Не е възможно да се говори за успешна кибератака без предварителен достъп до мрежата на целевата компания. Брокерите за първоначален достъп (Initial Access Brokers – IABs) са злонамерените хакери, които извършват тази първа стъпка, и те правят достъпа до корпоративните мрежи по-лесен от всякога.
В неотдавнашен новинарски доклад се посочва, че само на пет киберпрестъпни оператора се падат около 25 % от всички оферти за достъп до корпоративни мрежи, които се предлагат за продажба в подземни форуми през втората половина на 2021 г. и първата половина на 2022 г. Тези първоначални брокери за достъп предоставят данни за откраднати VPN и RDP (Remote Desktop Protocol) акаунти, както и други идентификационни данни, които престъпниците могат да използват, за да проникнат без затруднения в мрежите на повече от 2300 организации по света. Средната цена за първоначален достъп е около 2800 долара.
Важно е да се отбележи, че тези пет оператора водят много по-голям и бързо растящ пазар.
Как функционира черният пазар на достъп?
IAB получават достъп до системи чрез кражба на мрежови идентификационни данни от трети страни, използвайки тактики за социално инженерство, като фишинг, използване на непоправени софтуерни уязвимости, локално инсталиране на зловреден софтуер след физическо получаване на достъп до организацията чрез атаки с “опашка”, “груба сила” или “пръскане на пароли”. Те обикновено предлагат един от следните видове достъп:
- Active Directory (AD)
- Виртуални частни мрежи (VPN)
- Удостоверения за коренни потребители
- Достъп до Web Shell
- Отдалечено наблюдение и управление (RMM)
- Протокол за отдалечен работен плот (RDP)
- Контролни панели
Цената на тази услуга за достъп варира, най-вече в зависимост от вида на организацията, към която е насочена. Факторите, които оказват влияние върху ценообразуването, варират от индустрията, в която работи предприятието, до неговия размер, брой служители и годишни приходи. Взема се предвид и нивото на уязвимост на организацията, което показва времето и ресурсите, които ОВД трябва да използват за получаване на първоначален достъп, както и вида на продавания достъп.
Според статията в Dark Reading 70% от видовете достъп, изброени от IAB, се състоят от подробности за RDP и VPN акаунти. 47% от офертите включват достъп с администраторски права в компрометираната мрежа. По подобен начин 28% от рекламите, уточняващи какъв тип права са получили, са включвали права на администратор на домейн, 23% са получили стандартни права за използване, а малка част са предоставяли достъп до root акаунти.
В ъндърграунд форумите, където ОВД продават достъп до корпоративни мрежи, публикуваните съобщения обикновено са подробни и предоставят на потенциалните купувачи информация за жертвата, метода, използван за получаване на достъп, какво може да предложи този достъп на заинтересования киберпрестъпник и много други.
Многофакторно удостоверяване (MFA)
Атакуващите често активно търсят системи, които разчитат на традиционната форма на удостоверяване: потребителско име и парола. Метод, който днес не осигурява никаква защита. За да се намали тази уязвимост, трябва да се прилага многофакторно удостоверяване. Ако достъпът до мрежата изисква допълнителна форма на удостоверяване, откраднатите удостоверения на потребителите губят своята ефективност.
Важно е да се въведе това ниво на защита за отдалечен достъп до мрежата, VPN връзки, електронна поща и административен достъп.
Решението за многофакторно удостоверяване на WatchGuard, освен че позволява на потребителите да се удостоверяват директно от собствения си телефон, предлага допълнителна защита с помощта на ДНК на мобилното устройство, която проверява дали упълномощаването идва от телефона на упълномощения потребител.
Защита на крайни точки
Защитата на RDP, включена в услугата Threat Hunting Service, която е интегрирана в решението WatchGuard EPDR, предпазва от кражба на пълномощни на RDP сървъри, като открива атаки с груба сила и предотвратява комуникациите от външни сървъри, участващи в този тип атака. Най-добрата защита е да спрете атаката на ранен етап и поради тази причина препоръчваме да активирате защитата на RDP по всяко време.
Непрекъснатият мониторинг на крайни точки предотвратява изпълнението на неизвестни процеси, както и дава възможност за поведенчески анализ, който може да разкрие престъпниците, получили достъп, като защитава от напреднали постоянни заплахи (APT), зловреден софтуер от нулев ден, ransomware, фишинг, руткитове, уязвимости в паметта и атаки, които не са свързани с малуер.
WatchGuard EPDR не само комбинира защита на крайни точки (EPP) и откриване и реагиране (EDR), но също така предоставя модул за управление на уязвимости, който открива и внедрява необходимите кръпки за защита на организацията. Това е от изключителна важност, тъй като уязвимостите често са едни от най-често използваните от престъпниците входни точки.
WatchGuard EPDR включва и технология за борба с експлойтването, която предпазва от кражба на пълномощия и предотвратява страничните движения на хакерите, използващи откраднати пълномощия, което я прави идеално допълнение към управлението на пачовете.
WatchGuard