В Lockheed Martin «практически пропустили» атаку хакеров

Руководитель отдела по информационной безопасности Lockheed Martin Стив Адегбайт (Steve Adegbite) и его подчиненные «практически пропустили хакерскую атаку» на их серверы, которая состоялась в мае 2011 года. Об этом SecurityLab сообщал ранее.

Выступая на саммите Kaspersky Security Analyst Summit в Пуэрто-Рико, Адегбайт заявил, что поначалу его подчиненным казалось, что неполадки во внутренней сети возникли из-за ошибок недавно нанятого сотрудника.

Как передает Dark Reading, злоумышленники очень хорошо подготовились к проведению взлома – им удалось получить учетные данные одного из партнеров Lockheed Martin, в том числе ключ SecureID, используемый для осуществления двухфакторной аутентификации. Вскоре сотрудники компании заметили, что удаленный пользователь пытается получить доступ к данным, никак с ним не связанным.

Отразить эту атаку удалось с помощью системы Cyber Kill Chain, которая отслеживает пользователей и не дает им получить лишнюю информацию. «Никакой утечки не произошло. Если бы не эта система, у нас возникли бы проблемы», - отметил Адегбайт.

Эксперт привел 7 шагов, которые обычно предпринимают злоумышленники: получение данных о системах защиты, добыча оружия, его доставка, эксплуатация, установке вируса, получение привилегий управления, зачистка следов взлома. Цель Cyber Kill Chain, как отметил представитель Lockheed Martin, состоит в том, чтобы автоматизированными методами не дать хакерам сделать 7 шагов и исчезнуть.

Отметим, атаки на Lockheed Martin часто связывают с успешным взломом серверов RSA, который произошел за полтора месяца до этого. Подтверждения связи между двумя инцидентами найдено не было.