USE CASE #3
BRAK KONTROLI UPRAWNIEŃ PROWADZĄCY DO PARALIŻU BIURA RACHUNKOWEGO

ŹRÓDŁA PODATNOŚCI NA ATAK

• Na komputerach zainstalowano program ESET, ale brakowało centralnego systemu zarządzania oraz zabezpieczeń przed jego nieautoryzowaną deinstalacją.
  
• Infrastruktura opierała się na prostym routerze bez segmentacji sieci, co pozwalało na swobodny przepływ ruchu między wszystkimi urządzeniami.
  
• Największym ryzykiem był fakt, że wszyscy użytkownicy pracowali na kontach z uprawnieniami administratora, a na każdej stacji roboczej istniało konto techniczne z tymi samymi poświadczeniami.
  

INCYDENT

Wystarczył jeden błąd: otwarcie złośliwej wiadomości e-mail przez pracownika. Ponieważ użytkownik posiadał uprawnienia administratora, szkodliwe oprogramowanie mogło bez przeszkód odinstalować antywirusa i rozpocząć proces szyfrowania danych.

Dzięki wspólnym poświadczeniom administratora na wszystkich komputerach atak błyskawicznie rozprzestrzenił się na kolejne stacje robocze, paraliżując całe biuro.

DLACZEGO ATAK SIĘ POWIÓDŁ?

• Brak ochrony AV: oprogramowanie antywirusowe nie posiadało blokady manipulacji, co pozwoliło hakerom na jego proste wyłączenie.
  
• Zignorowanie zasady najmniejszych uprawnień: praca na kontach administratora otworzyła napastnikom drzwi do głębi systemu.
  
• Brak segmentacji i monitoringu: prosta architektura sieciowa oraz brak stałego nadzoru nad logami sprawiły, że atakujący mogli swobodnie przemieszczać się między komputerami, pozostając niezauważonymi.

SKUTKI INCYDENTU

• Praca biura została całkowicie wstrzymana, a dostęp do kluczowych danych finansowych utracony na czas odzyskiwania systemu.
• Przywrócenie sprawności wymagało ręcznej interwencji na wielu stacjach roboczych jednocześnie.
• Pojawiło się realne zagrożenie naruszenia poufności danych osobowych klientów, co w branży finansowej wiąże się z ogromną odpowiedzialnością i utratą wizerunku.
  

ROLA SOC ADQ: CO BY SIĘ ZMIENIŁO?

• Wykrycie deinstalacji ochrony: nasi analitycy natychmiast otrzymaliby alert o wyłączeniu oprogramowania antywirusowego na pierwszej stacji roboczej.
  
• Reakcja na nadużycia uprawnień: systemy monitorujące SOC zauważyłyby nietypowe logowania administratora i próby rozprzestrzeniania się ataku w sieci.
  
• Ograniczenie skali: dzięki szybkiej interwencji zainfekowane urządzenie zostałoby odizolowane, zanim ransomware zdążyłoby zaszyfrować dane na pozostałych komputerach.
  

KLUCZOWE WNIOSKI:

• Przez brak centralnego zarządzania i ochrony przed deinstalacją, program AV staje się łatwym celem dla hakera.
• Współdzielenie konta administratora jest niedopuszczalne. Ograniczanie uprawnień to podstawa ochrony.
  
• Stały monitoring skraca czas wykrycia incydentu z dni do minut, co drastycznie ogranicza straty i pozwala właścicielowi firmy spać spokojnie.