2024 году начиналось с компрометации учетных данных сотрудников. Это значительно превышает показатели 2023 года, когда на подобные атаки приходилось 19% инцидентов
Техника T1078 особенно опасна, потому что: обходит традиционные средства защиты (антивирусы, IDS/IPS), позволяет долгое время оставаться незамеченным, дает доступ к критичным системам без необходимости эксплуатации уязвимостей.
Почему привилегированные учетные записи так привлекательны для злоумышленников?
Первое — это минимизация усилий. Получив доступ к привилегированной учетной записи, злоумышленники могут обойти множество уровней защиты и контроля, что позволяет им быстрее и проще достигать своих целей.
Второе — масштабируемость атак. С помощью одной привилегированной учетной записи злоумышленник может потенциально получить доступ к множеству других систем и учетных записей, что увеличивает масштаб атаки.
Третье — скрытность. Действия с привилегированными учетными записями могут оставаться незаметными для систем мониторинга, так как они осуществляются в рамках обычных разрешенных действий.
Как противодействует СКДПУ НТ?
Противодействие во многом схоже с описанными выше подходами в Технике T1586: Компрометация учетных записей.
1. Защита привилегированных учетных записей. Учетные записи могут использоваться только через PAM-платформу СКДПУ НТ, что блокирует прямой доступ злоумышленников. Функционал подсистемы Менеджер паролей обеспечивает скрытие учетных данных от целевого устройства для пользователя, а также позволяет автоматизировать ротацию паролей учетных записей в соответствии с заданными корпоративными политиками. Такой подход минимизирует риск утечки учетных данных привилегированных пользователей и сводит риск их компрометации к минимуму.
2. Ограничение доступных действий пользователя. PAM-платформа СКДПУ НТ может ограничить доступные пользователям действия, указав, какие функции и команды не могут выполняться. Имеется возможность осуществлять фиксацию клавиатурного ввода, заголовков окон, запускаемых и останавливаемых процессов, выполняемых команд, текстового и файлового буферов обмена и другие события на целевом устройстве. Система позволяет превентивно запрещать использование тех или иных команд в рамках SSH-сессий, ввод указанного текста и запуск определенных окон в RDP. Это возможно благодаря считыванию заголовков окон с помощью технологии оптического распознавания символов (OCR, Optical Character Recognition). Механизм может как автоматически закрывать сессии при совпадении с предустановленным запретом, так и незаметно для пользователя отправлять почтовое уведомление администраторам системы о нарушениях в сессиях. После получения такого уведомления администратор может подключиться к сессии пользователя и на свое усмотрение закрыть доступ или не влиять на сессию. Также механизм запрета использования перехода на другие устройства в инфраструктуре с целевого устройства.
Паттерны формируются следующим образом:
$prefix:><connection address:port>
Также существует механизм, закрывающий приложения не на уровне считывания заголовка, а на уровне процесса. Паттерн настраивается как под конкретные процессы, так и при установке соединения до определенных хостов.
Паттерны мониторинга запуска процессов формируются так:
$prefix:><search pattern>
Правило уведомления создается с префиксом $notify. Правило запрета создается с префиксом $deny.
Администраторы могут настраивать PAM-платформу СКДПУ НТ под конкретные сценарии использования, ограничивая доступ к определенным процессам или хостам, и четко определять, какие команды и функции доступны
3. Поведенческий анализ. В подсистеме Мониторинг и аналитика PAM-платформы СКДПУ НТ детектор новых доступов анализирует информацию о целевых системах, аккаунтах и сервисах пользователя, формируется профиль. Если пользователь использует новый доступ, создается инцидент.
Пример: Злоумышленник, используя легальный существующий аккаунт, создает новую учетку с правами администратора. При попытке подключении на целевое устройство, система генерирует инцидент о новом доступе и информирует об этом администратора.
4. Многофакторная аутентификация. Уже упомянутая двухфакторная аутентификация (2FA) здесь тоже очень может помочь и усложнить использование существующих учетных данных.
На этом первая часть моей статьи подошла к концу. Надеюсь, было полезно. Спасибо за внимание!
Что дальше?
В следующих частях мы разберем остальные тактики матрицы, включая повышение привилегий, предотвращение обнаружения, сбор данных и т.д. Оставайтесь на связи — будет интересно!
Продолжение следует...
