Как САКУРА контролирует периметр – топ-10 вариантов
Введение
Согласно данным опроса «Лаборатории Касперского», злоумышленники всё чаще атакуют компании не напрямую, а через их уязвимые связи с внешним миром – подрядчиков. В результате с атаками через доверительные отношения (Trusted Relationship Attack) в 2025 году столкнулась каждая четвертая компания в мире. А атаки на цепочку поставок (Supply Chain Attack) через компрометацию вендоров ПО признают самой распространённой киберугрозой.
Тем не менее бизнес продолжает недооценивать эту угрозу. И компрометацию через цепочку поставок, и атаку через доверительные отношения признали опасной не более 10% опрошенных. В то же время ожидается дальнейший рост подобных угроз, ведь гораздо проще и дешевле взломать небольшого подрядчика. Зачастую они имеют слабые ИБ-компетенции, но при этом права доступа к корпоративной инфраструктуре заказчика как у рядового сотрудника. Хуже того: подрядчики еще и разрабатывают решения и сервисы, тем самым получая негласный ключ от цифровых владений клиента. Таким образом, поверхность атаки даже защищенной сети становится чудовищно огромной.
Например, недавний случай, в ходе которого выяснилось, что в открытом доступе находились логин и пароль сотрудника подрядчика четвертого уровня основного ИТ-поставщика аэропорта. Утечку вовремя обнаружила платформа защиты цепочки поставок ПО SVigil. Данных было достаточно, чтобы нарушать работу более чем 200 аэропортов. По оценкам, убытки в этом случае составили бы сотни миллионов долларов, а в худшем случае могли бы пострадать люди.
Как показывает практика, большинство успешных атак через доверительные отношения становятся возможными из‑за нескольких повторяющихся нарушений на стороне подрядчика: устаревшее ПО, отключённый антивирус, слабые пароли, наличие запрещенных служб. В этой статье разберем топ-10 ключевых правил контроля программного комплекса САКУРА, позволяющих своевременно выявлять несоответствие рабочих мест, в том числе и удаленных, внутренним политикам безопасности, а также превентивно блокировать угрозы в автоматическом режиме.
Что такое правило контроля в САКУРА?
Правило контроля – это базовая единица, которая выполняется на рабочем месте и проверяет его соответствие или несоответствие какой-либо политике безопасности. Агент осуществляет проверку в соответствии с настроенными на Сервере правилами контроля с установленной периодичностью.
При формировании правил контроля можно использовать как встроенные типы проверки, так и создавать собственные сценарии действий, которые создаются на основе скриптов PowerShell, Bash, CMD или Python (в зависимости от ОС). Собственные сценарии также можно использовать для описания действий при нарушении правила контроля.
Следующие 10 правил контроля показали наибольшую востребованность у наших заказчиков и доказали свою эффективность для предотвращения компрометации через удалённые рабочие места.
1. Контроль статуса системных служб
Проверяет в каком статусе находятся системные службы на рабочем месте пользователя: запущены ли запрещенные службы на рабочих местах (например, криптомайнеры, нелицензионное ПО, трояны) и запущены ли обязательные службы (EDR-агенты, системы мониторинга, службы шифрования).
Почему это важно: защита от отключения обязательного ПО, обнаружение скрытых угроз, которые могли пропустить другие средства защиты.
2. Проверка значений в реестре на наличие и соответствие заданным параметрам
Обнаруживает несанкционированные изменения в критичных настройках безопасности - отключение контроля учетных записей (UAC), ослабление парольных политик, изменение сетевых параметров, которые могут свидетельствовать о компрометации системы.
Почему это важно: снижение риска взлома учетной записи, предотвращение скрытых удалённых подключений.
3. Проверка SSL-сертификатов
Выявляет просроченные, самоподписанные или недоверенные сертификаты, которые могут привести к атакам, сбоям в работе или нарушению комплаенса. Допустимыми признаются только валидные SSL-сертификаты от доверенных центров сертификации.
Почему это важно: защита от атак через посредника, гарантия передачи данных по защищенному каналу.
4. Проверка версии установленного ПО
Проверяет наличие установленного программного обеспечения требуемой версии. Предотвращает эксплуатацию известных уязвимостей в устаревшем ПО, обеспечивает совместимость приложений и соблюдение лицензионных соглашений.
Почему это важно: предотвращение атак через известные уязвимости, обеспечение полной совместимости.
5. Проверка даты последнего обновления антивирусных баз Kaspersky Endpoint Security
Позволяет обнаружить сбои в обновлении сигнатур, что делает антивирусную защиту неэффективной против новых угроз.
Почему это важно: защита от массовых атак, гарантия обнаружения самых свежих угроз.
6. Проверка привилегий пользователя
Определяет уровень доступа текущего пользователя и проверяет его наличие в списке доверенных пользователей. Выявляет несанкционированное предоставление прав администратора, предотвращая установку неавторизованного ПО и изменение системных настроек.
Почему это важно: исключение риска отключения защитных механизмов и потенциальных атак злоумышленников на инфраструктуру.
7. Проверка состояния системы безопасности Gatekeeper в macOS
Блокирует запуск неподписанного и потенциально вредоносного ПО, предотвращая заражение систем через трояны, майнеры и шпионские программы в корпоративной среде.
Почему это важно: раннее обнаружение небезопасного поведения и признаков компрометации.
8. Проверка подключения Kaspersky Network Agent
Проверяет подключение агента к серверу управления. Обнаруживает потерю связи с центральной консолью управления, что приводит к отсутствию актуальных политик безопасности и невозможности оперативного реагирования на угрозы.
Почему это важно: сохранение способности мгновенного противодействия атакам, исключение слепых зон в защите.
9. Проверка статуса служб в macOS или Linux
Проверяет запущены ли указанные службы, выявляет остановленные системные сервисы (файрволы, средства шифрования, службы аутентификации и тд) или несанкционированно запущенные демоны.
Почему это важно: предотвращение ослабления защиты и проникновения в инфраструктуру.
10. Проверка доступности сетевых портов
Проверяет, закрыты ли указанные порты на заданном хосте. Обнаруживает неавторизованные сервисы (веб-серверы, RDP, бэкдоры), открытые злоумышленниками для удаленного доступа, утечки данных и тд.
Почему это важно: снижение рисков взлома, быстрое восстановление работы критических портов.
* * *
Данный набор закрывает ключевые векторы, которые злоумышленники наиболее часто используют для проникновения через подрядчиков. Но это лишь одна из ступеней защиты. Если не рассматривать правила контроля изолированно, то в связке со сценариями, серверными проверками они дают многоступенчатую систему. В результате формируется безопасный периметр не только вокруг удаленных рабочих мест, но и вокруг всей сложной и распределенной инфраструктуры компании.
Заключение
В текущих реалиях нельзя полагаться исключительно на репутацию или договорные обязательства. Устройство подрядчика, имеющее доступ к вашей инфраструктуре, должно проверяться так же строго, как и собственные.
Благодаря подходу нулевого доверия (Zero Trust), ни один запрос доступа не принимается на веру, а каждый канал и каждое устройство проходят непрерывную проверку. Его реализация делает маловероятными большинство инцидентов с участием человеческого фактора и избыточным доверием к внешним организациям.
Если остались вопросы или возникло желание увидеть это все вживую – напишите нам, мы ответим на вопросы и проведем демо возможностей ПК ИБ САКУРА: info@it-expertise.ru
Подписывайтесь на наши каналы в Telegram и MAX