Лого Servicepipe (Сервиспайп)
+7 (495) 374-62-65
welcome@servicepipe.ru
Войти
Комментарии

Почему повторные атаки хакеров неизбежны и как их остановить

Проблема кроется в том, что бизнес не всегда принимает необходимые меры после первого инцидента

19.02.2025  

|  Cyber Media

После успешной кибератаки компании часто испытывают временное облегчение, считая, что угроза миновала. Однако реальность такова, что хакеры неизбежно возвращаются. Повторные атаки становятся не просто возможными, а практически гарантированными. Проблема кроется в том, что бизнес не всегда принимает необходимые меры после первого инцидента, оставляя уязвимости, которые хакеры с легкостью используют для новых взломов. В этой статье мы рассмотрим, почему это происходит, какие ошибки приводят к повторным атакам и как компаниям защититься от них.

Почему хакеры возвращаются

Кибератаки давно стали неотъемлемой частью современного бизнеса. Однако одна из самых подлых и часто игнорируемых угроз заключается в том, что хакеры могут возвращаться. После первой успешной атаки компании часто считают, что угрозы больше нет, а система безопасности восстановлена. Но хакеры продолжают искать и использовать уязвимости. Адаптируя свои методы, они способны снова ударить, нанося бизнесу еще более тяжелый ущерб.

Цикличность атак заключается в том, что хакеры не только возвращаются, но и используют новые, более совершенные методы, чтобы вскрыть систему. Первая атака может быть использована как отправная точка для дальнейших проникновений. Особенно если компания не предпринимает должных мер по устранению уязвимостей или анализу инцидента.

«Учитывая текущий ландшафт угроз, когда каждая компания может стать потенциальной мишенью злоумышленников вне зависимости от размеров или отрасли, одно из базовых правил — следить за информационным фоном компании, в том числе тем, что пишут на теневых ресурсах. Это может выступать большим подспорьем в вопросах построения защиты.

Повторные атаки могут не только привести к финансовым потерям, но и подорвать репутацию компании, вызвать потерю доверия со стороны клиентов и партнеров, а также привести к юридическим последствиям. Именно поэтому важно понимать, что атаки не заканчиваются на первой попытке и требуют постоянной бдительности и модернизации системы защиты».

Лада Антипова

Руководитель отдела реагирования и цифровой криминалистики Angara SOC

Как избежать повторного возвращения хакеров

В условиях постоянного роста киберугроз защита от повторных атак становится важнейшей задачей для бизнеса. Хакеры продолжают адаптировать свои методы, и компании, не предпринимающие своевременных мер, рискуют столкнуться с повторным взломом.

«Если атака случилась единожды, то, что она повторится — вопрос времени. Вот несколько рекомендаций по их предотвращению:

проанализируйте логи на предмет низкочастотной автоматизации — быть может, работоспособность вашего ресурса интересна не только вам;
минимальные рейтлимиты на ресурсе и план действий по грубому противодействию атаки должен быть в любом случае, даже самая примитивная защита лучше, чем ее полное отсутствие;
не помешает план Б — куда писать, если текущая защита окажется недостаточной».
 

Антон Чемякин

Руководитель аналитического отдела Servicepipe

Важно использовать комплексный подход к безопасности, включая регулярные обновления, мониторинг системы и обучение сотрудников. 

Быстрая реакция на инциденты и постоянное совершенствование процессов защиты помогут минимизировать риски и обеспечить долгосрочную стабильность бизнеса.

Какие признаки указывают на возможную повторную атаку

После первой атаки компании успокаиваются. Но угрозы остаются скрытыми, и повторная атака становится неизбежной. Причины этого заключаются в уязвимостях, которые остаются даже после первой атаки, и неправильной оценке последствий.

«Злоумышленники часто используют тот же метод атаки, который сработал в первый раз. Поэтому после обнаружения первого инцидента информационной безопасности необходимо начать отслеживать события, связанные с первоначальной причиной. В случае с фишинговой атакой анализируйте поступающее письма, их количество, подозрительные адресаты, вложения, ссылки в теле письма. 

Если причина была связана с использованием уязвимостей, отслеживайте события, связанные с обнаружением использования таких уязвимостей или уязвимостей в скомпрометированных информационных системах или программном обеспечении. В случае с подборами паролей или учетных записей следует отслеживать и пристально обращать внимания на подобные инциденты. Увеличение событий подобного рода или выявление аналогичных первому инциденту событий будет говорить о проведении повторной атаки».

Анна Трохалева

Руководитель направления «Анализ инцидентов информационной безопасности» USSC-SOC

Важную роль играет недостаточное внимание к устранению всех уязвимостей, которые могли быть использованы в процессе взлома. Даже если основную атаку удалось локализовать, скрытые уязвимости, такие как открытые порты, незакрытые бэкдоры или неправильно настроенные системы безопасности, могут дать хакерам шанс на повторный доступ.

Другим важным фактором является недооценка последствий инцидента: если компания не усиливает мониторинг и не проводит регулярные проверки безопасности после атаки, хакеры могут воспользоваться оставшимися слабостями. Например, забытые старые уязвимости в программном обеспечении могут быть использованы повторно.

Что делать после инцидента

После кибератаки компания должна действовать быстро и решительно, чтобы минимизировать ущерб и предотвратить повторные атаки. Минимальный план по спасению включает несколько задач: немедленное реагирование на инцидент, анализ ситуации, устранение уязвимостей и обновление системы безопасности.

«В первую очередь после инцидента важно полноценным образом его расследовать, после чего проконтролировать, что задачи по зачистке использованных атакующим методов закрепления (с помощью вредоносного ПО и ПО двойного назначения, создания учетных записей и т. д.) и устранению первопричин инцидента выполняются с наивысшим приоритетом.

Далее следует приступать к выполнению рекомендаций по результатам реагирования, например, к таким, как введение сетевой сегментации, hardening'у инфраструктуры за счет изменения настроек ОС и т. д.».

Семен Рогачев

Руководитель отдела реагирования на инциденты компании «Бастион»

После анализа инцидента важно оперативно устранить все уязвимости, которые могли быть использованы хакерами. Это включает обновление программного обеспечения, настройку фаерволов и установку дополнительных мер защиты. Затем необходимо обновить систему безопасности, внедрить новые технологии и улучшить мониторинг.

Компании также часто недооценивают важность мониторинга и журналирования событий безопасности. Если после инцидента не были введены строгие процедуры по анализу логов, хакеры могут незаметно протестировать новые способы взлома.

Адаптация к изменениям в мире киберугроз требует активной и постоянной работы. Игнорирование современных методов защиты или отсутствие необходимого реагирования может привести к повторным атакам с гораздо более серьезными последствиями. Поэтому компаниям крайне важно инвестировать в обновление систем безопасности, а также обучать персонал для предотвращения рисков, которые могут возникнуть в будущем.

Источник: https://securitymedia.org/info/oni-vsegda-vozvrashchayutsya-pochemu-povtornye-ataki-khakerov-neizbezhny-i-kak-ikh-ostanovit.html 

Cyber Media

Cyber Media

Новости ИБ/ИТ и цифровая безопасность онлайн

Впервые в России

Защита от DDoS‑атак на автопилоте

Представляем уникальный модуль DosGate Autopilot, который автоматически создаёт правила фильтрации

Подробнее