Большинство крупных атак развиваются не потому, что злоумышленник постоянно находит новые уязвимости.
Они развиваются потому, что инфраструктура уже доверяет скомпрометированной системе.
Пример — атака группировки DragonForce через SimpleHelp в мае 2025 года.
Злоумышленники скомпрометировали RMM-систему IT-провайдера, через которую удалённо администрировались компьютеры его клиентов. После этого им не пришлось взламывать каждую организацию отдельно.
Через легитимную инфраструктуру SimpleHelp они получили сведения о клиентских сетях, развернули вредоносное ПО и запустили шифровальщик сразу в нескольких организациях. Часть клиентов столкнулась с шифрованием систем и кражей данных.
Самое опасное здесь то, что вредоносные действия выполнялись через систему, которой компьютеры уже доверяли и от которой привыкли принимать команды.
Это хороший урок.
Самая опасная уязвимость предприятия — не открытый порт и не старая версия Apache.
Самая опасная уязвимость — это одна система или одна учётная запись, которой доверяет вся инфраструктура.
Именно поэтому в первую очередь нужно защищать центры доверия:
- Active Directory;
- гипервизоры;
- серверы резервного копирования;
- RMM и другие системы централизованного управления;
- консоли EDR и других средств защиты;
- CI/CD;
- системы мониторинга;
- инфраструктуру открытых ключей.
Если компрометация одной системы позволяет управлять сотнями компьютеров, отключать защиту и устанавливать программное обеспечение, то проблема уже не в конкретной уязвимости.
Проблема — в архитектуре доверия.

Добавить комментарий