Большинство утечек данных начинаются не с того, что хакер в толстовке взламывает код в 3 часа ночи. Они начинаются с вашего имени пользователя и пароля от утечки данных, произошедшей три года назад на сайте, о регистрации на котором вы забыли.
Представьте себе вора, который вообще не взламывает замок, потому что ключ лежит прямо под ковриком. Именно так выглядит большинство кибератак в 2026 году. Злоумышленники не пишут экзотический код для взлома ваших систем. Они входят в систему, используя учетные данные, которые ваши сотрудники уже используют, часто это учетные данные, украденные с совершенно другого веб-сайта много лет назад и проданные за несколько долларов в интернете.
Это важно для вашей организации, потому что атака не вызывает тревогу, как взлом. Успешный вход в систему с действительным именем пользователя и паролем выглядит точно так же, как начало рабочего дня сотрудника. Никаких предупреждений о вредоносном ПО не срабатывает. Никакого подозрительного трафика не регистрируется. Злоумышленник сливается с окружающей обстановкой, и именно это делает эту атаку такой эффективной.
Когда злоумышленник получает доступ к действительным имени пользователя и паролю, первое, что видят ваши средства безопасности, — это обычный вход в систему. Нет вредоносного ПО. Нет загрузки странных файлов. Нет никаких подозрительных признаков. Злоумышленник выглядит как сотрудник компании.
С этого момента злоумышленник начинает исследовать систему. Он ищет другие учетные записи, к которым может получить доступ с тем же паролем или его близкими вариациями. Он пытается получить доступ к электронной почте, облачному хранилищу, бухгалтерским инструментам или чему-либо еще, что использует ваша организация. Как только он находит точку опоры с немного большим доступом, он использует ее для дальнейшего продвижения. Для групп, использующих программы-вымогатели, вся эта цепочка от первого входа в систему до полной блокировки занимает часы. Для более скрытных злоумышленников это может занять недели, и вы часто даже не узнаете об их присутствии.
Основной метод атаки практически не изменился. Изменилась лишь скорость. Теперь злоумышленники используют инструменты искусственного интеллекта для проверки украденных учетных данных одновременно в десятках сервисов, пишут фишинговые письма, которые выглядят так, будто их отправил ваш генеральный директор, и создают поддельные страницы входа, которые выглядят идентично настоящим.
Раньше фишинговые письма было легко распознать: плохая грамматика, странный адрес отправителя, срочный тон. Сегодня сообщения, созданные с помощью ИИ, более привлекательны и коварны в своей подаче, но всё ещё содержат явные признаки подделки и ненадёжности. Они просто стали более привлекательными, если использовать ваш онлайн-образ для создания множества писем, которые апеллируют к вашему самоощущению или жизненным увлечениям. В результате, вашей команде крайне важно выработать хорошие кибер-привычки, чтобы они доверяли своей интуиции, когда что-то кажется подозрительным.
Хорошая новость в том, что и средства защиты практически не изменились. Многофакторная аутентификация, уникальные пароли, хранящиеся в менеджере паролей, и умение распознавать подозрительные электронные письма по-прежнему остаются наиболее эффективными инструментами. Они работают против атак с использованием ИИ так же, как и против более старых, менее совершенных атак. Не забывайте также о необходимости создания культуры кибербезопасности, в которой людей поощряют, если не вознаграждают, за сообщение о потенциальных проблемах безопасности без каких-либо санкций.
Если произойдет утечка данных, то то, как ваша команда отреагирует, будет иметь такое же значение, как и имеющиеся у вас инструменты. Большинство людей ожидают, что реагирование на инциденты будет линейным: найти проблему, локализовать ее, устранить, двигаться дальше. В реальных инцидентах это почти никогда не работает. Когда сотрудник сообщает о проблемах с электронной почтой или компьютером, время реагирования становится критически важным фактором для локализации и ограничения сопутствующего ущерба.
В ходе расследования ваша команда обнаружит новую информацию, которая изменит их представления. Одна взломанная учетная запись превращается в три. Сканирование на вредоносное ПО выявляет бэкдор, установленный две недели назад. Масштаб проблемы расширяется по мере более детального изучения, и эффективный процесс реагирования должен это учитывать. Динамический подход к реагированию на инциденты (DAIR) Существует один из подходов, который рассматривает это как норму. Ваша команда определяет масштаб проблемы, ограничивает то, что возможно, устраняет обнаруженные недостатки, а затем возвращается к исходным данным, чтобы проверить, есть ли еще проблемы. Каждый этап обучения приносит что-то новое.
Коммуникация — это то, что отличает локализованный инцидент от хаотичного. Когда у вашего ИТ-руководителя, офис-менеджера и руководства разная информация, решения принимаются, действия предпринимаются на основе неверной или отсутствующей информации.
Начните с составления плана реагирования на инциденты. В CyberHoot наши виртуальные директора по информационной безопасности называют его планом управления кибер-инцидентами (или CIMP). В этом плане мы указываем, кто за что отвечает, кого уведомлять и как поддерживать связь во время активного инцидента. Краткий список контактов и общий канал для обновления информации исключают неопределенность в стрессовых ситуациях.
После составления плана, отрабатывайте его на практике. Ежегодные настольные учения позволяют вашей команде шаг за шагом отработать реалистичные сценарии, избегая реального ущерба. Ваша команда обсуждает, что бы они сделали, кому бы позвонили и что бы сказали. Ключевые контактные номера проверяются и обновляются. Такая практика повышает точность и уверенность вашей команды реагирования на инциденты.
После каждого настольного учения одинаково важно проанализировать, что сработало, обновить план и назначить дальнейшие действия. План реагирования на инциденты, который никогда не проверяется на практике, — это всего лишь документ. План, который ваша команда отработала, — это реальная линия защиты.
Защита вашей организации от атак с использованием учетных данных требует тщательной подготовки. Во-первых, включите многофакторную аутентификацию для электронной почты, облачных инструментов и любого удаленного доступа, используемого вашей командой. Проведите аудит и убедитесь в отсутствии исключений. Многофакторная аутентификация предотвращает большинство атак с использованием учетных данных еще до того, как они достигнут цели.
Далее, внедрите менеджер паролей и обучите персонал работе с ним. Менеджер паролей помогает пользователям создавать уникальные пароли для каждой учетной записи, повышает эффективность и даже блокирует некоторые фишинговые атаки с целью кражи учетных данных, когда пользователь случайно переходит по поддельной ссылке поставщика.
Наконец, поделитесь со своей командой историями из практики, рассказами о пережитых опасностях и реальными примерами нападений. Обучите их тому, как выглядят подозрительные электронные письма, как выглядят поддельные запросы на вход в систему и кому сообщать о подозрительных действиях.
Эти три шага закрывают больше дверей, чем большинство дорогостоящих средств безопасности. Вам не нужно быть идеальным. Ваша организация должна быть сложнее для взлома, чем следующая в списке.
Каждая полезная привычка, которую ваша команда выработает сегодня, — это на одну уязвимую позицию меньше для нападающего завтра. Это стоит отметить. Ура!
Узнавайте и делитесь последними тенденциями, советами и передовыми методами в области кибербезопасности, а также новыми угрозами, на которые следует обратить внимание.
Большинство утечек данных начинаются не с того, что хакер в толстовке взламывает код в 3 часа ночи. Они начинаются с вашего имени пользователя и...
Читать далее
Практическое руководство для виртуальных специалистов по информационной безопасности (vCISO) ПРЕДУПРЕЖДЕНИЕ, КОТОРОЕ МЫ ПРОИГНОРИРОВАЛИ ИЛИ НЕ ПОНЯЛИ В течение многих лет наиболее авторитетные...
Читать далее
Руководство по выявлению мошеннических схем, когда мошенники выдают себя за высокопоставленных руководителей, прежде чем поддельный генеральный директор получит настоящий банковский перевод. Это...
Читать далееБолее пристальное внимание к человеческим рискам с помощью позитивного подхода, который превосходит традиционное тестирование на фишинг.
