WorkComposer — это сервис, который фиксирует активность, отслеживает использование приложений и делает снимки экрана каждые несколько минут. Им пользуется более чем 200 тысяч человек по всему миру. Из-за утечки риску подвергаются и корпоративные тайны компаний, и персональные данные сотрудников.
По словам эксперта компании «Газинформсервис», эта новость поднимает сразу несколько важных тем — стоит ли использовать рабочий компьютер для личных переписок, кто контролирует контролирующих, где ещё может храниться ваша информация, как не превратить защищающую систему в атакующую.
«Инструментарий защитников в руках злоумышленников может стать инструментарием нападающих. С очередным подобным случаем наш центр мониторинга и реагирования GSOC столкнулся в текущих работах по поиску следов компрометации в инфраструктуре клиента. Первое, что сделал злоумышленник, проникнув в инфраструктуру, — это скомпрометировал сервер антивирусной защиты. Как и положено, агенты антивирусной защиты были установлены на всех важных серверах и узлах сети, что давало безграничные возможности по распространению вредоносного ПО в сети из консоли сервера; там же можно было сделать все необходимые исключения, чтобы это вредоносное ПО выполнялось без ограничений. Таким образом, антивирус из средства защиты перешёл в разряд средств наступления», — отмечает Александр Михайлов.
Примечательно, что также на руку злоумышленнику может сыграть и система резервного копирования: «Сначала хакеры копируют к себе резервные копии, ведь в них обычно всё самое ценное, а затем удаляют или шифруют хранилище резервных копий вместе с остальными данными в инфраструктуре. Бывают и случаи, когда злоумышленники сидят в инфраструктуре так долго, что резервные копии машин, на которых они закрепились, могут уже не содержать в себе чистые экземпляры, и на какую точку времени не откатывайся — восстановленная машина будет содержать в себе инструменты закрепления», — рассказывает киберэксперт.
По словам Александра Михайлова, с большими возможностями средств защиты и обеспечения инфраструктуры приходит большая ответственность. Поэтому защищать и мониторить такие средства нужно со всей тщательностью. С этой задачей поможет справиться центр мониторинга и реагирования GSOC компании «Газинформсервис», который непрерывно будет выявлять и обрабатывать нетиповые события.
