Вредоносные устройства в корпоративной сети: как SNM может предотвратить вторжение
Что произошло?
В июле 2024 года специалисты Group-IB опубликовали разбор одного из самых дерзких банковских инцидентов — атаки группы UNDC2891 на один из филиалов банка. Злоумышленники установили в локальной сети банка несанкционированное устройство — мини-ПК с Linux, спрятанный в серверной стойке. Через это устройство они получили удалённый доступ к внутренней инфраструктуре, обошли внешнюю периметровую защиту и провели кражу средств.
Этот кейс снова поднял на поверхность проблему физического доступа к сети и контроля за сетевым окружением. Даже идеальная защита границ сети не помогает, если внутрь попадает неизвестный хост.
Где SNM мог бы остановить атаку?
Хотя Sensorium Network Monitoring (SNM) не является SIEM или NAC продуктом, он имеет встроенную функцию обнаружения чужих устройств — сетевых элементов, которые не зарегистрированы в системе, но появляются в локальной сети и начинают активность. В сценарии, подобном описанному Group-IB, SNM мог бы отреагировать уже на самом первом этапе:
- Засечь появление нового MAC-адреса в подсети, где не ожидается добавление новых устройств.
- Зафиксировать сетевую активность неавторизованного устройства (например, попытки ARP-опросов, DNS-запросы, проброс трафика, туннелирование).
- Определить приблизительное физическое местоположение rogue-устройства по данным SNMP, LLDP, CDP или анализу точек подключения к коммутаторам.
- Автоматически уведомить службу безопасности, дежурного администратора или ответственного за ИБ по заданным каналам (email, Telegram, Slack и др.).
Как это работает в SNM?
1. Инвентаризация устройств
SNM строит базовую карту сети и знает:
- какие устройства подключены к каким портам коммутаторов;
- какие MAC-адреса уже зарегистрированы;
- где ожидается регулярная активность, а где нет.
2. Постоянный мониторинг на уровне L2–L3
Система отслеживает ARP и DHCP-обмены, анализирует MAC-таблицы и логирует появление новых устройств:
- Даже если rogue-устройство не получает IP по DHCP, SNM увидит его MAC в сетевой таблице.
- Даже при минимальной активности SNM фиксирует факт подключения.
3. Автоматическое оповещение
Если включена функция контроля подключений, SNM может:
- немедленно уведомить ИБ-службу;
- пометить сегмент как потенциально скомпрометированный;
- в расширенных конфигурациях — инициировать команду на отключение порта на L2-уровне (при интеграции с системами NAC или через SNMP).
Чем это отличается от других решений?
Многие SIEM и NAC-системы предлагают подобный функционал, но SNM выигрывает за счёт следующих факторов:
- Лёгкость развертывания — нет необходимости в тяжёлой интеграции или покупке лицензий на тысячи конечных устройств;
- Работа даже в распределённых офисах — SNM не требует VPN или централизованной сети, может работать в режиме федерации;
- Гибкость реакции — SNM не просто пишет в лог, а умеет привлекать нужных людей по нужным каналам;
- Ценовая доступность — в отличие от NAC-систем, SNM не требует дорогостоящей архитектуры или агентской установки на все рабочие станции.
Инцидент UNDC2891: альтернатива в случае SNM
Если бы в сети банка, описанной в кейсе Group-IB, была развернута Sensorium Network Monitoring, то:
- Система зафиксировала бы появление нового устройства на коммутаторе;
- Оповестила бы ИБ-службу о новом MAC-адресе в неразрешённой зоне;
- Указала бы точку физического подключения;
- Возможно, позволила бы отреагировать до того, как злоумышленники получили бы удалённый доступ.
Как начать использовать эту функцию?
Функция обнаружения несанкционированных устройств входит в базовую поставку SNM. Чтобы её включить:
- Пройдите Мастер начальной установки. Это зафиксирует список разрешенных сетевых устройств.
- Включите уведомления при появлении неизвестных устройств в настройках Системы.
- Добавляйте новые сетевые устройства сразу после их подключения через интерфейс SNM.
Вывод
Атаки с физическим доступом к сети — это не прошлое, а реальность. Даже при высоком уровне кибербезопасности организации могут проиграть в моменте, если в сеть подключается нечто незамеченное. Sensorium Network Monitoring обеспечивает вам «цифровую охрану периметра» внутри вашей же сети — и может стать тем самым ключевым звеном, которое не позволило бы атаке UNDC2891 состояться.
Безопасность начинается с наблюдения. SNM следит за вашей ИТ-инфраструкторой 24х7.