Сортировка
Внедрений найдено: 5
Кибер атаки на правительственную организацию
Предыстория проекта - оценка технологии
Крупное национальное правительственное агентство имеет сотни сотрудников и множество объектов, распределнных по большой географической площади. Это агентство хотело узнать больше о технологии ловушек как части своей регулярной оценки вендоров кибербезопасности.
Атаки обнаружены в нескольких районах
Практически сразу после введения DeceptionGrid в действие и в течение нескольких недель команда государственной безопасности получила несколько предупреждений об атаках высокой важности. Это была одна из самых массивных атак, которые мы когда-либо открывали. Мы идентифицировали нескольких злоумышленников в нескольких областях, чтобы включить более пяти (5+) злоумышленников с использованием вредоносных серверов, более пяти (5+) злоумышленников, связывающих обратный поток данных с серверами botnet c и c и более пятидесяти (50+) удаленных злоумышленников с использованием анонимного прокси TOR, чтобы скрыть исходные IP-адреса. В некоторых случаях вредоносное ПО автоматически захватывалось и вводилось в песочницу для дальнейшего анализа. Несколько злоумышленников установили команду и контроль и обошли весь массив существующих средств защиты от вторжений, защиты брандмауэра, конечной точки и периметра.
Вредоносные программы, кторые были обнаружены: Cryptowall, P2P Malware, Trojan-Banker, TrojanRansome, Mobogenie.B и WS.Reputation.1.
Эксфильтрация обнаруженных данных - Требуется широкомасштабное восстановление
Векторы атаки существенно различались и скомпрометировали рабочие станции и серверы в разных отделах. Необходимая коррекция была выполнена в широких масштабах и включала в себя репродуцирование как рабочих станций, так и серверов. Привлеченное правительство было вынуждено либо повторно предусмотреть в больших масштабах, либо выполнить более продолжительный анализ дампа памяти, чтобы лучше понять степень проникновения этого разнообразного сочетания нападавших. Исходные IP-адреса злоумышленников, как известно, являются конфиденциальными в настоящее время и частью продолжающегося уголовного расследования.
Предыстория проекта - оценка технологии
Правоохранительный орган, несет ответственность за многие виды деятельности, которые могут включать расследования организованной преступности и террористической деятельности с высоким уровнем секретности. Это агентство всегда заинтересовано в улучшении своей киберзащиты и выделяет большой бюджет для приобретения технологий защиты. Приоритеты этого агентства включают защиту конфиденциальности их текущих операций, внутренних процессов и их персонала. Это агентство провело опрос поставщиков технологий и захотело узнать больше об технологии ловушек. Они были знакомы с унаследованной технологией honeypot и нашли эту технологию слишком дорогой, как с точки зрения ресурсов, так и с учетом финансовых затрат. Это агентство было очень осторожным и разделило несколько сетей внутри предприятия. Некоторые из них должны использоваться исключительно для конфиденциальных (классифицированных) данных - для данных с меньшей конфиденциальностью. DeceptionGrid был введен в действие. В течение одной недели команда безопасности клиентов (SOC) получила сообщение с высоким приоритетом, указывающее на боковое перемещение передовой угрозы. Вредоносная программа была автоматически захвачена и введена в песочницу для дальнейшего анализа. Нападавшие установили сложную команду и контроль и обошли весь набор существующих средств защиты от вторжений, защиты брандмауэра, конечной точки и периметра. Продолжалось полное расследование, так как DeceptionGrid продолжал отслеживать и отслеживать движение вредоносных программ. Группа по операциям по обеспечению безопасности агентства установила, что в их протоколе произошло внутреннее нарушение. Связь, нарушающая процедуры обслуживания агентства, была обнаружена между их защищенной сетью и одной из менее безопасных сетей (более низкий рейтинг безопасности). Это нарушение в протоколе позволило получить доступ злоумышленника.
Эксфиляция данных, обнаружение и остановка
Было обнаружено, что злоумышленник двинулся без обнаружения во всей сети правоохранительных органов и на серверах. Было более десяти явных боковых движений, сделанных до обнаружения DeceptionGrid. Нападавший обнаружил и расширил данные, включая конфиденциальные записи персонала агентства, их информацию о I.D., их фотографии и другие конфиденциальные данные. DeceptionGrid позволил агентству нарушить атаку, а затем уверенно восстановить обычные протоколы безопасности.
Предыстория проекта - оценка технологии
Ведущий поставщик программного обеспечения предоставляет программное обеспечение через облачные сервисы своим клиентам в сфере здравоохранения. Команда информационных технологий этого клиента в значительной степени инвестировала средства в защиту компьютерной безопасности. Их центр оперативной безопасности регулярно обнаруживал вредоносное ПО и смог регулярно исправлять все эти известные инциденты. У клиента был сильный отраслевой пакет продуктов для защиты от кибернетики, который включал брандмауэры, антивирусные комплекты, программное обеспечение для обнаружения вторжений, защиту конечных точек и другое программное обеспечение. Наша первоначальная установка включала более десяти (10) vLANS. DeceptionGrid был введен в действие. Практически сразу клиентские информационные технологии получили несколько предупреждений о высокого приоритета. Они включали выявленную подозрительную деятельность и привели к обнаружению нескольких сетевых неверных конфигураций. Несколько внутренних интернет-адресов были открыты в Интернете и открыты для различных протоколов высокого риска. Входящие подключения от злоумышленников осуществлялись через SSH, Telnet и Remote Desktop. Обманный прокси-сервер TOR (анонимный прокси-сервер) отображал все выставленные хосты. Некоторые из вредоносных программ были автоматически захвачены и инъецированы в песочницу DeceptionGrid для продолжения анализа. Нападавшие имели несколько контрольных точек и обходили весь массив существующей безопасности.
Обнаружено и устранено несколько одновременных атакующих
Продолжалось полное расследование, так как DeceptionGrid продолжал отслеживать и отслеживать движение вредоносных программ. Несколько командных и контрольных точек на шести (6) рабочих станциях были связаны с нападавшими в Пекине, Китае, Молдове, и в нескольких точках на территории Украины. Десятки рабочих станций должны были быть репродуцированы для устранения доступа. Для многих объектов информационной технологии необходимо было отображать дамп и анализ вручную, чтобы определить весь масштаб обширной и ранее не обнаруженной активности злоумышленника. Объем кражи данных остается неопределенным. Несколько злоумышленников обращались к сетевым рабочим станциям и серверам этой технологической компании. Объем исследований и хищения данных об интеллектуальной собственности неизвестен, но расследование продолжается.
Каталог внедрений ROI4CIO - это база данных о внедрениях программного обеспечения, оборудования и ИТ-услуг. Находите внедрения по вендору, поставщику, пользователю, бизнес-задачам, проблемам, статусу, фильтруйте по наличию ROI и референса.