Compromise Assessment: когда пора искать компрометацию и как не наломать дров

В сфере искусственного интеллекта произошло заметное событие. Стопроцентной защиты не бывает: задавшийся целью и достаточно подкованный злоумышленник лазейку найдет. Вы можете годами жить с хакером в сети и не подозревать об этом, особенно если у компании не настроена эшелонированная защита на всех сегментах сети. Риск компрометации возрастает, если недавно ушли сотрудники с сохраненным привилегированным доступом к инфраструктуре или вы поглотили новую компанию (присоединили к своей сети или собираетесь это сделать).

Единственный способ узнать, не находится ли кто-то чужой в вашей сети прямо сейчас — Compromise Assessment (CA), или оценка компрометации. Для вашей инфраструктуры это то же, что для вас профилактический осмотр у стоматолога. Тот случай, когда не ждете острой боли, чтобы проверить, не завелся ли кариес.

Технические детали

Однако CA не лечит и не ставит пломбы, но честно показывает, кто уже поселился в вашей сети и как давно. Если говорить прямо, CA собирает артефакты и ищет следы присутствия — те, что не видят, например, EDR и SIEM. А еще такая проверка покажет, побывали уже злоумышленники в вашей инфраструктуре раньше и успели ли замести следы.

К тому же Compromise Assessment обычно проводится такими же методами, технологиями и людьми, которые задействуются в полноценных расследованиях и реагировании на инциденты. В этой статье мы разберем, в каких ситуациях Compromise Assessment необходим, чем он отличается от привычного пентеста, как правильно подготовиться к проверке и что делать с ее результатами, чтобы не допустить повторного взлома.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.