Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

Инсайдеры? Нет, спасибо. ML ловит не ярлыки, а злоумышленников

Инсайдеры? Нет, спасибо. ML ловит не ярлыки, а злоумышленников
image

Здравствуйте, друзья! Меня зовут Алексей Потапов, и я ведущий эксперт PT ESC в Positive Technologies.

Сегодня, когда индустрия безопасности наводнена маркетинговыми терминами и попытками перекроить старые проблемы под новые модные ярлыки, важно говорить о сути. Пока аналитические центры переосмысляют понятие «инсайдерская угроза», пытаясь подвести под него все — от ошибочных действий сотрудника, случайного запуска вредоносного кода до полноценной атаки, — вендоры, и западные, и российские, подхватывают волну и начинают агрессивно продвигать собственные решения по детектированию угроз, добавляя к названиям фразу Insider Risk или Insider Threats. Это усиливает путаницу вокруг того, что же на самом деле происходит внутри инфраструктуры. Но реальность остается прежней: злоумышленники продолжают делать только одно — получать доступ к инфраструктуре и продвигаться по ней для реализации своих намерений. Их поведение — в отличие от их маркетинговых ярлыков — подчиняется вполне различимой логике. И именно эта логика поведения внутри инфраструктуры дает нам возможность построить универсальное обнаружение, которое видит не роль нарушителя, а его действия. Наша система поведенческого анализа событий MaxPatrol BAD создавалась именно для этого.

В рамках этой статьи я использую термин «инсайдер» в узком и практическом смысле — как человека внутри организации, чьи действия приводят к возникновению угрозы. Это может быть сотрудник, который сознательно стремится провести кибератаку или нанести вред компании, либо работник, который неосознанно запускает процессы или выполняет действия, открывающие злоумышленнику доступ к инфраструктуре. Существуют разные типы внутренних нарушителей, а также множество решений, ориентированных на выявление ошибок, утечек или неосторожных действий, — от классических DLP до современных ИИ-систем. В этом материале рассматриваются как преднамеренные, так и непреднамеренные сценарии, поскольку каждый из них приводит к одному и тому же техническому результату: демонстрирует поведение внутри инфраструктуры, которое может проявляться как потенциально вредоносное. Именно этот тип инсайдера позволяет наиболее ясно показать универсальность поведения злоумышленника внутри инфраструктуры — независимо от того, кем он был до момента атаки.

Цель этой статьи — не анализировать термины или спорить об их корректности, а показать, как за красивыми формулировками теряется понимание реальной природы угроз.

Мы лишь обозначили проблематику вокруг модной концепции инсайдерского риска, чтобы перейти к куда более важному — к практическому разбору сценария, в котором злоумышленник сознательно внедрился в организацию и действует изнутри. На этом примере я продемонстрирую, что такие действия ничем не отличаются по своей сути от любых других атак и что ключевым фактором остается возможность выполнения команд внутри инфраструктуры.

Вторая цель статьи — показать, насколько уязвимы современные SOC к атакам, которые формируют слабые сигналы. Когда аналитики завалены потоками оповещений, из которых до 99% — слабые, ложные или неочевидные события, критически опасная активность легко теряется.

Автономные системы, работающие на высокопороговых алертах, усиливают этот эффект, игнорируя низкоуровневые признаки. На примере инсайдерского сценария я покажу, как злоумышленник может действовать в тени, производя низкоприоритетные сигналы, и — главное — как MaxPatrol BAD способен обнаружить такую скрытую активность там, где традиционные подходы ее теряют.

Пока другие играют терминами, мы ловим злоумышленников

Маркетинг пытается разделить нарушителей на категории, выстраивая искусственные границы между внешними и внутренними атакующими. Но инфраструктура не различает мотивацию или происхождение киберпреступника — она лишь реагирует на то, что происходит внутри нее.

Независимо от того, откуда начинается атака, промежуточная цель злоумышленника всегда одна — получить возможность выполнять команды операционной системы. Не важно, пришел ли он извне, воспользовавшись уязвимостью и прорвавшись через периметр; проник ли он через украденные учетные данные; действовал ли как внедренный инсайдер (например, из подрядной организации) или оказался обычным сотрудником, случайно выполнившим вредоносный код. В тот момент, когда нарушитель получает шанс на запуск процессов внутри инфраструктуры, он перестает быть внешним или внутренним — эти ярлыки исчезают, уступая место универсальному техническому факту: он действует в среде предприятия. И именно это роднит многие типы угроз между собой. Возможность выполнения команд — вот что превращает любой сценарий атаки в единый поведенческий контур, который MaxPatrol BAD умеет видеть и анализировать.

Отдельно стоит отметить, что в современном контексте под понятие «инсайдер» все чаще подпадают и программные сущности, в частности внедренные LLM-агенты, которым в корпоративных средах нередко выдаются права и мандаты, эквивалентные правам пользователей или сервисных учетных записей. Такие агенты действуют от имени человека или системы и фактически становятся частью внутренней инфраструктуры. В случае их компрометации — через ошибки конфигурации, уязвимые интеграции или механизмы вроде prompt injection — они также могут становиться источником существенных рисков. Однако такой класс сценариев выходит за рамки этой статьи и заслуживает отдельного, более глубокого рассмотрения. Здесь мы сознательно фокусируемся на человеческих и классических операционных проявлениях инсайдерской активности.

Анализ активности инсайдера на практике

Переходя от концептуальной части к реальным примерам, далее я рассмотрю практические сценарии, которые демонстрируют, как преднамеренные действия инсайдера проявляются внутри инфраструктуры и каким образом они фиксируются средствами мониторинга.

Эти примеры основаны на контролируемых тестах, проведенных командами PT ESC, и позволяют объективно оценить, какие сигналы порождает подобная активность и как на нее реагируют различные системы безопасности.

В рамках первого сценария Offensive команда PT ESC провела тестирование, имитируя поведение преднамеренного инсайдера.

День 1

На рабочей станции пользователя в интерактивном режиме был запущен собственный инструмент команды, который устанавливал туннель во внутреннюю сеть и инициировал обращения к ресурсам компании через созданный канал.

Маскировка или попытки скрыть активность, кроме обхода антивируса, в этом эксперименте не предпринимались. Целью было оценить, как подобные действия будут фиксироваться различными системами безопасности. Спустя некоторое время команда SOC обнаружила соответствующий инцидент с помощью системы поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), которая выявила характерную сетевую активность и обозначила ее как потенциально вредоносную.

Рисунок 1. Инцидент, зарегистрированный системой PT Network Attack Discovery

Несмотря на то, что описанные действия по своей сути носили вредоносный характер, объем сгенерированных событий оказался минимальным. Активность ограничилась запуском процесса, устанавливающего соединение с внешним узлом и предоставляющего доступ к внутренней инфраструктуре, а также серией неуспешных попыток аутентификации на нескольких удаленных хостах. На этом вся активность фактически завершилась: не было масштабных перемещений по сети, утечек данных или попыток эскалации привилегий.

С точки зрения традиционных средств мониторинга подобное поведение формирует низкорисковый сигнал, который легко теряется в общей массе системных событий. Но благодаря сработке от PT NAD с типом incident в MaxPatrol SIEM эта активность не растворилась в общем массиве низкоуровневых сигналов. Это позволило оперативно обнаружить инцидент, инициировать расследование и корректно атрибутировать действия как потенциально опасные. В противном случае подобная малошумная активность, состоящая из ограниченного числа событий, могла бы остаться незамеченной.

Но не только в PT NAD был обнаружен инцидент — MaxPatrol BAD выявила аномальные действия в цепочке запуска и присвоила активности высокий уровень риска. Даже в случае отсутствия срабатывания правила в PT NAD это позволило бы направить активность на автоматическое расследование и реагирование.

Рисунок 2. Заскоренная в MaxPatrol BAD активность

День 2

На следующий день тестирование повторилось: на той же рабочей станции был запущен тот же бинарный файл с аналогичной цепочкой запуска. Однако характер активности существенно изменился. Вместо ограниченного набора действий, наблюдавшихся в первый день, инструмент инициировал гораздо более широкий спектр успешных аутентификаций на различных удаленных хостах и в сервисах внутри инфраструктуры. Количество событий заметно возросло, а поведенческий след стал значительно более выраженным. Для MaxPatrol BAD подобный набор взаимодействий создает отчетливый поведенческий профиль злоумышленной активности, что позволяет системе присвоить ей высокий риск уже на раннем этапе.

Рисунок 3. Высокозаскоренная в MaxPatrol BAD активность

Кроме того, во второй день системой MaxPatrol SIEM было сгенерировано несколько полноценных инцидентов, которые в обычном режиме могли бы автоматически попасть в конвейер автоматизированного анализа и расследования, увеличивая вероятность своевременного обнаружения и реагирования на подобную активность.

Рисунок 4. Инцидент, зарегистрированный системой MaxPatrol SIEM

Уязвимые зоны SOC: как «неважные» алерты ускользают от анализа

Теперь я перейду к описанию собственного сценария тестирования, целью которого являлась наглядная демонстрация того, насколько уязвимы современные SOC при работе с большим потоком событий, поступающих в средства мониторинга, корреляции и анализа инцидентов, а также при работе только с алертами высокого уровня опасности.

Для достижения цели я разработал отдельный сценарий, в котором намеренно стремился сохранять минимальный уровень активности (оставаться ниже радаров), чтобы оценить, насколько современный SOC способен фиксировать едва заметные признаки преднамеренного поведения инсайдера. При этом важно учитывать, что классические методы обнаружения, основанные на таких индикаторах компрометации, как известные хеши бинарных файлов, заранее определенные списки IoC или перечни ранее выявленных IP-адресов серверов C2, обладают естественным ограничением: они эффективны лишь в отношении уже известных артефактов. В реальных условиях эти механизмы могут оказаться недостаточными, поскольку злоумышленная активность нередко проявляется в новых, ранее не встречавшихся формах. Именно поэтому для полноценной защиты критически важно анализировать не только статические признаки, но и само поведение, лежащее в основе любых сценариев атаки.

Согласно концепции «пирамиды боли», наиболее низкие уровни индикаторов компрометации, такие как хеши файлов, конкретные IP-адреса, домены или отдельные сетевые артефакты, являются самыми простыми для обхода. Злоумышленнику не составляет труда менять эти элементы хоть при каждом запуске: генерировать новые бинарные файлы, использовать свежие IP-адреса, обновлять инфраструктурные артефакты. Именно поэтому опора на такие неизменные признаки дает минимальный защитный эффект, а поведение, лежащее выше по пирамиде, становится гораздо более надежным источником сигналов для обнаружения атак.

При подготовке к демонстрации я создал собственную тестовую инфраструктуру, включающую арендованный VDS-сервер с белым IP-адресом, на котором был развернут весь необходимы инструментарий. Внутри корпоративной среды я использовал специально собранный исполняемый файл, который моделировал поведение легитимного приложения для обновления Microsoft OneDrive, но при этом это был софт, который создает туннель «злоумышленнику» во внутреннюю сеть компании.

Для обхода детектирующей логики продуктов, которые могли бы сгенерировать детект с типом «инцидент», я предварительно провел следующие мероприятия:

  • Процесс сохранялся и запускался из типового пути, характерного для этого процесса операционной системы.
  • Изменил таблицу импорта библиотек при сборке, чтобы не быть обнаруженным по imphash1.
  • При сборке прямо в коде изменил параметры запуска моего туннеля, чтобы не быть пойманным по отельным строкам и имитировать команды запуска легитимного софта.
  • Все сетевые соединение с моей инфраструктурой были по протоколу TLS.
  • Событие аудита запуска процесса было внешне похоже на событие запуска легитимного процесса.

Для эмуляции я использовал рабочий компьютер сотрудника. Скачал через браузер с подконтрольного командного сервера подготовленный файл и запустил его. После запуска процесс устанавливал соединение с внешним сервером моей инфраструктуры и имитировал поведение злоумышленника, который располагает действующей доменной учетной записью. В рамках сценария были выполнены несколько успешных обращений к внутренним ресурсам компании, включая базовый просмотр на контроллере домена доступных каталогов. На этом моделирование действий инсайдера завершилось.

Таким образом, в ходе теста был запущен инструмент, активность которого не генерировала заметных сетевых отклонений и не приводила к генерации инцидентов в продуктах мониторинга. Система зафиксировала лишь отдельные алерты низкого и среднего уровня опасности, что и позволило оценить, насколько подобные маловыраженные сигналы могут оставаться незаметными для традиционных и современных процессов SOC, которые используют в том числе автономные ИИ-агенты.

Рисунок 5. Низкоуровневые алерты в MaxPatrol SIEM

Но не все так плохо. Даже несмотря на то, что в рамках симуляции я намеренно старался снизить заметность действий и тем самым усложнить работу среди прочего и системе MaxPatrol BAD, полностью обойти ее не удалось. Она зафиксировала выраженную аномалию: с точки зрения внешнего вида процесс выглядел как легитимный, однако фактическое поведение было нехарактерным для него. MaxPatrol BAD корректно определила это расхождение и классифицировала действие как аномальное, присвоив высокую оценку риска.

Рисунок 6. Результаты анализа в MaxPatrol BAD

Как ни парадоксально, но чем активнее злоумышленник будет пытаться обходить конкретные методы обнаружения, тем больше дополнительных шагов ему, возможно, придется совершать, повышая вероятность быть замеченным другими механизмами мониторинга. Обойдя одни алгоритмы, он часто неизбежно создает аномалии в других местах. На практике выходит так, что чем проще и короче цепочка действий атакующего, тем труднее ее обнаружить. Однако для достижения своих целей злоумышленнику все равно приходится выполнять множество разнородных действий, и именно это формирует тот самый поведенческий след, по которому его можно выявить.

Итоги и ключевые выводы

Подводя итоги, важно отметить: инсайдерские риски не являются новым явлением. Они существовали всегда — менялись лишь формулировки, интерпретации и маркетинговые подходы к их описанию. По сути же, «новые» термины лишь переупаковывают хорошо известные угрозы, которые и раньше были значимыми для компаний и сегодня остаются не менее актуальными. Особенно в условиях, когда злоумышленник может формально устроиться в организацию, действовать изнутри и получать доступ к критически важным ресурсам под видом легитимного сотрудника.

Практические примеры, рассмотренные в статье, показывают, что современные SOC сталкиваются с серьезным вызовом: необходимость обрабатывать гигабайты телеметрии и огромное количество низкопотенциальных событий приводит к тому, что критически важные сигналы легко теряются среди фоновых уведомлений. Классических средств обнаружения атак уже недостаточно — активность злоумышленников все чаще проявляется не через сигнатуры, а через поведенческие отклонения. Поэтому ключевым элементом надежной защиты становится способность обнаруживать то, что на первый взгляд кажется недетектируемым. Низкопотенциальные сигналы, слабые корреляции и едва заметные поведенческие изменения часто ускользают от классических механизмов обнаружения, особенно когда они ориентированы на неизменные индикаторы или заранее определенные шаблоны атаки. Чтобы эффективно противостоять подобным угрозам, требуется технология, которая способна анализировать поведенческую модель процесса, отслеживать ее изменения и фиксировать несоответствия по набору признаков и по фактической логике действий.

MaxPatrol BAD как раз и выполняет эту роль. Она не разделяет злоумышленников по категориям и не зависит от их типа — система оценивает действия в динамике, выявляет нетипичные отклонения и повышает оценку риска даже тогда, когда события выглядят незначительными. Именно такая способность обнаруживать необнаруживаемое делает поведенческий анализ ключевым элементом современной киберзащиты и дает организациям шанс увидеть те сценарии, которые традиционные инструменты считают фоновыми и неопасными.

MaxPatrol BAD не ищет инсайдеров — он ловит действия злоумышленника, которые неизбежно сопровождают любую преднамеренную активность внутри инфраструктуры. И в этом ее принципиальное преимущество.

Если у вас уже развернут MaxPatrol SIEM, то подключить MaxPatrol BAD для тестирования можно через вашего аккаунт-менеджера. Если вы еще не используете MaxPatrol SIEM, то рекомендуем оставить заявку на тест-драйв продукта.

Алексей Потапов, ведущий эксперт направления продуктовой экспертизы PT Expert Security Center (PT ESC), Positive Technologies

1Imphash (Import Hash) — это метод вычисления хеша для исполняемых файлов Windows (PE), основанный на именах импортируемых библиотек и функций (API) и их порядке, что позволяет быстро идентифицировать похожие вредоносные программы, даже если их код незначительно изменен, поскольку они часто используют одни и те же системные вызовы. Алгоритм включает сбор списка «имя_библиотеки.имя_функции», преобразование в нижний регистр и вычисление MD5-хеша этого списка, помогая в анализе вредоносного ПО, охоте за угрозами и трекинге вредоносных семейств.

Практический онлайн-курс по UserGate

Узнайте, как настроить NGFW и защитить корпоративную сеть — курс доступен в записи в любое время.

Записаться на курс и получить сертификат

Реклама. Рекламодатель ООО "Инфратех", ОГРН 1195081048073, infra-tech.ru, 18+