Павел Кузнецов: «В идеальной картине мира каждый случай хакерской атаки должен проходить под наблюдением SOC»

Приложение для быстрого удаленного доступа AnyDesk подверглось хакерской атаке. В результате этого были украдены исходный код ПО и ключи для подписи кода. В целях безопасности компания сбросила все пароли к своей платформе и предложила пользователям их сменить.

IT Info связалось с директором по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний «Гарда» Павлом Кузнецовым, чтобы выяснить, насколько часто сегодня происходят подобные атаки, как компании борются с злоумышленниками и какие есть оптимальные меры защиты своих данных.

«Способы защиты при подобных атаках ничем не отличаются от защиты иных развитых ИТ-инфраструктур, если рассуждать о том, как атакующие получили доступ к серверам AnyDesk. Если же вести речь о плане реагирования, который компания реализовала с привлечением внешних экспертов, он выглядит разумным. Были не только сброшены пароли, но и разорваны сессии, а также отозваны соответствующие сертификаты для соединений. Планируется отозвать также и сертификаты для подписи кода. Эта мера тоже выглядит разумной, т.к. атакующие могут воспользоваться украденными сертификатами», — поделился с изданием эксперт.

Павел Кузнецов отметил, что самым оптимальным методом защиты является недопущение  бесконтрольной работы средств удалённого доступа в корпоративной инфраструктуре. 

«Зачастую атакующие используют модифицированные файлы легитимного ПО в составе вредоносных программ по принципу, например, DLL side-loading. Наличие на руках исходного кода оригинального легитимного ПО может позволить им реализовать такую «интеграцию» более тонко для достижения еще большей степени незаметности для антивирусных средств», — рассказал IT Info специалист.

Что касается оптимальных мер защиты, здесь Павел Кузнецов посоветовал использовать инфраструктурные инструменты, принадлежащие экосистеме производителя ОС. 

«В целом, в работе ИТ разумнее всего использовать инфраструктурные инструменты, принадлежащие экосистеме производителя ОС, для удаленного управления в целях работы техподдержки и решения проблем, а не внешние, тем паче, работающие через облачные серверы. Если применения дополнительных инструментов уж никак не избежать, подобные алгоритмы должны быть жестко описаны и регламентированы в документах, должен существовать конкретный процесс и написаны соответствующие playbook для службы мониторинга ИБ. Грубо говоря, в идеальной картине мира каждый случай использования подобного инструмента должен проходить под пристальным наблюдением SOC», — подвел итоги эксперт компании «Гарда».