Мы находимся на интересном этапе в бесконечной гонке вооружений между злоумышленниками и защитниками. Первые используют ИИ, автоматизацию и целый ряд техник, которые иногда приводят к разрушительным последствиям. Фактически, в одном отчете утверждается, что 80 % групп, занимающихся «вымогательством как услугой» (RaaS), теперь предлагают ИИ или автоматизацию в качестве функций — и, конечно же, существует также процветающий рынок инструментов, специально предназначенных для обхода средств безопасности. В результате резко возросли случаи утечки данных и связанные с этим затраты.
Но с другой стороны, злоумышленники просто делают то, что делали и раньше — усиливают существующие тактики, техники и процедуры (TTP), чтобы ускорить атаки. Например, время между первоначальным доступом и латеральным перемещением (время прорыва) теперь измеряется минутами. Для защитников, привыкших работать в часах или днях, ситуация должна измениться.
Предупреждение за полчаса
Время прорыва имеет значение, потому что если специалисты по защите сети не смогут остановить своих противников на этом этапе, то первоначальное вторжение может очень быстро превратиться в серьезный инцидент. В среднем время для латерального прорыва сейчас составляет около 30 минут — примерно на 29% быстрее, чем год назад — хотя некоторые наблюдатели видели, как это происходило менее чем через минуту после первоначального доступа.
Есть несколько причин, по которым окно для действий быстро закрывается. Злоумышленники:
- Улучшение навыков кражи/взлома/фишинга законных учетных данных ваших сотрудников. Слабые, повторно используемые и редко меняемые пароли помогают им в этом (т. е. облегчают атаки методом перебора). То же самое касается отсутствия многофакторной аутентификации (MFA). Они также совершенствуются в фишинговых атаках с переустановкой паролей, либо выдавая себя за службу поддержки, либо звоня в службу поддержки, выдавая себя за сотрудников. Имея легитимные учетные данные, они могут маскироваться под пользователей, не вызывая никаких внутренних тревог.
- Использование уязвимостей «нулевого дня» для атак на периферийные устройства, такие как Ivanti EPMM, с целью закрепиться в сетях, оставаясь незамеченными для внутренних средств безопасности.
- Улучшение навыков разведки с использованием методов открытого исходного кода и ИИ для поиска в Интернете общедоступной информации о ценных целях (с привилегированными учетными данными). Они собирают информацию об организационной структуре, внутренних процессах и ИТ-среде, чтобы оптимизировать атаки и разрабатывать сценарии социальной инженерии.
- Автоматизация действий после взлома с помощью скриптов на базе ИИ для сбора учетных данных, использования имеющихся ресурсов и даже создания вредоносного ПО.
- Использование пробелов между изолированными командами и точечными решениями. В результате деятельность, которая выглядит законной для одних, может показаться необычной для других, но без целостной видимости крайние случаи могут не расследоваться. В некоторых случаях злоумышленники предпринимают целенаправленные шаги, чтобы отключить или обойти EDR.
- Использование методов «жизни за счет имеющихся ресурсов» (LOTL) для сохранения скрытности. Это означает использование действительных учетных данных, легитимных инструментов удаленного доступа и протоколов, таких как SMB и RDP, что позволяет злоумышленникам слиться с обычной активностью.
Очень важно поймать злоумышленников на этом этапе — особенно с учетом того, что экфильтрация (когда она начинается) также ускоряется благодаря ИИ. Самый быстрый зафиксированный случай в прошлом году занял всего шесть минут; в 2024 году это время составляло 4 часа 29 минут.
Бороться с огнем огнем (ИИ)
Если злоумышленники могут получить доступ к вашей сети с повышенными привилегиями или оставаться незамеченными на конечных устройствах, а затем перемещаться по сети, не вызывая тревоги, реакция, основанная на человеческом факторе, часто будет слишком медленной. Необходимо ограничить возможности социальной инженерии, обновить систему защиты для улучшения обнаружения подозрительного поведения и сократить время реагирования.
Расширенное обнаружение и реагирование (XDR) на базе ИИ и управляемое обнаружение и реагирование (MDR) могут помочь в этом, автоматически отмечая подозрительное поведение, используя контекстные данные для повышения точности предупреждений и устраняя проблемы там, где это необходимо. Передовые решения также могут помочь, группируя предупреждения и генерируя автоматические ответы для перегруженных команд SOC, освобождая их время для работы над важными задачами, такими как поиск угроз.
Единый поставщик, обладающий информацией о конечных устройствах, сетях, облаке и других уровнях, также может пролить свет на пробелы, существующие между точечными решениями, для полной видимости потенциальных путей атаки. Убедитесь, что любые такие инструменты также обеспечивают видимость периферийных устройств и беспрепятственно взаимодействуют с вашими инструментами управления информацией и событиями безопасности (SIEM) и оркестрации и реагирования на угрозы (SOAR).
Аналитика угроз и поиск угроз также имеют жизненно важное значение для того, чтобы не отставать от злоумышленников, использующих ИИ. Подход, сочетающий оба этих компонента, поможет командам сосредоточиться на том, что действительно важно — как злоумышленники нацеливаются на них и куда они могут двигаться дальше. Со временем ИИ-агенты, возможно, смогут самостоятельно брать на себя больше таких задач, чтобы еще больше сократить время реагирования.
Восстановление инициативы
Существуют и другие способы сократить время реагирования, в том числе:
- Непрерывный мониторинг и осведомленность на всех конечных устройствах, в сети и облачных средах.
- Автоматизированные меры — такие как прерывание сеанса, сброс пароля или изоляция хоста — которые необходимо принимать для реагирования на подозрительную активность, а также, при необходимости, автоматизированный анализ в сочетании с оценкой специалиста для расследования предупреждений и определения шагов, необходимых для быстрого сдерживания угрозы.
- Политики доступа с минимальными привилегиями, микросегментация и другие характерные черты модели Zero Trust для обеспечения строгого контроля доступа и минимизации зоны поражения атак.
- Усиленная безопасность, ориентированная на идентификацию, основанная на надежных уникальных учетных данных, управляемых в менеджере паролей и подкрепленная защищенной от фишинга многофакторной аутентификацией (MFA).
- Меры по борьбе с вишингом, включая обновленные процессы службы поддержки (например, обратные вызовы вне полосы пропускания) и эффективное обучение по повышению осведомленности
- Защита от атак методом перебора, блокирующая автоматические атаки по подбору паролей на входе.
- Непрерывный мониторинг социальных сетей и даркнета на предмет утечки информации о сотрудниках и компании, которая может быть использована в злонамеренных целях.
- Мониторинг скриптов и процессов по мере их «раскрытия» в памяти для обнаружения и блокировки поведения LOTL.
- Выполнение подозрительных файлов в облачной песочнице для снижения угроз, связанных с уязвимостями «нулевого дня».
Ни один из этих шагов сам по себе не является панацеей. Но в сочетании друг с другом и при использовании MDR/XDR на базе ИИ от надежного поставщика они могут помочь защитникам вернуть инициативу. Возможно, это гонка вооружений, но гонка, конца которой в принципе не видно. А это значит, что есть время наверстать упущенное.