Сегодня мы довольно много говорим о вредоносном ПО, которое вторгается в нашу повседневную жизнь. Что-то из этого списка более опасно, что-то менее, что-то ориентировано на обычных пользователей, а что-то — на компании. Компании, кстати, в этом списке еще и потому, что интеллектуальная собственность представляет немалую ценность. Сложные постоянные угрозы (Advanced persistent threats, APT) являются одними из самых опасных, существующих в настоящее время. В ходе Европейской конференции по безопасности RSA Europe 2013 мы встретились с Нилом Такером, специалистом по вопросам стратегии безопасности WebSense, Хайме Бласко, директором AlienValut Labs, и Костином Райю, руководителем Центра глобальных исследований и анализа угроз «Лаборатории Касперского». Все вместе мы обсудили характеристики этой угрозы и способы защиты от нее.
Сложные постоянные угрозы — действительно угрожающе звучит, верно? Тем не менее они всегда где-то рядом уже несколько лет. «Сложные» потому, что в этих атаках используются более сложные (порой специально разработанные) инструменты, чем те, которые обычно применяют киберпреступники. «Постоянная» потому, что злодеи присутствуют в корпоративной сети подолгу, и это может длиться месяцами, а то и годами. Отсюда часто делают вывод, что такие атаки организуются против каких-либо корпораций. Тем не менее частные пользователи тоже не могут чувствовать себя в безопасности, даже если сами по себе они не являются интересной целью для преступников крупного масштаба. Однако если кто-то из вашего окружения — родственник, член семьи, друг — занимает заметный пост в крупной компании, то в этом случае вы можете стать полезным промежуточным звеном для киберпреступника, ищущего лазейку к этой компании. Ущерб от сложных целевых атак намного более существенный, чем от атак простых хакеров. Как объяснил Нил Такер: «Они используют различные векторы, различные типы эксплойтов и самые разнообразные виды уязвимостей доступа к конфиденциальным данным компании». Так что же является основной целью подобных атак? Обычно это интеллектуальная собственность компаний.
Интеллектуальная собственность — основная цель
Большинство компаний хранят важную информацию в сети. Патенты, инновационные проекты, готовые результаты, даже конфиденциальные данные — все это хранится в корпоративной сети. Основная цель APT — интеллектуальная собственность. Исполнители атаки определяют сотрудников, которые имеют доступ к нужной информации и при этом желательно не в курсе всех вопросов безопасности. Именно они будут теми тоннелями, через которые злоумышленники и будут проникать в сеть и завладевать нужной им информацией. «Если в вашей компании есть информация подобного рода, вы должны быть в курсе этих типов угроз и использовать все необходимые средства, существующие в настоящее время, для защиты объектов интеллектуальной собственности«, — предупредил Хайме Бласко. Но исполнители атаки могут заниматься не только шпионажем. Они могут нанести серьезные повреждения сети и парализовать всю систему функционирования компании. Как объяснил Костин Райю: «У нас были случаи, когда такие атаки приносили прямой ущерб деятельности компании. Например, целевая атака против нефтяной компании Saudi Aramco парализовала 30 000 компьютеров в августе прошлого года. Так что хотя основной мишенью постоянной сложной угрозы и является интеллектуальная собственность, но подобная атака может вызвать паралич всей сети, а следовательно, и деятельности компании».
Теперь, когда мы разобрались с целями этих атак, вам, наверное, интересны методы и способы борьбы против них?
Панацеи нет, но это не значит, что защищаться бесполезно
Первое, что нужно знать, как говорят все трое наших экспертов, — это то, что абсолютного противоядия нет. Тем не менее каждый из них дал нам некоторые рекомендации, позволяющие свести риск к минимуму. Никаких волшебных рецептов нет, но некоторые действия и процессы должны быть использованы, как о том говорит Хайме Бласко: «Очевидно, вы ждете готовых рецептов, чтобы защититься от угроз, но я считаю правильным комплексное решение из определенных технологий, процессов и особенностей поведения. Я считаю сочетание всего этого наиболее важным». Костин Райю добавил: «Изучение жертв APT также очень полезно. Изучая их, мы замечаем, что 95% жертв стали таковыми из-за недостаточно высоких норм безопасности. Они не знали о возможных рисках, не устанавливали все патчи обновления и не использовали актуальное антивирусное программное обеспечение. И они попали под атаку. Прежде всего компаниям необходимо убедиться, что в системе установлены все последние обновления, самые свежие версии операционных систем и используются безопасные браузеры (такие как FireFox или Chrome) со всеми обновлениями. Однако необходимо также обучать пользователей. Если вам удастся проделать все это, то вы будете неплохо защищены от направленных атак». Нейл Такер считает, что важное значение имеет просвещение сотрудников: «Это образование должно проводиться на всех уровнях компании. Не стоит недооценивать киберпреступников, но если вы все знаете о возможных рисках и приняли все меры безопасности, то с вами постараются не связываться».
В заключение этой беседы с экспертами можно с уверенностью сказать, что целевые атаки или APT будут актуальны до тех пор, пока компании будут обладать привлекательной информацией. Пока готового и общего решения этой проблемы нет, но профилактика и образование являются серьезными барьерами перед возможной опасностью. Всегда помните, что 100-процентной безопасности не существует, поэтому надо постоянно проявлять бдительность.