Часы проникновения. Время и возможности
Поскольку люди до сих пор просыпаются, работают, едят, отдыхают и спят приблизительно по тому же графику, что и феодальные японцы, то и часы проникновения, которые предлагается использовать в трактатах, точно совпадают с моментами времени, когда сотрудники отвлекаются, утомляются или теряют концентрацию из-за проблем современного рабочего дня, - именно тогда они наиболее уязвимы для нападения. Рассмотрим временные блоки, указанные в трактатах, в контексте использования сети и информационной системы.
Час Зайца (5:00–7:00). Пользователи просыпаются и входят в систему. Автоматические и ручные системы загружаются, появляются скачки в журналах событий и системных журналах.
Час Лошади (11:00–13:00). Многие пользователи прерываются на обед, то есть выходят из системы сами или отключаются автоматически из-за бездействия. Возможно, кто-то занимается личными делами с помощью интернета — читает новости, делает покупки, проверяет почту, выкладывает что-то в социальные сети или делает еще что-то, что может вызвать срабатывание систем обнаружения аномалий.
Час Петуха (17:00–19:00). Пользователи заканчивают работу, сохраняют файлы и, вероятно, спешат уйти домой, что значительно увеличивает риск допустить ошибку в своей работе, а также снижает бдительность в области кибербезопасности. Например, работник может бездумно открыть вложение из срочного письма. Пользователи массово выходят из своих учетных записей, а некоторые не выходят, оставляя систему на произвол судьбы или тайм-аута.
Час Кабана (21:00–23:00). Большинство пользователей не на работе. Когда человек дома, общается с друзьями или готовится ко сну, безопасность рабочей учетной записи, скорее всего, его мало волнует. Организации с достаточным штатом для работы ночью обычно в это время меняют смену, создавая окно для атак злоумышленников, которые могут проникнуть в систему между входами разных пользователей или пока пользователи SOC только заходят в систему. Чем позже, тем больше вероятность того, что люди, даже привыкшие к ночной работе, будут сонными и невнимательными, особенно если ничего интересного не происходит.
Час Крысы (23:00–1:00). Сети и системы выполняют резервное копирование или другое плановое обслуживание, создавая шум в сетевых датчиках и SIEM. Пользователи SOC к этому моменту наверняка уже выполнили свои повседневные задачи по обеспечению безопасности и техническому обслуживанию и могут быть погружены в работу над проектом.
Час Тигра (3:00–5:00). В это время обычно выполняются пакетные задачи, включая обработку журналов, запуск диагностики или сборки программного обеспечения. Большинство пользователей, за исключением сотрудников SOC, спят самым крепким сном и неактивны в своих учетных записях.
Удачные дни. Существуют определенные дни, недели и месяцы, в которые злоумышленники могут атаковать системы и пользователей. Большинство руководителей компаний не руководствуются «удачными днями» в своей работе, но злоумышленники наверняка осведомлены о регулярных плановых обновлениях или обслуживании, когда компании отключают средства защиты, а также о выходных и праздничных днях, когда системы и учетные записи в основном не используются. Если потенциальные угрозы не учесть, нарушения в сетевом трафике и системных журналах могут остаться незамеченными во время таких окон возможностей, позволяя злоумышленникам проводить атаки, осуществлять разведку или управление, распространять вредоносное ПО или извлекать данные.
