MONT и партнеры
@komandamont
А если хакер уже внутри периметра?
И вы даже не знаете, что он уже там. Что происходит в первые часы после взлома? Вместе с коллегами из Positive Technologies рассуждаем в новой рубрике “А если завтра…?”. Первый выпуск — про вторжение изнутри.
Как хакер проник в систему?
Чаще всего злоумышленники заходят через фишинговые письма — не только с вредоносными вложениями, но и со ссылками на поддельные корпоративные ресурсы. Также в ход идут уязвимые сервисы и слабые пароли.
Превентивно помогают регулярное обновление систем, сегментация сети, использование песочниц и почтовых шлюзов для блокировки опасных писем, а также обучение сотрудников кибергигиене.
Какое среднее время обнаружение злоумышленника?
Это недели или даже месяцы. Ранние признаки (подозрительные подключения, DNS-запросы, необычные процессы) часто просто игнорируют.
Первые 24 часа. Что делает атакующий?
Сразу после проникновения он закрепляется в инфраструктуре, повышает свои привилегии и изучает сеть. На этом этапе под его контролем могут оказаться отдельные учетные записи и критические сервисы.
В этот момент нужно изолировать зараженные узлы, сменить учетные данные и собрать информацию для расследования. SIEM, NTA, EDR и системы оркестрации инцидентов помогут быстро локализовать угрозу и вернуть контроль.
Как избежать?
Необходимо своевременно внедрять процессы реагирования, обучение персонала и эффективные инструменты мониторинга.
#а_если_завтра
VK | Telegram | TenChat | MAX
И вы даже не знаете, что он уже там. Что происходит в первые часы после взлома? Вместе с коллегами из Positive Technologies рассуждаем в новой рубрике “А если завтра…?”. Первый выпуск — про вторжение изнутри.
Как хакер проник в систему?
Чаще всего злоумышленники заходят через фишинговые письма — не только с вредоносными вложениями, но и со ссылками на поддельные корпоративные ресурсы. Также в ход идут уязвимые сервисы и слабые пароли.
Превентивно помогают регулярное обновление систем, сегментация сети, использование песочниц и почтовых шлюзов для блокировки опасных писем, а также обучение сотрудников кибергигиене.
Какое среднее время обнаружение злоумышленника?
Это недели или даже месяцы. Ранние признаки (подозрительные подключения, DNS-запросы, необычные процессы) часто просто игнорируют.
Первые 24 часа. Что делает атакующий?
Сразу после проникновения он закрепляется в инфраструктуре, повышает свои привилегии и изучает сеть. На этом этапе под его контролем могут оказаться отдельные учетные записи и критические сервисы.
В этот момент нужно изолировать зараженные узлы, сменить учетные данные и собрать информацию для расследования. SIEM, NTA, EDR и системы оркестрации инцидентов помогут быстро локализовать угрозу и вернуть контроль.
Как избежать?
Необходимо своевременно внедрять процессы реагирования, обучение персонала и эффективные инструменты мониторинга.
#а_если_завтра
VK | Telegram | TenChat | MAX
👍 6
5 361
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram