• Как организации защищаются от APT-атак?

    Так называемые APT-атаки (от англ. advanced persistent threat – комплексная таргетированная угроза) – это сложные целевые долгосрочные кампании, профессионально спроектированные злоумышленниками для обхода одноуровневой защиты.

    Основная цель инструментов защиты от APT-угроз и других целевых атак – усложнить проведение подобных кампаний настолько, чтобы оно стало практически невозможным или экономически нецелесообразным. В таких решениях используется сразу несколько технологий: чем больше уровней защиты, тем больше потенциальных точек входа для атаки можно контролировать и тем выше вероятность обнаружения, сколько бы времени и денег злоумышленник ни тратил на подготовку.

    Платформа KATA, объединяющая защиту от целевых атак (Kaspersky Anti Targeted Attack) и систему выявления и нейтрализации угроз на рабочих местах (Kaspersky EDR), – пример корпоративного решения такого рода. Среди продвинутых технологий данной платформы можно особо выделить следующие:

    Анализ сетевого трафика. Этот модуль поведенческого анализа исследует трафик и объекты с помощью технологии IDS (система обнаружения вторжений) и проверки репутации URL-адресов:

    • Технология обнаружения вторжений включает традиционные и расширенные средства. В ее основе – уникальный набор правил IDS для анализа трафика, ориентированный на целевые атаки. Наборы правил IDS постоянно автоматически обновляются.
    • Репутационный анализ URL-адресов: подозрительные и нежелательные URL-адреса выявляются на основе данных о репутации из баз глобальной облачной инфраструктуры Kaspersky Security Network (KSN), в которых также содержится информация о URL-адресах и доменах, связанных с целевыми атаками.

    Песочница. Для обнаружения активности вредоносных программ песочница запускает подозрительные объекты на собственных виртуальных машинах. Она получает задания для выполнения образцов с параметрами виртуализации, подобранными в зависимости от источника оцениваемого объекта и цели оценки (например, тип ОС, конфигурация ОС, среда, параметры запуска образца, продолжительность выполнения).

    При выполнении образца песочница собирает:

    • журналы поведения образца (включая список вызовов системных функций, взаимодействие с другими процессами и файлами, сетевую активность, URL-адреса);
    • дампы памяти;
    • загруженные объекты;
    • генерируемый образцом трафик.

    После выполнения полученные артефакты сохраняются и затем обрабатываются специальным сканером. Если образец признается вредоносным, ему присваивается вердикт, а результаты сопоставляются с базой знаний MITRE ATT&CK. Все собранные данные сохраняются внутри системы, оставаясь доступными для дальнейшего анализа тактики и приемов злоумышленников. Это позволяет обойтись без дополнительных запросов к песочнице и сэкономить серверные ресурсы.

    Комплексный набор возможностей, включающий рандомизацию среды ОС, ускорение системного времени на виртуальных машинах, блокирование обхода защиты и моделирование активности пользователей, помогает обеспечить высокоэффективное обнаружение угроз на основе поведенческого анализа. Песочница использует ряд запатентованных технологий и работает как в автоматическом, так и в ручном режиме.

    Kaspersky Security Network (KSN) – глобальная облачная инфраструктура, в которой хранятся вердикты по репутации и другая информация об объектах, обрабатываемых платформой KATA (файлы, домены, URL, IP-адреса и многое другое). KSN использует для обнаружения облачные модели машинного обучения, такие как Cloud ML for Android: платформа собирает метаданные локального файла APK и отправляет их в KSN, в ответ получая вердикт, генерируемый моделью. Решение на основе частного облака Kaspersky Private Security Network (KPSN) ориентировано на организации, которые не имеют возможности отправлять свои данные в облако, но хотят пользоваться глобальной репутационной базой данных «Лаборатории Касперского». Помимо частного доступа к нашей глобальной базе аналитических данных об угрозах, вердикты платформы KATA сохраняются в локальной базе данных KPSN и предоставляются другим продуктам «Лаборатории Касперского», развернутым в рамках инфраструктуры организации, обеспечивая автоматическое реагирование. Используя KPSN, компании могут получать сведения о репутации из внешних сторонних систем без промежуточных шагов, напрямую через API.

    Анализатор целевых атак (Targeted Attack Analyzer, TAA) обнаруживает подозрительную активность, используя расширенный эвристический анализ аномалий для автоматического поиска угроз в реальном времени. Решение поддерживает автоматический анализ событий и их сопоставление с уникальным набором индикаторов атак (IoA), составляемым специалистами «Лаборатории Касперского» по проактивному поиску угроз (Threat Hunting).

    Каждый раз, когда Анализатор целевых атак обнаруживает значительную аномалию, специалист по ИБ получает ее описание, рекомендации (например, по снижению риска повторного появления события), данные о степени уверенности в вердикте и серьезности события, которые помогают его классифицировать.

    Все индикаторы атаки сопоставляются с базой знаний MITRE ATT&CK. Это позволяет получать более подробную информацию, например описание методов проведения атаки и стратегий ее предупреждения. Таким образом, компания автоматически получает доступ к лучшим данным исследований угроз, поэтому ее квалифицированные специалисты могут сосредоточиться на других сложных задачах, таких как расследование инцидентов безопасности и активный поиск угроз. Кроме того, решение позволяет создавать собственные базы пользовательских индикаторов атак с учетом особенностей конкретной инфраструктуры или отрасли.

    Расширенный антивирусный модуль. Данный модуль работает на центральном узле и имеет более чувствительные настройки, чем конфигурации на рабочих местах. Он проверяет объекты на наличие вредоносного или потенциально опасного кода, при необходимости отправляя их в песочницу для дальнейшей проверки. Так достигается высокая точность обнаружений, особенно ценная для расследования инцидентов безопасности.

    Сканирование индикаторов компрометации (IoC). Платформа KATA позволяет централизованно загружать индикаторы компрометации из потоков данных об угрозах и поддерживает автоматическое планирование операций сканирования IoC, повышая эффективность работы аналитиков. Ретроспективное сканирование базы данных позволяет повысить качество информации о ранее замеченных событиях и инцидентах безопасности.

    Проверка сертификатов. Модуль проверки сертификатов проверяет наличие подозрительных и действительность подписанных сертификатов.

    Дополнительные сервисы платформы KATA для специалистов по ИБ также включают:

    Обнаружение с помощью правил для YARA. YARA – один из самых часто используемых инструментов поиска новых вариантов вредоносных программ. Он поддерживает сложные правила корреляции для поиска файлов с определенными характеристиками и метаданными – например, содержащих строки, характерные для кода конкретного программиста. Возможность создания и загрузки пользовательских правил для YARA позволяет проверять объекты на наличие угроз с учетом специфики организации.

    Ретроспективный анализ. Автоматизация сбора данных, объектов и вердиктов и их централизованное хранение позволяют проводить ретроспективный анализ при расследовании многоступенчатых атак даже в случаях, когда отсутствует доступ к взломанным рабочим местам или данные зашифрованы злоумышленником. Кроме того, система может выполнять автоматические повторные проверки файлов, сохраненных из почты или интернета, с применением обновленных правил обнаружения.

    Мощный и гибкий конструктор запросов для проактивного поиска угроз. Чтобы повысить эффективность раннего обнаружения кибератак, аналитики могут создавать сложные запросы для выявления нетипичного поведения, подозрительных событий и угроз с учетом особенностей инфраструктуры организации.

    Доступ к Kaspersky Threat Intelligence Portal. С помощью выполняемых вручную запросов к базе аналитических данных об угрозах аналитики ИБ получают дополнительный контекст для поиска угроз и проведения результативных расследований.

    Kaspersky Anti Targeted Attack объединяет данные для анализа из различных источников:

    Сетевой cенсор получает копии всего трафика и извлекает объекты и сетевые метаданные для дальнейшего анализа. Сетевые сенсоры отслеживают активность в различных областях IT-инфраструктуры, обеспечивая обнаружение сложных угроз на уровне прокси-серверов, в веб-средах и электронной почте практически в реальном времени.

    • Сетевой сенсор может извлекать информацию об источнике, назначении, объеме данных и периодичности сетевого трафика (даже если файл зашифрован). Как правило, этой информации достаточно для определения степени подозрительности и обнаружения потенциальных атак. Сетевые сенсоры поддерживают протоколы SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP и DNS.
    • Сетевой сенсор может перехватывать трафик и обрабатывать объекты, передаваемые по HTTPS, за счет интеграции с прокси-сервером по протоколу ICAP.
    • Сенсор электронной почты поддерживает интеграцию с почтовыми серверами. Его можно настраивать для наблюдения за любым набором почтовых ящиков посредством соединения по протоколам POP3 и SMTP.

    В дополнение к полному анализу сетевого трафика платформа может обеспечить автоматическое реагирование на сложные угрозы на уровне шлюза, используя Kaspersky Secure Mail Gateway и Kaspersky Web Traffic Security в качестве полнофункциональных сетевых сенсоров, обслуживающих платформу KATA.

    Сенсоры на уровне конечных точек (Kaspersky Endpoint Detection and Response) собирают все необходимые данные с конечных устройств в инфраструктуре организации. Установленный на рабочем месте агент выполняет непрерывный мониторинг процессов, обмена данными, открытых сетевых подключений, состояния операционной системы, изменений в файлах и т. п. Собранные данные и информацию, связанную с обнаружением подозрительных событий, агент отправляет на платформу KATA для дополнительного исследования, анализа и сравнения с событиями, обнаруженными в других информационных потоках.

    Платформа KATA в действии

    Используя перечисленные выше технологии в унифицированной серверной архитектуре с централизованным управлением, платформа KATA защищает потенциальные точки входа, которыми могут воспользоваться злоумышленники, на уровне сети и рабочих мест, включая веб- и почтовые серверы, настольные компьютеры, ноутбуки, серверы и виртуальные машины, и предоставляет подробные сведения о том, что происходит в IT-инфраструктуре организации. KATA снабжает специалистов по ИБ полным инструментарием для многоуровневого обнаружения и проактивного поиска угроз, проведения глубоких расследований и централизованного реагирования на комплексные инциденты.

    Платформа KATA интегрируется с решением Kaspersky Security для бизнеса, обеспечивая защиту рабочих мест, в том числе автоматическое блокирование угроз и реагирование на сложные инциденты безопасности. За счет тесной интеграции с Kaspersky Security Mail Gateway и Kaspersky Web Traffic Security она блокирует угрозы, распространяемые с использованием электронной почты и через интернет, а также автоматически реагирует на более сложные угрозы. Это комплексное решение помогает службам IT-безопасности отражать продвинутые атаки значительно быстрее и с меньшими усилиями благодаря оптимально настроенной автоматизации защитных действий на уровне сети и рабочих мест, доступу к актуальной информации об угрозах и управлению через единую веб-консоль.

    Платформа KATA защищает корпоративную инфраструктуру от сложных угроз и целевых атак, позволяя обойтись без привлечения дополнительных ресурсов. При интеграции в текущую стратегию организации платформа обеспечивает службу IT-безопасности и команды SOC всем необходимым для надежного и эффективного отражения сложных угроз и целевых атак, дополняя существующие сторонние технологии защиты и поддерживая интеграцию с SIEM-системами.