Комментарии 4
интересный кейс. Я правильно понимаю, что несмотря на наличие PAM системы, злоумышленники смогли спокойно и внимательно просмотреть документы в системе заказчика?
Любопытно, что атакующие постранично просматривали открываемые документы, задерживаясь на каждой странице по несколько секунд. Скорее всего во время этих пауз они делали скриншоты или вели запись экрана.
Спасибо за вопрос, он привлекает внимание к одной очень интересной теме, которую в этому года раскрыли наши эксперты из Solar 4Rays: около 50% успешных кибератак в 2024 году совершались с помощью скомпрометированных "учеток" сотрудников и подрядчиков.
А почему их компрометируют - мы тоже рассказывали, например, здесь
Именно в этом кейсе злоумышленники действовали от учётки легального пользователя и читали документы, к которым имели легальный доступ. Поэтому не было причин прервать их сессию. Выявить подобную атаку можно только исходя из нетипичной активности пользователя. Но для этого он эту активность должен был продемонстрировать.
Запросы шли c адреса, который уже был известен как подтвержденный индикатор компрометации
А ведь достаточно было просто блокировать хотя бы сомнительную активность, попадающую под подтвержденные индикаторы.
Мне было бы стыдно писать, да еще и в таком тоне, о своей SIEM системе, которая позволила злоумышленникам получить доступ к защищаемой информации...
Спасибо за вопрос, он привлекает внимание к одной очень интересной теме, которую в этому года раскрыли наши эксперты из Solar 4Rays: около 50% успешных кибератак в 2024 году совершались с помощью скомпрометированных "учеток" сотрудников и подрядчиков.
А почему их компрометируют - мы тоже рассказывали, например, здесь
Именно в этом кейсе злоумышленники действовали от учётки легального пользователя и читали документы, к которым имели легальный доступ. Поэтому не было причин прервать их сессию. Выявить подобную атаку можно только исходя из нетипичной активности пользователя. Но для этого он эту активность должен был продемонстрировать.
Incident response XXII века: как PAM-система помогла выявить атаку в прямом эфире