Когда мы думаем о кибер-угрозах, то первое, что приходит на ум, - это вредоносное программное обеспечение (ПО). Если вредоносная программа попадает в компанию, то она может причинить серьезный ущерб. Например, в начале 2019 года одна вредоносная программа заразила серверы мальтийского банка, что привело к потере 13 миллионов евро. А шифровальщики - вредоносные программы, которые шифруют файлы своих жертв с целью истребовать с них выкуп – в прошлом году вызвали хаос в крупных компаниях по всему миру.
Но кибер-угрозы также могут исходить из самой организации: так называемые инсайдеры могут стать причиной длинного списка проблем корпоративной информационной безопасности. Средний ущерб от инсайдера составляет более 10 миллионов евро. И эти инциденты отнюдь не являются какой-то изолированной проблемой: в прошлом году количество таких инцидентов выросло на 47%. Во время таких инцидентов сотрудник-инсайдер намеренно или случайно ставит под угрозу информационную безопасность своего предприятия. Однако есть еще один внутренний элемент, который, на первый взгляд, кажется, не вызывает никакого беспокойства.
Легитимные приложения в руках хакеров
Незаконное использование приложений во вредоносных целях является одной из наиболее распространенных тенденций в области кибер-преступлений. Например, в 2018 году количество безфайловых атак выросло на 94%, и они происходили в три раза чаще, чем атаки шифровальщиков. Подобные атаки используют приложения, которые уже существуют в операционных системах, такие как Microsoft Office, WMI или Adobe, чтобы украсть данные и повредить систему жертвы.
Хотя природа таких атак различна, но все они специально разработаны таким образом, чтобы ничего не записывать на жесткий диск компрометируемого компьютера. Вместо этого весь процесс выполняется из оперативной памяти компьютера (ОЗУ). Отсутствие вредоносных или потенциально опасных файлов на жестком диске означает, что традиционные системы защиты не могут обнаружить эту угрозу.
У всех подобных инцидентов есть одна общая черта: их очень трудно обнаружить. Это связано с тем, что такие атаки не используют какой-либо код, а значит, традиционный антивирус не может их идентифицировать. Более того, использование легитимных процессов и приложений делает практически невозможным обнаружение аномального поведения.
Помимо этих общих черт, безфайловые атаки часто имеют общие векторы проникновения на компьютер. Среди наиболее распространенных – это приложения для удаленного доступа, средства администрирования и внутренние компоненты операционной системы.
Сложные угрозы требуют применения новых передовых технологий
Учитывая тот факт, что безфайловые атаки так трудно обнаружить, что можно сделать, чтобы их остановить? Одним из способов борьбы с подобного рода атаками, если такое возможно в вашей компании, является прекращение использования тех инструментов, которые кибер-преступники обычно используют в этих атаках (например, PowerShell), в результате чего можно закрыть потенциальные векторы проникновения и точки входа. Кроме того, очень важно знать, что в любой момент времени происходит на каждом компьютере компании. Решение Panda Adaptive Defense 360 отслеживает всю активность ИТ-системы. Таким образом, он способен блокировать любую подозрительную активность.
Безфайловые атаки – это постоянная опасность для компаний, и у кибер-преступников имеется много способов использования легитимных приложений в вашей системе. Узнать больше об этой тактике кибер-преступников вы можете в нашей белой книге Опасность, скрывающаяся у всех на виду: Контролируя вооруженные приложения.
