15 августа 2016

Продвинутые киберугрозы: демистификация

Бизнес

Через несколько лет кто-нибудь, наверное, возьмется писать историю сложных целевых киберугроз. Этому человеку, очевидно, придется начать со Stuxnet и далее перейти к таким кампаниям, как The Equation, Red October, Regin или Dark Hotel. Эти названия известны каждому специалисту по безопасности — результаты анализа этих кампаний оказали существенное влияние на наше понимание эволюции киберугроз. Однако больше всего вреда наносят вовсе не они. Компаниям следует опасаться прежде всего тех целевых атак, которые гораздо проще и бесхитростнее.

Я не говорю, что самых известных угроз не стоит бояться. Стоящие за ними люди главным образом преследуют шпионские и диверсионные цели, и урон, наносимый их жертвам, внушителен. Такие случаи привлекают больше всего внимания со стороны ИБ-сообщества. К сожалению, зачастую из-за этого они формируют у читателей ошибочное мнение. Например:

  • Эти продвинутые угрозы не нацелены на мою компанию.

Неверно: даже малые предприятия можно использовать в качестве «точки входа» в более крупную и защищенную организацию.

  • Я все равно не могу защититься от таких продвинутых атак, так зачем пытаться?

Опять-таки это неверно: даже самые изощренные кампании злоумышленников можно обнаружить, и индустрия кибербезопасности постоянно совершенствует методы детектирования.

eye_main

Такого рода заблуждения отвлекают внимание корпоративных ИТ-специалистов от одного простого факта: на них нацелены не только самые продвинутые угрозы. На основании нашего понимания современного ландшафта угроз мы условно делим их на три категории: известные угрозы, неизвестные угрозы и направленные атаки/продвинутые угрозы.

  • Известные угрозы: общие вредоносные программы, фишинговые атаки. Они не могут представлять собой проблему для компании при наличии в ней современной системы ИТ-безопасности, настроенной должным образом. На известные угрозы приходится примерно 70% всех атак, с которыми сегодня сталкивается бизнес.
  • Неизвестные угрозы: новые вредоносные программы. В целом к ним относятся все попытки киберпреступников развить свои инструменты и преодолеть защитные механизмы. Для противодействия применяются передовые технологии, в том числе проактивное обнаружение, эвристические технологии, контроль приложений и ряд других методов. Тем не менее вполне понятно, как бороться с такими угрозами. Они составляют около 29% всех атак.
  • И, наконец, оставшийся 1%. Направленные атаки и продвинутые угрозы. В чем же их отличие? Продвинутые угрозы используют передовое кибероружие: средства эксплуатации уязвимостей нулевого дня и сложные инструменты для маскировки своего присутствия в сети жертвы. Направленные атаки редко используют столь «дорогой» набор инструментов, но общим между ними является подход к организации. То есть предварительное изучение конкретной жертвы и адаптация методов нападения для повышения шансов на успех. В отличие от прочих 99% атак, стоящие за этими угрозами люди знают о вашей компании действительно очень много. Они находят беспечного работника, непропатченную машину с доступом к конфиденциальным данным, созданное субподрядчиком веб-приложение с прорехами в безопасности — все, что можно использовать для проникновения. И независимо от того, насколько надежен ваш периметр безопасности, в конце концов они его прорвут.

Так что же делать бизнесу? Ответ прост. Все мы понимаем, что крупной компании нужны специалисты и технологии для защиты периметра (не забывайте, что остальные 99% угроз никуда не делись). Но для целевых атак их не хватит — нужны также технологии обнаружения и подавления атак внутри периметра, а также экспертная поддержка.

Существует много подходов к созданию технологии обнаружения направленных атак. Наиболее эффективные базируются на детальном понимании всех нормальных процессов, происходящих в сети вашей компании. Какие сайты и сервисы посещают ваши сотрудники? С какой частотой? В какое время они обычно это делают? Как часто вы обмениваетесь данными с вашими партнерами и клиентами? Досконально зная все это, решения для обнаружения угроз способны выявить нестандартное поведение и оповестить ИТ-персонал. Нормально ли, если ноутбук в 3 часа ночи связывается с каким-то малопонятным сервером в далекой стране? Почему эта машина вдруг отправляет гигабайты данных в ранее неизвестном направлении? На самом деле именно такое поведение и является схожей чертой продвинутых угроз и «условно простых» целевых атак. Каким бы выдающимся ни было это кибероружие, оно должно устанавливать соединение со своими создателями, распространяться внутри инфраструктуры и передавать данные. И благодаря этому поведению эффективные и гибкие алгоритмы способны его обнаруживать.

Именно таковы принципы работы нашей платформы Kaspersky Anti Targeted Attack. Она использует сложные алгоритмы анализа файлов, URL и данных (то есть всего того, что выделяется на фоне обычных рабочих процессов) для выявления потенциально подозрительной активности. Благодаря этому решению и экспертной поддержке коммерческие организации могут распознавать направленные атаки еще на этапе заражения и успешно противодействовать им. А при использовании вместе с традиционными решениями для обеспечения кибербезопасности — блокировать весь спектр угроз.