Новая функция Illusive Networks выявляет инсайдеров на стадии утечки

Новая функция Illusive Networks выявляет инсайдеров на стадии утечки

Новая функция Illusive Networks выявляет инсайдеров на стадии утечки

Тайгер Оптикс, дистрибьютор Illusive Networks в России и СНГ, анонсировал доступность Microsoft Office Beacon Files — новую функцию Illusive Networks, предназначенную для выявления инсайдеров и внешних атак на стадии утечки информации.

Исследования показывают, что 60% утечек данных и других кибератак на организации совершаются злонамеренными инсайдерами или небрежными сотрудниками. Согласно недавнему исследованию Ponemon Institute, для устранения инсайдерской угрозы требуется в среднем 72 дня, а типичные организации со штатом более 1.000 сотрудников каждый год тратят в среднем $8,76 млн. на устранение последствий таких инцидентов.

Целый ряд факторов мотивируют инсайдеров; они могут мстить за несправедливое обращение со стороны своего работодателя, пытаться получить вознаграждение за продажу конфиденциальной информации или искать интеллектуальную собственность, которая будет экономически или политически выгодна им самим или третьей стороне. Незлонамеренные инсайдеры могут просто не знать о правилах безопасности, которые они должны соблюдать при работе с конфиденциальной информации, или искать более удобные способы работы со служебной информацией, который невольно дают злоумышленникам лазейку для входа. 

Учитывая распространенность угрозы, даже самые защищенные организации с полным стеком развернутых решений по ИБ все еще пытаются найти эффективный способ выявлять и останавливать инсайдеров прежде, чем ценные данные покинут организацию.

Злонамеренные инсайдеры ищут и анализируют данные в корпоративной сети компании, поскольку им, как и внешним злоумышленникам, необходима информация для подключения к системам и приложениям, к которым у них нет авторизованного доступа. После успешного подключения происходит кража конфиденциальных данных.

Возможности обманных файлов Microsoft Office Beacon Files, входящий в состав модуля Illusive Networks Attack Detection System, позволяет встраивать маячки в документы Word и Excel таким образом, чтобы организации могли мгновенно узнавать о попытках несанкционированный доступа к содержимому этих файлов в сети организации. Как только происходит попытка доступ к таким документам Office на общих ресурсах, аналитики ИБ получают оповещение о самом факте попытки, а также информацию о том, с какого компьютера идет попытка получить доступ и какая информация под угрозой.

Механизм работы Microsoft Office Beacon Files основан на отправке особого запроса на заранее определенный IP-адрес системы Illusive Networks в момент попытки доступа к обманному файлу в сети организации. Такой запрос вызывает уведомление об инциденте в консоли Illusive Networks, а также опциональное событие в SIEM-системе, оповещение по электронной почте, или же прочие действия на основе интеграции с SOAR-системами.

Такой метод встраивания маячков особенно полезен для своевременного выявления угроз со стороны инсайдеров еще до того, как они смогут осуществить попытку кражи данных. Обманные файлы Microsoft Office упрощают обнаружение инсайдерских угроз в масштабе всей организации на самой ранней стадии и могут быть объединены с другими СЗИ для своевременного выявления и блокирования таких злоумышленников.

Технология обманных файлов Microsoft Office с маячками также позволяет организациям создавать поддельные файлы Microsoft Word формата docx и электронные таблицы Excel формата xslx, которые можно настроить так, чтобы они выглядели как любой другой документ Word или Excel, который может находиться на конечных точках организации. 

Благодаря запатентованной методике Illusive создание и распространение обманных файлов Microsoft Office в подходящие локации на тысячах конечных точек организации может быть автоматизировано практически без дополнительных ресурсов со стороны ИТ. При этом файлы будут оформлены в соответствии со стандартами документооборота организации, содержать корректные верхние и нижние колонтитулы и графику организации.

Файлы будут расположены на конечных точках таким образом, чтобы их смог найти только тот человек, который заглядывает туда, куда ему бы не следовало; это позволяет не нарушать нормальные бизнес-процессы организации, а также обеспечивает алерты об инцидентах высокой точности, с низким уровнем ложных срабатываний, поскольку только злонамеренный пользователь будет пытаться найти и получить доступ к этим файлам. Кроме того, данный функционал Illusive также включает множество готовых шаблонов, которые организации могут настраивать под себя, так чтобы использование этого типа приманок было максимально эффективным.

Документы Microsoft Word и Excel часто содержат учетные данные и другую конфиденциальную информацию, которая дает как внутренним, так и внешним злоумышленникам возможность латерального движения к машинам, системам и приложениям, которые содержат критические данные. Во многих случаях злоумышленники автоматизируют процесс сбора такой информации, используя специальное ПО, которое сканирует сеть в поисках документов с такими данными.

Ответом на эту распространенную тенденцию является возможность автоматизации встраивания в обманные файлы Microsoft Office поддельных учетных данных, например, списков поддельных паролей, которые злоумышленники ожидают найти в реальной версии такого файла. Это еще больше вводит злоумышленников в заблуждение и замедляет их движение в сети организации, заставляя их тратить время на перебор этой информации. Как только злоумышленник пытается использовать фальшивые данные, которые он украл таким образом, организация получает соответствующее уведомление.

Функция обманных файлов Microsoft Office Beacon Files в Illusive Networks расширяет область Deception-защиты на документы Microsoft Office, которые в своей ежедневной работе использует практически каждая организация. Это позволяет выявлять угрозы с высокой степенью точности и крайне низким уровнем ложных срабатываний, не создавая чрезмерную нагрузку на сотрудников ИТ или ИБ. При этом злоумышленники будут обнаружены на самой ранней стадии атаки, еще до того, как информация будет украдена.

Opera встроила защиту от вредоносных команд в буфере обмена

Opera решила ударить по одной из самых неприятных схем последних лет — атакам через буфер обмена. В браузере появилась новая функция Paste Protect, которая должна защищать пользователей от подмены скопированных данных и вредоносных команд, которые жертву заставляют вставить в терминал своими руками.

Функция включена по умолчанию и работает прямо на уровне браузера, а не ждет, пока антивирус или операционная система заметят что-то подозрительное.

Paste Protect объединяет два механизма. Первый — уже знакомая защита от перехвата, когда вредонос меняет содержимое буфера обмена. Классика жанра: пользователь копирует криптокошелек или банковский IBAN, а в буфере внезапно оказывается адрес злоумышленника. Opera должна распознать такую подмену и предупредить пользователя.

 

Второй механизм — новая защита от инъекции. Он нацелен на атаки в стиле ClickFix, где пользователя обманывают фейковыми CAPTCHA, ошибками браузера или проблемами с воспроизведением видео. Дальше всё просто: сайт предлагает скопировать команду для исправления проблемы и вставить её в терминал или PowerShell. После этого человек фактически сам запускает вредоносную нагрузку.

Opera теперь анализирует содержимое буфера обмена в реальном времени на Windows, macOS и Linux. Если браузер видит признаки шелл-скрипта, PowerShell-команды, закодированной нагрузки или другого подозрительного содержимого, копирование блокируется, а пользователь получает предупреждение. В уведомлении показывается короткий фрагмент заблокированного текста — до 120 символов.

Для продвинутых пользователей оставили обходные варианты. Например, функцию Hold to Copy, где блокировку можно снять после задержки, а также список доверенных сайтов. Это пригодится разработчикам, которые регулярно копируют команды с GitHub или из документации.

В Opera подчёркивают, что Paste Protect не отменяет здравый смысл. Если сайт просит вставить непонятную команду в терминал, это не починка браузера, а почти наверняка ловушка.

RSS: Новости на портале Anti-Malware.ru