«Стандартная модель Cyber Kill Chain хорошо описывает этапы атаки, но мало кто применяет её для реального предотвращения инцидентов. В 80% случаев защита проседает на одних и тех же простых этапах, а деньги тратятся на сложные системы, которые без настройки ничего не ловят. Гораздо эффективнее не бороться с хакерским искусством, а закрывать элементарные дыры, которые позволяют атаке пройти первые три шага из шести.»
Шесть этапов типичной целевой атаки
Атака изнутри редко начинается с гениального взлома. Чаще всего это последовательный, методичный процесс, описанный в модели Cyber Kill Chain. Понимание каждого этапа, это не теория, а практический инструмент для выявления точек контроля и предотвращения.
| Этап | Что делает атакующий | Возможности для обнаружения |
|---|---|---|
| 1. Разведка | Собирает информацию о компании через открытые источники: LinkedIn сотрудников, публичные DNS-записи, данные о доменах и технологическом стеке. | Аномальная активность сканирования ваших публичных IP-адресов или поддоменов. Множественные запросы к корпоративному сайту с одних и тех же узлов. |
| 2. Подготовка | Готовит инструменты: создаёт фишинговые письма с вредоносными вложениями, регистрирует домены, похожие на ваши, настраивает инфраструктуру для управления. | Появление в почтовых системах писем с похожих, но поддельных доменов. Системы репутаций могут отмечать новые подозрительные домены. |
| 3. Доставка | Доставляет вредоносный код жертве: через фишинговое письмо, компрометированный сайт или USB-накопитель. | Почтовые шлюзы и антивирусы на конечных точках могут блокировать известные вредоносные вложения. Поведенческий анализ может выявить макросы в документах. |
| 4. Эксплуатация | Использует уязвимость для выполнения кода. Например, запускает макрос в документе Word для загрузки вредоносной программы. | Системы защиты конечных точек (EDR) фиксируют запуск подозрительных процессов, цепочки выполнения и попытки эксплуатации известных уязвимостей. |
| 5. Закрепление | Устанавливает постоянный доступ: создаёт новые учётные записи, добавляет задачи в планировщик, устанавливает бэкдоры. | Мониторинг событий безопасности (Event Log) на предмет создания нестандартных учётных записей или изменений в автозагрузке. |
| 6. Действия | Достигает цели: собирает данные, перемещается по сети к ценным активам, шифрует файлы или выводит информацию наружу. | Системы DLP или мониторинг сетевого трафика могут обнаружить аномально большие объёмы исходящих данных или доступ к файловым ресурсам не в рабочее время. |
Реальный кейс: как протекала атака на производственную компанию
Рассмотрим сценарий для компании с оборотом около двух миллиардов рублей, обрабатывающей персональные данные и коммерческую тайну. Цель злоумышленников — финансовая отчётность и базы контрагентов.
День 1–7: Разведка
Атакующие анализируют публичную информацию: сайт компании, профили ключевых сотрудников в социальных сетях, записи DNS. Они определяют, что в бухгалтерии используется типичная CRM-система с известной уязвимостью в веб-интерфейсе.
Упущенная возможность: Сканирование портов компании с ряда внешних IP-адресов не было замечено, так как межсетевые экраны не были настроены на логирование подобной активности для последующего анализа.
День 8: Доставка и эксплуатация
Бухгалтер получает письмо, стилизованное под официальное уведомление. Вложение — документ с макросом. При открытии макрос, используя уязвимость в офисном ПО, загружает и запускает троян. Антивирус на рабочей станции не среагировал, так как вредоносный файл использовал легитимную, но скомпрометированную цифровую подпись.
Упущенная возможность: Макросы в документах из внешних источников не были заблокированы на уровне групповых политик домена. Почтовый шлюз пропустил письмо, так как оно не содержало известных сигнатур.
День 9–14: Закрепление и перемещение
Троян создаёт задачу в планировщике Windows для периодического соединения с командным сервером. Используя права скомпрометированного пользователя, атакующие исследуют внутреннюю сеть, обнаруживают файловый сервер с финансовыми документами и получают к нему доступ с теми же учётными данными бухгалтера.
Упущенная возможность: Централизованный сбор и анализ журналов событий с рабочих станций отсутствовал. Создание новой задачи в планировщике задач на корпоративном компьютере осталось незамеченным.
День 15–21: Сбор и вывод данных
Злоумышленники отбирают архивы с финансовой отчётностью, базы данных контрагентов и договоры. Данные пакуются в архивы и небольшими порциями передаются на внешний сервер через зашифрованные HTTPS-сессии, маскируясь под обычный веб-трафик.
Упущенная возможность: В компании не была внедрена система предотвращения утечек данных (DLP), а сетевые экраны не анализировали объёмы исходящего трафика с критичных серверов.
День 22: Сокрытие следов
Перед завершением операции атакующие очищают журналы событий на затронутых рабочих станциях, удаляют временные файлы и удаляют задачу из планировщика. Компания узнаёт об инциденте спустя несколько недель от партнёра, обнаружившего свои данные в утечке.
Упущенная возможность: Журналы событий не дублировались в защищённое, централизованное хранилище, доступное только для администраторов безопасности. Их очистка на локальной машине стёрла основные следы.
Критические точки сбоя защиты: где можно было остановить атаку
В этом сценарии на каждом этапе существовала технически простая мера, способная прервать цепочку атаки. Их отсутствие и привело к успеху злоумышленников.
| Этап Kill Chain | Эффективная контрмера | Причина неудачи в кейсе |
|---|---|---|
| Разведка | Мониторинг и анализ логов входящих соединений на межсетевых экранах. | Логирование было отключено для оптимизации производительности, анализ подозрительного сканирования не проводился. |
| Доставка | Политика безопасности, запрещающая выполнение макросов в документах из интернета. | Групповые политики AD не были настроены на блокировку макросов, полагались на базовый антивирус. |
| Эксплуатация | Система защиты конечных точек (EDR) с поведенческим анализом. | На рабочих станциях использовался только традиционный антивирус, не отслеживающий цепочки выполнения процессов. |
| Закрепление | Централизованный сбор и алертинг по событиям создания задач в планировщике и новых автозагрузочных ключей. | Журналы событий Windows не пересылались в SIEM или аналогичную систему для корреляции. |
| Вывод данных | Контроль исходящего трафика с серверов, содержащих критичные данные, с использованием DLP или анализа аномалий. | Трафик с файловых серверов не считался приоритетным для мониторинга, DLP-система отсутствовала. |
Временная шкала инцидента: почему обнаружение занимает месяцы
Среднее время обнаружения сложного инцидента часто превышает полгода. При этом для достижения цели атакующему обычно хватает двух-трёх недель. Этот разрыв образуется из-за «слепых зон» на ранних и средних этапах атаки.
- Момент заражения (День 8): Сотрудник открыл вредоносный документ.
Обнаружено: День 65. Через два месяца при плановой проверке системным администратором. - Момент вывода данных (День 21): Началась передача архивов на внешний сервер.
Обнаружено: День 90. Случайно, при расследовании другой незначительной аномалии в сети. - Момент публикации данных (День 52): Данные появились на теневом форуме.
Обнаружено: День 52. Компанию уведомил внешний партнёр.
Практические шаги: как закрыть ключевые этапы Kill Chain
Защита строится не на покупке самого дорогого решения, а на перекрытии базовых векторов на каждом этапе. Вот минимальный, но эффективный набор мер.
Против разведки и доставки
- Настройте межсетевые экраны на обязательное логирование всех блокируемых и разрешённых входящих соединений с последующим анализом на предмет сканирования.
- Внедрите почтовый шлюз с фильтрацией по репутации URL и вложений, а также с песочницей для подозрительных файлов.
- Через групповые политики запретите выполнение макросов в документах Office, полученных из интернета.
Ориентировочные затраты: от 50 до 150 тысяч рублей в год (аренда/обслуживание сервисов, настройка).
Против эксплуатации и закрепления
- Внедрите EDR-агенты на все рабочие станции, имеющие доступ к критичным данным. Настройте алерты на запуск скриптовых интерпретаторов (PowerShell, WSH) из офисных документов.
- Настройте централизованный сбор журналов событий Windows (особенно события 4697 — создание службы, и 4698 — создание задачи в планировщике) с критичных систем.
Ориентировочные затраты: от 100 до 300 тысяч рублей в год (лицензии EDR, инфраструктура для сбора логов).
Против сбора и вывода данных
- Внедрите DLP-систему, начиная с контроля каналов связи на рабочих местах сотрудников, работающих с финансами, персональными данными и интеллектуальной собственностью.
- Настройте правила на сетевых экранах для мониторинга аномально больших объёмов исходящего трафика (особенно в нерабочее время) с ключевых серверов.
Ориентировочные затраты: от 200 до 500 тысяч рублей в год (лицензии DLP, внедрение и сопровождение).
Чего делать точно не стоит
- Покупать мощную SIEM-систему, не имея штатного специалиста по кибербезопасности для её настройки и ежедневного мониторинга. Она превратится в дорогой архив логов.
- Устанавливать на серверы традиционный антивирус, игнорируя специализированные средства защиты рабочих станций (EDR), которые созданы для противодействия целенаправленным атакам.
- Внедрять DLP «по всему фронту» сразу, без предварительной классификации данных и выделения самых критичных активов и пользователей. Это приведёт к тысячам ложных срабатываний и выхолащиванию системы.
Результат таких действий: Значительные бюджеты будут потрачены, но реальная способность обнаруживать и останавливать целевые атаки останется на прежнем низком уровне.