Warning: mkdir(): No space left on device in /var/www/hottg/post.php on line 59

Warning: file_put_contents(aCache/aDaily/2025-07-19/post/codeibnews/--): Failed to open stream: No such file or directory in /var/www/hottg/post.php on line 72
Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов @КОД ИБ: информационная безопасность
TG Telegram Group & Channel
КОД ИБ: информационная безопасность | United States America (US)
Create: Update:

Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов

В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний".

➡️ Смотреть выпуск на YouTube
➡️ Смотреть выпуск на RuTube
➡️ Смотреть выпуск в ВК

📝 Напомним вводные

Атака на крупную нефтехимическую компанию.
Цель — шифрование ключевой базы данных.
В компании:
— Разветвленная инфраструктура, включающая складские комплексы и логистику, заводы и производство.
— Обрабатывают ПДн.
— В штате несколько сотен сотрудников, ИБ-команда отсутствует, функции переложены на IT.
— СЗИ — антивирус и бэкап.


🔓 Этапы атаки
День 1-7. Разведка:
• Прощупывание периметра: перебор паролей, попытки входа под заблокированными УЗ.
• Компания активности не заметила.

Даже простые меры без закупки дорогих решений могли бы заметить разведку и остановить атаку еще до фишинга и заражения.

📌 Что можно было сделать: установить honeypot на IP, капчи на формах входа и геоблокировку, настроить алерты и Rate-limiting.

День 8. Фишинг:
• Архив с вредоносом прислали на четыре почты компании.
• Отправитель — домен ro.ru (Рамблер), ссылка — на Яндекс.Диск.
• Бухгалтер открыл файл → запустился .lnk-пейлоуда → PowerShell → загрузился dropper → ПК заражен.

📌 Причины проблемы: отсутствие фильтрации трафика, антиспама и обучения сотрудников. Антивирус не отработал, так как пейлоуд был уникален.

Доступ к RDP и 1С:
• От имени пользователя хакеры нашли вход на RDP-сервер и далее — на 1С.
• У пользователя была сохранена инструкция по подключению с паролем "12345" с настоятельной просьбой сменить пароли на 1C и RDP после первого входа, что не было сделано. Такой же пароль был и у других пользователей.

📌 Причины проблемы: не использовалась принудительная смена пароля, не было 2FA и контроля доступа.

Сканирование сети:
• Используя функцию обратных обработок на 1С-сервере, хакеры подняли привилегии до прав учетной записи под которой запущен 1С.
• Запустили сканирование от этой учетной записи.

Шифрование:
• Хакеры обнаружили уязвимость средства бекапа Veeam CVE-2023-27532 и выгрузили учетки.
• Учетку средства бэкапа добавили в доменные администраторы.
• Быстро нашли целевой сервер и изменили ключевую базу данных.

НС реализовано!


🚨 Главные ошибки компании

— Полное отсутствие зрелых ИБ-процессов
— Доступ в домен снаружи без должной защиты
— Хранение логинов и паролей в открытом виде
— Отсутствие мониторинга, реакции на инциденты, обучения персонала

💬 Рекомендации экспертов

Технические меры:
Настроить XDR/EDR, прокси с категоризацией, антиспам, WAF, геоблокировку.

Организационные:
Работать над осведомленностью сотрудников, проводить регулярные учения и отрабатывать сценарии реагирования.

Навести порядок в учетках и доступах:
Контролировать обязательную смену временных паролей, привилегии, разделить внутреннюю сеть.

Изменить отношение к безопасности:
Информационная безопасность = партнер, а не враг. Важно выстраивать доверие между ИБ, IT и бизнесом.

Эфиры ток-шоу "Безопасная среда" проходят каждый месяц. Следите за анонсами, чтобы не пропустить разбор нового инцидента.

Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов

В прямом эфире эксперты разобрали реальный киберинцидент на основе кейса из практики "Кибериспытаний".

➡️ Смотреть выпуск на YouTube
➡️ Смотреть выпуск на RuTube
➡️ Смотреть выпуск в ВК

📝 Напомним вводные
Атака на крупную нефтехимическую компанию.
Цель — шифрование ключевой базы данных.
В компании:
— Разветвленная инфраструктура, включающая складские комплексы и логистику, заводы и производство.
— Обрабатывают ПДн.
— В штате несколько сотен сотрудников, ИБ-команда отсутствует, функции переложены на IT.
— СЗИ — антивирус и бэкап.


🔓 Этапы атаки
День 1-7. Разведка:
• Прощупывание периметра: перебор паролей, попытки входа под заблокированными УЗ.
• Компания активности не заметила.

Даже простые меры без закупки дорогих решений могли бы заметить разведку и остановить атаку еще до фишинга и заражения.

📌 Что можно было сделать: установить honeypot на IP, капчи на формах входа и геоблокировку, настроить алерты и Rate-limiting.

День 8. Фишинг:
• Архив с вредоносом прислали на четыре почты компании.
• Отправитель — домен ro.ru (Рамблер), ссылка — на Яндекс.Диск.
• Бухгалтер открыл файл → запустился .lnk-пейлоуда → PowerShell → загрузился dropper → ПК заражен.

📌 Причины проблемы: отсутствие фильтрации трафика, антиспама и обучения сотрудников. Антивирус не отработал, так как пейлоуд был уникален.

Доступ к RDP и 1С:
• От имени пользователя хакеры нашли вход на RDP-сервер и далее — на 1С.
• У пользователя была сохранена инструкция по подключению с паролем "12345" с настоятельной просьбой сменить пароли на 1C и RDP после первого входа, что не было сделано. Такой же пароль был и у других пользователей.

📌 Причины проблемы: не использовалась принудительная смена пароля, не было 2FA и контроля доступа.

Сканирование сети:
• Используя функцию обратных обработок на 1С-сервере, хакеры подняли привилегии до прав учетной записи под которой запущен 1С.
• Запустили сканирование от этой учетной записи.

Шифрование:
• Хакеры обнаружили уязвимость средства бекапа Veeam CVE-2023-27532 и выгрузили учетки.
• Учетку средства бэкапа добавили в доменные администраторы.
• Быстро нашли целевой сервер и изменили ключевую базу данных.

НС реализовано!


🚨 Главные ошибки компании

— Полное отсутствие зрелых ИБ-процессов
— Доступ в домен снаружи без должной защиты
— Хранение логинов и паролей в открытом виде
— Отсутствие мониторинга, реакции на инциденты, обучения персонала

💬 Рекомендации экспертов

Технические меры:
Настроить XDR/EDR, прокси с категоризацией, антиспам, WAF, геоблокировку.

Организационные:
Работать над осведомленностью сотрудников, проводить регулярные учения и отрабатывать сценарии реагирования.

Навести порядок в учетках и доступах:
Контролировать обязательную смену временных паролей, привилегии, разделить внутреннюю сеть.

Изменить отношение к безопасности:
Информационная безопасность = партнер, а не враг. Важно выстраивать доверие между ИБ, IT и бизнесом.

Эфиры ток-шоу "Безопасная среда" проходят каждый месяц. Следите за анонсами, чтобы не пропустить разбор нового инцидента.
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍2


>>Click here to continue<<

КОД ИБ: информационная безопасность






Share with your best friend
VIEW MORE

United States America Popular Telegram Group (US)


Warning: Undefined array key 3 in /var/www/hottg/function.php on line 115

Fatal error: Uncaught mysqli_sql_exception: Can't create/write to file '/tmp/#sql-temptable-a06e-5376a8-20e5.MAI' (Errcode: 28 "No space left on device") in /var/www/hottg/function.php:216 Stack trace: #0 /var/www/hottg/function.php(216): mysqli_query() #1 /var/www/hottg/function.php(115): select() #2 /var/www/hottg/post.php(351): daCache() #3 /var/www/hottg/route.php(63): include_once('...') #4 {main} thrown in /var/www/hottg/function.php on line 216