В зависимости от целей злоумышленник может как стремительно заразить всю инфраструктуру вирусом-вымогателем, так и, наоборот, после проникновения и закрепления в системе долгое время не проявлять себя, чтобы найти действенный путь монетизации своей добычи.
Специалисты компании The DFIR Report обнаружили, исследовали и опубликовали пошагово атаку вымогательского ПО NetWalker, где весь процесс заражения систем занял всего час. Злоумышленники использовали различные вредоносные инструменты: авторизацию в системе по RDP и PsExec, обфусцированный скрипт Colbat Strike, ProcDump, Mimikatz, IpVanish VPN IP-адрес и, наконец, вымогательское ПО NetWlaker, вирус Neshta.
В таких условиях оперативность и качество реагирования на обнаруженные инциденты играют важнейшую роль. При правильно выстроенном процессе распространение заражения во внутренней инфраструктуре можно приостановить, чем значительно снизить ущерб от атаки.
Инструмент SOAR призван не только ускорить операции безопасности, но и частично автоматизировать их. Решение упрощает оркестрацию и управление инструментами безопасности благодаря четко сформулированным стратегиям, а также за счет автоматизации реагирования и автоматизации низкоуровневых процедур устраняет необходимость в их ручном выполнении и освобождает время ИБ-аналитикам.
О подробностях работы с решением на примере FortiSOAR компании Fortinet можно узнать на бесплатном вебинаре «Security Update. Автоматизация и мониторинг с помощью SOAR», который пройдет 16 сентября. В ходе онлайн-встречи Тимур Зиннятуллин, руководитель отдела систем мониторинга и реагирования группы компаний Angara, расскажет об автоматизации первичных стадий реагирования, а Олеся Тарабрина, системный инженер Fortinet, презентует продукт вендора.
