Как некомпетентная безопасница чуть не сорвала борьбу с инсайдерской угрозой
С яркой улыбкой и глубоким декольте она воодушевленно рассказывала коллеге в ИТ-отделе про киберугрозы. Харизма и энергия привлекали внимание, особенно мужчин, но скрывали слабые навыки. Год назад, работая в техподдержке за 40,000 рублей, она увидела вакансии ИБ-специалистов с зарплатами 100,000–200,000.
Курсы по кибербезопасности казались пропуском в новую жизнь. Рекрутеры отказывали, пока она не попала на интервью к начальнику ИТ-отдела, не разбиравшемуся в безопасности. Энтузиазм и заученные термины сработали — так она стала безопасником в компании, поставляющей стройматериалы. Малый бизнес с 60 сотрудниками тратил деньги на зарплаты и ремонт офиса, а на безопасность оставался только бесплатный антивирус.
Планировали перенести 1C на Debian, но настройка PostgreSQL для 1C вызывала сбои. Переход откладывали из-за нехватки времени и бюджета на обучение. «Сбрось пароли и не лезь в настройки», — буркнул администратор, чиня принтер для бухгалтерии.
Хотите разбирать реальные случаи взломов и разбираться в киберугрозах? В своём Telegram‑канале Security Controls я делюсь историями атак, методами защиты и разбором уязвимостей. Подписывайтесь, если тема безопасности вам интересна. |
Проблема с 1C
Три недели назад начались сбои. Система 1C не выгружала отчеты, задерживая поставки. Клиенты требовали скидки и грозились уйти к конкурентам. Директор был на взводе: «Если не почините до отчетности, мы потеряем тендер на ремонт школы!» Тендер требовал соответствия ФСТЭК, что увеличивало риски штрафа. Инфраструктура была стандартной: два сервера Windows Server 2016, Linux для 1C с веб-интерфейсом, Active Directory на 60 пользователей и роутер MikroTik с прошивкой 2019 года. Администратор метался между 1C и звонками, а безопасница должна была следить за защитой.
Она заметила блокировки учеток в логах Active Directory и запросы с незнакомых IP. «Это серьезно!» — воскликнула она, поправляя декольте и предлагая попить кофе. Администратор отмахнулся: «1C висит, это глюк». Боясь провала, она предложила усилить антивирус. Он проверил Windows Defender, обновил настройки за час и пробормотал: «Это не решит проблему».
Первые ошибки
Решив запустить GoPhish для теста фишинга, она заявила: «Проверю, как сотрудники кликают на письма!» Установив GoPhish на личный ноутбук с Kali Linux, так как корпоративных ресурсов не хватало, она запуталась в настройке PostgreSQL. Потратив ночь и отвлекая администратора болтовней и очередным «давай за кофе», она заставила его пропустить звонок от бухгалтерии.
Тест провалился: письма ушли в спам из-за неверных настроек отправителя. Администратор перезапустил проверку, и GoPhish показал: пароль менеджера по закупкам перехвачен. Она похвасталась руководителю, что нашла подозрительный IP, приписав себе его заслугу. Тот нахмурился: «Это слабые пароли, а не хакеры». Директор хвалил ее за энтузиазм, но подозревал, что она преувеличивает успехи.
Она предложила проверить пароли: «На курсах говорили, это беда!» Скрипт для поиска паролей вроде «123456» она запустила, но заблокировала половину учеток. Администратор, сжав кулаки, исправил ошибку за два часа, добавив политику сложных паролей. «Хоть что-то защищено», — буркнул он.
Сбой и раздражение
Листая Task Manager, она заметила процесс, жрущий память. «Это вирус?» — спросила она с сияющей улыбкой. Процесс был виден из-за ошибки инсайдера, не замаскировавшего скрипт. Администратор отмахнулся: «1C глючит». Но она установила Wireshark, чтобы проверить трафик. Путая порты (фильтровала по 443 вместо 445), она два часа читала форумы, пока не применила tcp.port == 445. Незнакомый IP отправлял данные в нерабочее время. «Это хакеры!» — воскликнула она. Администратор запустил Nmap с NSE-скриптом, выявив CVE-2023-4863 в Apache веб-сервиса 1C, не обновленном годами.
Она предложила проверить другие уязвимости. Не разобравшись, запустила скрипт, и 1C завис на час. «Ты сломала сервер! — администратор сжал кулаки. — Клиенты орут, а ты хвастаешься начальнику!» Она, сжав губы, ответила: «Я хотела помочь! Он сказал, я на верном пути». — «Он не знает, что ты натворила!» — фыркнул администратор. Она доложила руководителю о подозрительном IP, умолчав о сбое. Тот похвалил: «Молодец!»
Ловушка для инсайдера
Логи Active Directory (событие 4624 — успешный вход) показали: кто-то использовал украденный пароль менеджера, сохраненный до увольнения сотрудника. Инсайдер перед увольнением сохранил сертификат VPN, что позволило обойти деактивацию учетки. Она предложила: «Я читала про Sysmon — он ловит подозрительное!» Администратор установил Sysmon с шаблоном SwiftOnSecurity за 1–2 часа, несмотря на ее вопросы. Логи Sysmon анализировались вручную, так как интеграция с SIEM не была настроена. Sysmon выдал лог:
<EventID>1</EventID>
<CommandLine>powershell.exe -EncodedCommand JABzAD0AJwB3...</CommandLine>
<Image>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Image>
Лог выявил PowerShell-скрипт, создающий скрытый доступ.
Для ловушки создали honeypot с Canarytokens — фейковый Excel-файл с трекером, замаскированный под данные о тендере. Трекер разместили в сетевой папке с доступом для менеджеров. Настройка заняла 15 минут, но безопасница случайно удалила трекер, и администратор потратил 5 минут на создание нового. Через трое суток Sysmon зафиксировал: файл скачан. Логи указали на IP уволенного ИТ-шника, продающего данные конкурентам ради тендера на ремонт школы. Она, боясь разоблачения ошибок, доложила руководителю, что нашла подозрительный IP.
Последние меры
Доказать вину не удалось — IP скрывал VPN. Она предложила: «2FA спасет, я читала!» Администратор настроил 2FA через Duo для 60 пользователей за несколько часов, несмотря на ее болтовню. Учетки уволенных отключили за два часа. Она добавила: «Может, обучение? Есть курс Kaspersky». Руководитель одобрил, и организовали ежеквартальный курс (10 часов на человека) для защиты от фишинга.
Что случилось потом
Хакера не поймали. Утекли персональные данные клиентов и тендерные документы, что стоило тендера и грозило штрафами до 300 тысяч рублей по 152-ФЗ. Безопасница получила похвалу директора за энтузиазм, но команда избегала ее. Администратор признался коллеге: «Я скрыл сбой год назад, боясь увольнения, что ослабило защиту».
Осознав, что некомпетентный безопасник чуть не угробил бизнес, руководитель нанял профессионального ИБ-специалиста. Тот подключил облачную версию KICS, собирая логи Active Directory (события 4624, 4625) через API, парся журналы 1C через Python-скрипты в формате CEF и принимая Syslog с MikroTik. Из-за нестандартных логов 1C скрипты дорабатывали два дня, что затянуло интеграцию. Настройка с тестированием заняла неделю, обучение администратора — три дня. Новый специалист начал внедрять мониторинг инсайдеров — следующий не уйдет незамеченным. Безопасница осталась в штате под надзором, но ее хвастовство было риском.
Компания выжила, но урок был жестким: инсайдеры опаснее внешних атак. Антивирус, сложные пароли, Sysmon, 2FA, обучение и honeypot спасли бы данные, если бы были раньше. Малому бизнесу нужно логировать доступ, проверять уволенных, учить сотрудников и нанимать профи — это дешевле, чем терять тендеры.
#Кибербезопасность #Sysmon #Honeypot #Инсайдеры #ИнформационнаяБезопасность #Cybersecurity #Инсайдеры #МалыйБизнес #ИБ