Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Инструменты кибербезопасности. Довольствуемся тем, что есть

Обновлено 26.06.2025 05:27

Кибербезопасности инструментами называются какие-либо средства, которые помогают выполнять задачи вручную или автоматически. Если это определение звучит слишком широко - что ж, так оно и есть. Существуют физические инстру­менты, такие как BadUSB, вайфай-снифферы и «отмычки», а также программные инструменты, такие как платформы, эксплойты, код, сценарии и исполняемые файлы. Вся компьютерная система сама по себе является инструментом. Даже при­меняемый законно инструмент в руках хакера может стать оружием. Представьте, например, клиент SSH, который администратор использует для удаленного обслу­живания систем, а злоумышленник - для обратного туннелирования SSH и атаки на системы в обход межсетевых экранов. 

Как и синоби, киберпреступникам для достижения целей важны подходящие инструменты, и они постоянно развивают, настраивают, оттачивают и тестиру­ют их на соответствие целям и технологиям на живых примерах. Продвинутые преступники нанимают разработчиков инструментов и возможностей, которые занимаются поддержкой и развитием набора инструментов. В ответ на это пред­приимчивые специалисты по безопасности изучают методом обратной разработки эти специальные инструменты, создают контрмеры, внедряют полезные политики безопасности и сигнатуры обнаружения, тестируют возможности вредоносных ин­струментов в песочницах и создают белые списки приложений, которые выявляют и блокируют опасные инструменты. Иногда вновь изобретенные средства защиты настолько хороши, что злоумышленникам не удается загрузить или установить свои инструменты в целевую систему, поскольку система безопасности на хосте немедленно изолирует их, блокирует доступ к ним и предупреждает сотрудников службы безопасности об инциденте.

Поскольку системы безопасности на хостах способны обнаруживать и блокировать специализированные инструменты и вредоносное ПО, многие злоумышленники начали использовать тактику проникновения, называемую «довольствуйся тем, что есть». В рамках этого подхода они сначала собирают информацию о программном обеспечении и инструментах, которые уже применяются в целевой системе. Затем планируют атаку, задействуя только установленные приложения, поскольку защита хост-системы не считает их вредоносными.

В такой атаке может использоваться любой файл на компьютере жертвы, будь то планировщик задач, веб-браузер и система управления Windows, утилиты ко­мандной строки, механизмы сценариев, такие как cmd/bat, JavaScript, Lua, Python и VBScript. Хакеры используют имеющиеся в целевой среде инструменты так же, как синоби применяли сельскохозяйственные орудия, которые легко раздобыть и пустить в ход, не вызывая подозрений. Хакеры с помощью имеющегося на целевой машине инструментария способны превратить повседневные пользовательские и административные инструменты, приложения и файлы операционной системы в средство для реализации своих целей.

Одним из самых распространенных инструментов, который часто используют на компьютерах с Windows, является фреймворк Microsoft PowerShell. Даже в Microsoft признают, что злоумышленники регулярно применяют именно PowerShell, чтобы проникать в системы, выполнять несанкционированные действия и иным образом угрожать работе компании. В ответ на это Microsoft предлагает средства безопас­ности и смягчения последствий, такие как Privilege Access Management (PAM), для обеспечения Just Enough Administration (JEA) в сочетании с администрированием Just in Time (JIT). Беда в том, что JEA/JIT превращает использование PowerShell в сущий кошмар для системных администраторов. А почему? Если не углубляться в технические детали, просто представьте, что для устранения какой-то проблемы вызвали специалиста, но ему разрешено взять с собой только отвертку и лишь в промежуток с 13:00 до 14:00.

Контроль доступа в виде блокировки инструментов работает правильно только в том случае, если ИТ-отдел согласен серьезно ограничить свою эффективность. Но даже в этом случае опасность не исчезает, если эти инструменты уже уста­новлены в целевой системе. Специалисты по кибербезопасности не раз видели, как злоумышленники с легкостью извлекают нужные инструменты из локальной среды. Важный постулат кибербезопасности заключается в следующем: пока существуют сложные инструменты, существует и возможность злоупотребления ими.