ИТ-департаменты представляют наибольшую угрозу для безопасности компаний

ИТ-департаменты представляют наибольшую угрозу для безопасности компаний

По данным последнего исследования компании Balabit (принадлежит бизнесу One Identity), более трети ИТ-специалистов признают себя наиболее ценной мишенью злоумышленников, целью которых является взлом внутренней ИТ-инфраструктуры. Сотрудники ИТ-отделов, возможно, понимают, какие активы представляют наибольшую ценность, но они по-прежнему борются с непредсказуемостью поведения человека, чтобы защитить ИТ-активы своей компании.

В то время, как HR-департаменты и бухгалтерия — самая простая цель для взлома с помощью социальной инженерии, ИТ-специалисты представляют собой наибольшую угрозу безопасности корпоративной сети, независимо от того, совершают ли они действия умышленно или по неосторожности. Иметь наивысшие права доступа — это огромная ответственность для ИТ-профессионалов. ИТ-специалисты обладают доступом к особо важным для бизнес-процессов данным ИТ-систем, управляют ими и контролируют их, что делает ИТ-персонал главной мишенью для киберпреступников.

Глобальный опрос, который проводился в Великобритании, США, Франции и Центральной Европе, рассматривает отношение к инсайдерским угрозам и злоупотреблению привилегированными учетными данными.

По данным исследования, 47% ИТ-специалистов признаются, что время и место авторизации — самая важная информация о пользователе для оперативного обнаружения вредоносных активностей. 41% опрошенных считают, что с точки зрения аналитики информационной безопасности важны данные по использованию корпоративных устройств в личных целях и 31% отметили, что поведенческие характеристики, такие как динамика нажатий на клавиши, также являются важным показателем для идентификации действий злоумышленников. ИТ-специалисты осознают всю важность инструментов, которые могут определить растущие угрозы со стороны инсайдеров и взломанных учетных записей. На вопрос о том, какую технологию безопасности они внедрили бы в следующем году (независимо от бюджета), почти 1/5 респондентов ответили, что планируют использовать инструменты аналитики для отслеживания поведения привилегированных пользователей.

В рамках опроса 42% ИТ-специалистов отметили, системных администраторов как самое уязвимое звено в цепочке привилегированных пользователей в корпоративной сети, за ними следуют руководители высшего звена, это отметили 16% респондентов. Несмотря на то, что у топ-менеджмента, как правило, ограниченные навыки в области ИТ, сведения о таких пользователях также очень важны для хакеров.

Исследование показало, личные данные сотрудников компании тоже являются ценными активами для злоумышленников, поскольку их нетрудно продать — так ответили 56% опрошенных. 50% отметили, что не стоит пренебрегать защитой информации о клиентах, 46% сказали, что хакерам так же интересны финансовые показатели организаций.

«Поскольку атаки становятся более изощренными, целевые и APT-атаки ориентируются в большей степени на привилегированных пользователей внутри компании, взломав которые, можно украсть наиболее важные корпоративные данные, — отмечает Чаба Краснаи, ИБ-евангелист компании Balabit. — Профессия ИБ-специалистов всегда была одной из самых нелегких в ИТ, но сегодня она становится еще сложнее. Недостаточно просто защитить корпоративную сеть от злоумышленников. Сотрудники ИБ-подразделения должны постоянно мониторить, что происходит в сети и понимать, что делают пользователи с особыми правами доступа».

«Аккаунты привилегированных пользователей — идеальная цель для хакеров, и они представляют собой наибольшую угрозу безопасности компаний. ИБ-специалистам необходимо быстро обнаружить любую подозрительную или необычную активность, чтобы предотвратить утечку данных, — добавляет Чаба Краснаи. — Чем больше действий пользователей вы анализируете, тем лучше. Понимание, откуда и в какое время сотрудник входит в систему, с какого приложения или какой устройство он использует, безусловно важно, но технологии анализа движения мыши и динамики нажатия на клавиши — это наше будущее, которое позволит обнаружить взломанный аккаунт за 20 секунд или 200 набранных знаков. Однажды получив уведомление с показателем степени риска, ИБ-специалисты смогут в последствии прерывать сессии, если это необходимо».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Злой ПЛК: специалисты нашли новый вектор атаки на ОТ-сети

Специалисты по кибербезопасности рассказали о новом векторе кибератаки, в ходе которой программируемые логические контроллеры (ПЛК) используются в качестве точки входа, позволяющей закрепиться на автоматизированных рабочих местах и позже — проникнуть в ОТ-сети.

Этот вектор получил имя “Evil PLC“. Обнаружившие его специалисты компании Claroty отмечают, что проблема затрагивает программное обеспечение для АРМ проектировщиков от таких компаний, как Rockwell Automation, Schneider Electric, GE, B&R, Xinje, OVARRO и Emerson.

ПЛК, само собой, являются критическим компонентов любых промышленных устройств, в задачи которых входит контроль производственного процесса. Особенно это касается критической информационной инфраструктуры (КИИ).

Помимо оркестрации и автоматизации задач, ПЛК способны стартовать и завершать процессы, а также выводить предупреждения. Именно спектр задач ПЛК сделал их лакомым кусочком для киберпреступников, особенно хорошо подготовленных. Можно вспомнить хотя бы PIPEDREAM (INCONTROLLER).

«Уязвимый софт для рабочих станций часто представляет собой своеобразный мостик между ОТ и корпоративными сетями. Если атакующему удаётся использовать уязвимости на АРМ, он может легко проникнуть внутрь сети, двигаться латерально между системами и получать доступ к другим ПЛК», — пишут исследователи из Claroty.

Evil PLC предоставляет условному злоумышленнику возможность взломать рабочую станцию, получить доступ к другим ПЛК в сети и даже вмешаться в логику контроллера. Список затронутых вендоров с идентификаторами уязвимостей выглядит так:

 

«Поскольку ПЛК хранят дополнительные типы данных, используемые софтом для инженеров, возникает интересная ситуация: неиспользуемые данные, хранящиеся в ПЛК, могут быть модифицированы для управления затронутым софтом», — продолжают объяснять специалисты.

«В большинстве случаев уязвимости существуют из-за того, что ПО полностью доверяет данным, выходящим из ПЛК. Следовательно, никаких дополнительных проверок безопасности не предусмотрено».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru