«Лаборатория Касперского» запускает решения для борьбы с наиболее разрушительными атаками

Сегодня «Лаборатория Касперского» представляет два новых корпоративных решения для противодействия самым сложным киберугрозам из тех, с которыми сталкиваются компании по всему миру: Защита от целевых атак (Kaspersky Anti Targeted Attack Platform) и Экспертиза в области кибербезопасности (Kaspersky Security Intelligence Services).

Logbook и переломный момент

В конце 2014 года «Лаборатория Касперского» выпустила инструмент мониторинга направленных атак — . Если посмотреть на него сегодня, то можно увидеть нечто вроде частокола:

Всё больше новых атак обнаруживается и анализируется, и кто знает, сколько там ещё пока невыявленных.

2015 год ознаменовал собой переломный момент для организаций по всему миру: для надёжного обеспечения безопасности одного защитного периметра стало не хватать. Именно в него предприятия годами вкладывали средства, и защита рубежей от проникновения остаётся важной, но теперь компаниям ещё надо уметь выявлять направленные или продвинутые кибератаки в ходе их действия, а также прогнозировать будущие угрозы.

И вот тут встречается целый ряд проблем.

Растущие тенденции

Прежде всего, сложность инфраструктуры предприятий неуклонно растёт, из-за этого всё сложнее оказывается держать в поле зрения все элементы и собирать оперативные данные, если что-нибудь пойдёт не так.

Направленные атаки сами по себе — не разовые события: это процессы, которые идут на протяжении длительного периода времени.

Согласно статистическим данным, собранным «Лабораторией Касперского» за последние несколько лет, в среднем направленная атака может длиться 214 дней до её обнаружения. Некоторые могут оставаться незамеченными в течение пяти лет. Много времени может пройти от самого проникновения до непосредственного начала вредоносной активности, такой как эксфильтрация данных или кража денег.

Направленные атаки не только продолжительные по времени, но и зачастую структурно чрезвычайно сложные. Вот для примера один реалистичный сценарий.

Банк обнаруживает проблему с банкоматом. Обследование показывает, что на машину установили USB-сниффер, который применялся для сбора данных о держателях карт, ранее пользовавшихся этим банкоматом. Вдобавок, кроме клиентов этого конкретного банка банкомат использовали и владельцы карт других банков. И эти другие банковские системы были впоследствии задействованы преступниками для обналичивания средств.

Более тщательное исследование показало, что банкоматы пострадавшего банка были инфицированы через ранее скомпрометированного телекоммуникационного подрядчика, имеющего партнёрские отношения с несколькими банками. Телекоммуникационная компания подверглась нападению с использованием простой и незамысловатой, зато весьма успешной социальной инженерии. Впоследствии преступникам потребовалось некоторое время для того, чтобы выбрать подходящую жертву среди банков.

Как видим, структура атаки была сложной и растянутой во времени, и вредоносная деятельность могла оставаться нераскрытой в течение довольно долгого времени. Обычные средства защиты периметра не выявили бы нападения, если бы только злоумышленники сами не засветились каким-либо образом.

В этом сценарии нет точного совпадения с какой-либо реальной историей, однако и назвать его полностью вымышленным, в смысле, не имеющим никакой связи с действительностью, тоже не получится. Отдельные эпизоды наблюдались воочию.

Большинство передовых угроз, как правило, эксплуатируют основные уязвимости, легальное программное обеспечение, а также человеческий фактор. Одна и та же наступательная «кампания» может осуществляться несколькими субъектами, и за последние несколько лет всё чаще эксперты «Лаборатории Касперского» встречаются с «киберпреступлениями как услугой», когда некоторые злоумышленники предлагают свои тщательно разработанные наборы инструментов третьим сторонам.

От последних в таком случае не требуется специфических технических навыков, нужны лишь деньги и мотивация. Сегодня не составляет большого труда подыскать соответствующий набор инструментов и инфраструктуру.

Редко, но метко

Противодействие направленным атакам подразумевает гораздо больше, чем просто охрану периметра. Требуется комбинация технологии и разведданных, но не каждый бизнес готов инвестировать в такие передовые решения, при этом вероятность направленных атак принято считать довольно малой.

См. график ниже:

Как видим, направленные атаки занимают лишь 1% от всего ландшафта угроз. Но при этом степень их риска крайне высока, как и потенциальный ущерб.

Компании теряют в среднем 20 млн. рублей в результате одной атаки, потери малого и среднего бизнеса составляют около 893 тысячи рублей. Стоит также отметить, что мелкие подрядчики нередко используются для проведения атак на крупные организации.

Защита от целевых атак (Kaspersky Anti Targeted Attack Platform)

Для того чтобы защитить предприятия от подобных угроз, «Лаборатория Касперского» предлагает передовое решение для обнаружения направленных атак и широкий спектр услуг безопасности, которые помогают предприятиям отвечать текущим вызовам в сфере кибербезопасности и предвосхищать будущие угрозы.

В рамках новой разработки мы автоматизировали уже существующие и отработанные технологии и процессы что обеспечивает гибкое, масштабируемое решение, которое адаптируется к меняющемуся ландшафту угроз.

Kaspersky Anti Targeted Attack Platform представляет собой весьма сложное решение, которое позволяет компаниям обнаруживать направленные атаки и другие вредоносные действия путём тщательного мониторинга сетевой активности, веба и электронной почты.

Это позволяет выявлять сложные атаки на любой стадии, даже в отсутствие вредоносной активности. Подозрительные действия обрабатываются с помощью различных движков, в том числе анализатор целевых атак и «песочница» для вынесения окончательного вердикта.

В основе «песочницы» — более чем 10-летний опыт разработки технологий проактивной безопасности. Она обеспечивает безопасную, изолированную и виртуализированную среду для анализа подозрительных объектов и выявления их целей. Анализатор атак использует технологии обработки данных и машинного обучения для оценки и комбинации вердиктов разных аналитических движков. Именно тут принимается окончательное решение о предупреждении ИТ-персонала.

Платформа Kaspersky Anti Targeted Attack также включает в себя модули сбора данных, такие как сетевые и веб-сенсоры, ответственные за сбор данных в сети и просеивание веб-трафика, сенсоры электронной почты, помогающие в определении фишинговых писем и контроле за пересылкой вложений, а также сенсор ики конечных точек, компонент для сбора данных о событиях в конечных точках, улучшающий понимание всей структуры атаки.

Эти технологии ранее испытывались и использовались для собственных нужд «Лаборатории Касперского». На рынке они представлены впервые.

Kaspersky Anti Targeted Attack Platform доступна в качестве самостоятельного решения или в сочетании с услугами экспертов, призванными ускорить обнаружение инцидентов и реагирование. Доступность этих услуг также позволяет клиентам адаптировать решения для конкретных потребностей бизнеса, что делает его ещё эффективнее.

Сервисы информирования об угрозах: как отразить атаку до её начала

Сервисы информирования об угрозах «Лаборатории Касперского» предназначены для удовлетворения наиболее частых потребностей крупных организаций, правительственных агентств, интернет-провайдеров, телекоммуникационных компаний и провайдеров управляемых сервисов безопасности. Так как традиционных средств защиты периметра уже не достаточно, необходимы новые методы, для того чтобы восполнить этот пробел в безопасности. Ассортимент услуг на основе уникального опыта и анализа угроз «Лаборатории Касперского» разработан как раз для этого.

Экспертные сервисы позволяют предприятиям играть на опережение против потенциальных злоумышленников. По существу, они охватывают три основных направления. Первым из них является тестирование на проникновение и оценка безопасности приложений, что позволяет корпоративным клиентам выявить проблемные области (т.е. слабые места) и предсказать особенности кибератаки, прежде чем она случится.

Во-вторых, предусмотрен сервис обучения основам кибербезопасности, в том числе программы повышения осведомлённости трудовых коллективов и тренинги по вопросам основ кибербезопасности, цифровой криминалистики и анализа/обратного инжиниринга вредоносных программ. С учётом того, что человеческий фактор является одним из наиболее распространённых причин успеха направленных атак, необходимо держать сотрудников в курсе того, с какими угрозами они могут столкнуться, и учить бороться с ними.

Третий и последний вид услуг — это потоки данных об угрозах, слежение за ботнетами и разведотчёты. Последние предполагают сделанные на заказ доклады по конкретным аспектам ландшафта угроз, а также своевременные и действенные рапорты о последних и самых изощрённых угрозах, с которыми могут столкнуться предприятия.

Подробнее об обоих предложениях читайте на соответствующих веб-сайтах, посвящённые данным решениям: Kaspersky Anti Targeted Attack Platform и Экспертиза в области кибербезопасности.