Самая опасная уязвимость — это доверие

Большинство крупных атак развиваются не потому, что злоумышленник постоянно находит новые уязвимости.

Они развиваются потому, что инфраструктура уже доверяет скомпрометированной системе.

Пример — атака группировки DragonForce через SimpleHelp в мае 2025 года.

Злоумышленники скомпрометировали RMM-систему IT-провайдера, через которую удалённо администрировались компьютеры его клиентов. После этого им не пришлось взламывать каждую организацию отдельно.

Через легитимную инфраструктуру SimpleHelp они получили сведения о клиентских сетях, развернули вредоносное ПО и запустили шифровальщик сразу в нескольких организациях. Часть клиентов столкнулась с шифрованием систем и кражей данных.

Самое опасное здесь то, что вредоносные действия выполнялись через систему, которой компьютеры уже доверяли и от которой привыкли принимать команды.

Это хороший урок.

Самая опасная уязвимость предприятия — не открытый порт и не старая версия Apache.

Самая опасная уязвимость — это одна система или одна учётная запись, которой доверяет вся инфраструктура.

Именно поэтому в первую очередь нужно защищать центры доверия:

  • Active Directory;
  • гипервизоры;
  • серверы резервного копирования;
  • RMM и другие системы централизованного управления;
  • консоли EDR и других средств защиты;
  • CI/CD;
  • системы мониторинга;
  • инфраструктуру открытых ключей.

Если компрометация одной системы позволяет управлять сотнями компьютеров, отключать защиту и устанавливать программное обеспечение, то проблема уже не в конкретной уязвимости.

Проблема — в архитектуре доверия.

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.