Изощрённость атак в глаза авторов рекомендаций

Отмечался высокий уровень сложности атак, что отражает глубокое понимание киберландшафта и способность адаптироваться в условиях меняющихся мер безопасности. Эта изощрённость очевидна не только в технических возможностях, но и в их стратегическом подходе к кибершпионажу, который включает в себя тщательный выбор целей, планирование и использование передовых тактик, методов и процедур (TTP).

Кибероперации характеризуются использованием специального вредоносного ПО и уязвимостей нулевого дня. Эксплуатация этих уязвимостей позволяет эффективно проникать, например chain-атака SolarWinds, в результате которой был нарушен процесс разработки ПО путём внедрения вредоноснго кода в обновление ПО, что затронуло клиентов, включая правительственные учреждения и компании из списка Fortune 500.

OpSec является отличительной чертой операций, и атакующие делают все возможное, чтобы замести следы и сохранить скрытность в скомпрометированных сетях. Это включает в себя использование зашифрованных каналов для кражи данных, тщательное управление серверами управления и контроля во избежание обнаружения, а также использование легитимных инструментов и услуг (LOTL), чтобы гармонировать с обычной сетевой деятельностью. Способность вести себя сдержанно в целевых сетях часто позволяет им проводить долгосрочные шпионские операции без обнаружения.

Помимо технических возможностей, он продемонстрировал искусность в тактике психологической и социальной инженерии. Эти методы предназначены для манипулирования людьми с целью разглашения конфиденциальной информации или выполнения действий, ставящих под угрозу безопасность. Фишинговые кампании, целевой фишинг и другие формы социнженерии часто используются для получения первоначального доступа к целевым сетям или для повышения привилегий внутри них.

Процесс выбора цели носит стратегический характер и соответствует национальным интересам России. Цели тщательно выбираются на основе их потенциала предоставления ценной разведывательной информации, будь то политическая, экономическая, технологическая или военная. Как только цель скомпрометирована, участники сосредотачиваются на долгосрочном доступе и сборе разведданных, отдавая предпочтение скрытности и закреплению вместо немедленной выгоды. 

Одним из наиболее определяющих аспектов является его адаптивность. Переход в сторону облачных сервисов и использования сервисных и неактивных учётных записей является свидетельством такой адаптивности. 

Контроль доступа: обеспечение того, чтобы только авторизованные пользователи имели доступ к информационным системам и данными чтобы они могли выполнять только те действия, которые необходимы для их роли.

📌Шифрование данных: защита данных при хранении и передаче посредством шифрования, что делает их нечитаемыми для неавторизованных пользователей.

📌Управление исправлениями: регулярное обновление программного обеспечения и систем для устранения уязвимостей и снижения риска эксплуатации.

📌Брандмауэры и системы обнаружения вторжений (IDS): внедрение брандмауэров для блокировки несанкционированного доступа и IDS для мониторинга сетевого трафика на предмет подозрительной активности.

📌Многофакторная аутентификация (MFA): требование от пользователей предоставления двух или более факторов проверки для получения доступа к системам, что значительно повышает безопасность.

📌Обучение по вопросам безопасности: обучение сотрудников рискам кибербезопасности и передовым методам предотвращения атак социальной инженерии и других угроз.

📌Планирование реагирования на инциденты: подготовка к потенциальным инцидентам безопасности с помощью чётко определённого плана реагирования и восстановления.

Многие из кибер-стратегий по-прежнему используют основные недостатки безопасности, такие как плохое управление паролями, необновленное ПО и недостаточный контроль доступа. Придерживаясь базовых механизмов безопасности, организации могут устранить эти уязвимости, значительно усложняя злоумышленникам первоначальный доступ или распространение внутри сети.

Например, реализация MFA может предотвратить несанкционированный доступ, даже если учётные данные скомпрометированы. Регулярное управление исправлениями может закрыть уязвимости до того, как они смогут быть использованы в ходе атаки нулевого дня. Обучение по вопросам безопасности может снизить риск того, что сотрудники станут жертвами фишинга или других тактик социальной инженерии.

Несмотря на очевидные преимущества, поддержание «прочного фундамента безопасности» может оказаться непростой задачей для организаций. Это связано с множеством факторов, включая ограниченность ресурсов, сложность современной ИТ-среды и быстрые темпы технологических изменений. Кроме того, по мере того, как организации все чаще внедряют облачные сервисы и другие передовые технологии, среда становится более сложной, что требует постоянной адаптации фундаментальных методов обеспечения безопасности.

📌Непрерывная оценка рисков: регулярная оценка состояния безопасности организации для выявления уязвимостей и определения приоритетности усилий по их устранению.

📌Использование структур безопасности: принятие комплексных структур безопасности, таких как NIST Cybersecurity Framework, для руководства внедрением лучших практик и средств контроля.

📌Автоматизация процессов безопасности: использование автоматизации для оптимизации процессов безопасности, таких как управление исправлениями и мониторинг, для повышения эффективности и результативности.

📌Формирование культуры безопасности: создание культуры безопасности внутри организации, где кибербезопасность рассматривается как общая ответственность всех сотрудников.

📌Сотрудничество и обмен информацией: участие в сотрудничестве и обмене информацией с коллегами по отрасли и государственными учреждениями, чтобы оставаться в курсе возникающих угроз и передового опыта.