Защита от целевых атак


Обзор рынка защиты от целевых атак

Целевые атаки год от года становятся все быстрее и изощренней. Чтобы обнаружить такую атаку и отразить нее, нужен большой набор различных средств защиты. Однако рынок информационной безопасности уже предлагает и комплексные решения. В данной статье подробно рассмотрена проблематика целевых атак и способы борьбы с ними.

1. Введение

2. Что такое целевые атаки и насколько они опасны?

3. Мировой рынок защиты от целевых атак

4. Специализированные решения

4.1. Arbor Spectrum

4.2. Check Point SandBlast

4.3. Fortinet Advanced Threat Protection

4.4. Palo Alto Networks WildFire

4.5. Proofpoint Targeted Attack Protection

5. Комплексные решения

5.1. FireEye Threat Intelligence

5.2. McAfee Advanced Threat Defense/Threat Intelligence

5.3. Trend Micro Deep Discovery

5.4. Cisco Advanced Malware Protection

5.5. Symantec Advanced Threat Protection

6. Российские решения по защите от целевых атак

6.1. Kaspersky Anti Targeted Attack Platform

6.2. InfoWatch Targeted Attack Detector

6.3. Group-IB – TDS

7. Выводы

Введение

Все сетевые атаки можно классифицировать по цели, которую преследует злоумышленник. Изначально компьютерные атаки чаще всего совершались с целью «повандалить» — разрабатывались вирусы, удаляющие важную информацию, сайты атаковали, чтобы изменить их внешний вид, и так далее. С развитием информатизации атаки стали преследовать новые задачи — извлечение финансовой выгоды, реализация конкурентной борьбы, решение разведывательных задач и многие другие. Цели атак также претерпели изменения: если раньше злоумышленник старался взломать любую инфраструктуру, подверженную взлому, и атаки носили массовый характер, то теперь всё чаще проводятся целевые атаки. Целевые атаки — это направленный взлом определенных сетей или отдельных компьютеров. В отличие от массовых атак, в которых взламываются наименее защищенные компьютеры без разбора, в целевой атаке злоумышленник ищет возможность проникнуть в систему вне зависимости от степени ее защищенности.

Целевая атака может быть направлена на определенную организацию, группу компаний, отрасль экономики или государственные структуры. Осуществлять целевое вторжение может группа киберпреступников, действуя по найму, террористические организации и спецслужбы отдельных государств. Атаки на большую часть коммерческих организаций чаще всего производятся по заказу конкурентов или лицами, которые обладают возможностью монетизировать полученную от взлома информацию. Атаки же на крупнейшие предприятия (особенно АСУ ТП), целые отрасли и государственные структуры — чаще всего дело рук спецслужб иностранных государств.

При проведении целевых атак используются все доступные злоумышленникам средства — специально разработанные вредоносные программы, атаки на веб-серверы и сетевую инфраструктуру, социальная инженерия, использование инсайдеров и так далее. Говоря о целевых атаках, в первую очередь мы будем упоминать об угрозах APT (Advanced Persistent Threat). APT — это сложная, развитая и устойчивая атака, направленная на захват контроля над целевой инфраструктурой. Она проводится обычно с адаптацией под применяемые средства защиты, чтобы провести проникновение незаметно — это позволяет злоумышленникам сохранять контроль над зараженной системой максимально возможное время. APT применяется в целевых атаках на хорошо защищенные системы, когда простые методы направленного вторжения не срабатывают или могут быстро выдать злоумышленника.

Для борьбы с целевыми атаками не существует универсального рецепта, требуется обеспечить защиту на всех уровнях, включая обучение и проверку персонала.

Рисунок 1. Условная схема проведения целевых атак из исследования Trend Micro

 

Для борьбы с целевыми атаками часто используются специальные программные и аппаратные средства, которые решают целый комплекс задач и объединяют в себе множество уровней защиты. Основная цель этих решений — обнаружить такую атаку по косвенным признакам и путем выявления различных отклонений в работе пользователей и сетевой инфраструктуры.

Что такое целевые атаки и насколько они опасны?

Примеров раскрытых целевых атак множество, здесь мы говорим об APT, наиболее известные и резонансные атаки реализуются в рамках межгосударственной киберборьбы. Имена сетевых червей Flame и Stuxnet у всех на слуху, это специально разработанные компьютерные вирусы, подпадающие под определение APT, направленные на заранее определенные типы инфраструктур в отдельных странах. Вирус Flame специализировался на атаках объектов ядерной отрасли, а Stuxnet заражал SCADA-системы, обе вредоносных программы были направлены против предприятий Ирана. И подобных изощренных и хорошо подготовленных атак уже насчитываются десятки.

Намного более массовой выглядит картина с целевыми атаками, выполняемыми простыми с технической точки зрения методами. Мировые новости пестрят сообщениями об обнаружении различных типов целевых атак, только за последние несколько месяцев СМИ сообщали о попытках вторжения в государственные органы Индии, об атаках на банковскую систему стран Среднего Востока, о кибернападении на политические партии в Европе и так далее. Компания Trend Micro в отчете о тенденциях развития целевых атак определяет наиболее часто подвергающиеся атакам отрасли — лидерство с большим отрывом держат государственные информационные системы, составляя около 75% от всего объема обнаруженных атак, на втором месте индустриальная и энергетическая отрасли.

Рисунок 2. Распределение целевых атак по отраслям, данные Trend Micro

 

Аналитики компании Symantec дополнительно обращают внимание, что в последние несколько лет возросло число целевых атак на организации малого и среднего бизнеса до 43% и 22% в 2015 году соответственно, что говорит о низкой защищенности инфраструктур небольших компаний и существовании устойчивого спроса на данные этих компаний со стороны злоумышленников. Однако стоит отметить, что Symantec под целевыми атаками понимает в том числе уникальный образец вредоносного кода и таким образом учитывает даже адресные рассылки троянов-шифровальщиков.

Российский бизнес также постоянно сталкивается с целевыми атаками, больше всего от них страдает банковская сфера, являющаяся лакомым кусочком для злоумышленников. В отчете Центрального Банка за 2014 год указывается, что путем целевых атак на инфраструктуры банков злоумышленники пытались списать более 210 млн рублей, это около 6% от всех несанкционированных списаний. В отчете за 2015 год финансовая угроза составляла уже около 900 млн рублей, рост только за один год составил почти 430%. Другие сферы также зачастую становятся целями для злоумышленников, в том числе классифицируемые как APT. На специальной странице «Лаборатории Касперского» собраны все известные вредоносные программы, разработанные для осуществления целевых атак.

Применительно к России на текущий момент известно более 20 вредоносных программ, атакующих различные отраслевые организации. Достоверных публичных данных о целевых атаках на государственные структуры России нет, но косвенно об актуальности угрозы говорит большое число активностей, направленных на разработку и создание общих систем обнаружения, предотвращения и ликвидации последствий компьютерных атак, включая ГосСОПКА для государственных структур и FinCERT Банка России для кредитно-финансовой сферы.

Мировой рынок защиты от целевых атак

По версии Gartner, для полноценного детектирования и противодействия направленным атакам и защите от угроз APT необходимо использовать одновременно минимум пять основных методов и технологий защиты:

  1. Применение технологий анализа сетевого трафика для построения нормальной модели сетевого взаимодействия и дальнейший поиск отклонений и аномальных ситуаций. Данный анализ происходит в реальном времени с блокировкой подозрительного трафика для предотвращения атак.
  2. Сбор данных о сетевом трафике без активного противодействия для поиска аномалий и проведения анализа на большом объеме данных. Применяется только для детектирования атак и последующего расследования происшествий.
  3. Применение технологии «песочниц» для анализа поведения скриптов и приложений, которые загружаются пользователями на рабочих станциях или проходят в сетевом трафике.
  4. Поведенческий анализ пользовательских рабочих станций — перехват различных системных функций и обращений к ресурсам компьютеров и поиск аномалий в функционировании пользовательских приложений и операционной системы. Включает в себя проактивные механизмы защиты — блокирует подозрительные операции и изолирует потенциально вредоносные приложения.
  5. Сбор данных об активности приложений и операционной системы на рабочих станциях без активного противодействия для дальнейшей работы с большим объемом данных.

Если аккумулировать подходы Gartner, то можно выделить три основных технологии для обнаружения направленных атак — анализ сетевого трафика, поведенческий анализ на конечных точках и применение «песочницы». Кроме основных направлений важно не забывать о дополнительных частных защитных механизмах. Целевые атаки и APT распределены по времени, используют разные векторы атак и точки вторжения, и чем больше используется различных средств и методов защиты, тем выше шанс своевременно обнаружить и предотвратить атаку.

Способы реализации защитных механизмов в средствах противодействия целевым атакам различны, но общие принципы, описанные Gartner, соблюдаются во всех продуктах. Некоторые из вендоров останавливаются на глубокой проработке одного из методов, другие пытаются охватить все области и предлагать заказчикам комплексные и самодостаточные решения, третьи — собирают решения по защите от целевых атак на базе существующих линеек продуктов.

Мировой рынок огромен, решения по защите от целевых атак предлагает большая часть вендоров, создающих продукты для защиты информации. Вместе с тем, значительное число продуктов не является как таковыми средствами защиты от направленных атак, производители часто применяют маркетинговые уловки для перепозиционирования своих существующих продуктов под новые тренды. При выборе решений на мировом рынке стоит ориентироваться на заслуживающую доверия аналитику, например отчеты Breach detection systems от NSS Labs, The Forrester Wave: Automated Malware Analysis, Q2 2016 от аналитиков Forrester и отчет The Radicati Group Advanced Persistent Threat (APT) Protection-Market Quadrant 2016.

Рисунок 3. График эффективности средств защиты от APT, NSS Labs

 

Рисунок 4. Оценка рынка средств защиты от целевых атак и APT по версии Forrester

 

Рисунок 5. Рейтинг средств защиты от целевых атак и APT от Radicati Group

 

Ориентируясь на эту рыночную аналитику и присутствие вендоров на территории России и СНГ, далее в обзоре мы подробно рассмотрим лидеров — продукты компаний Intel Security (McAfee), Trend Micro, Proofpoint, Arbor, Cisco, Check Point, FireEye, Symantec, Fortinet и Palo Alto Networks.

Специализированные решения

В первой группе вендоров представлены нишевые продукты, функции которых сосредоточены на одном или нескольких методах контроля или канале возможного вторжения. Как правило, вендоры, выпускающие специализированные решения, глубоко погружены в одну проблематику и предлагают продукты высокого качества и степени обнаружения. Поэтому при построении системы защиты от целевых атак продукты перечисленных ниже вендоров могут использоваться как дополнение к другим продуктам, охватывающим другие возможные каналы вторжений.

 

Arbor Spectrum

Arbor Spectrum — новое решение на рынке защиты от целевых атак, представленное всего несколько месяцев назад. Специализация компании Arbor на работе с сетевым трафиком и обеспечении защиты от DDoS-атак сказалась на подходе к предотвращению целевых взломов. Решение Spectrum представляет собой сетевое устройство, функционирующее как на границе периметра, так и внутри локальных сетей заказчика. Основная функция Arbor Spectrum — сбор и анализ сетевого трафика для дальнейшего выявления аномалий и расследования инцидентов в сети. Работа анализаторов строится не только на изолированной эвристической логике, но и на глобальном уровне с помощью облачных сервисов Arbor. Благодаря распространенности применения продукции компания Arbor анализирует более трети всего интернет-трафика, что позволяет оперативно отслеживать новые виды угроз и поведения, характерного для вредоносного программного обеспечения, и путем применения правил в сетях, защищенных Spectrum, предотвращать вторжения на самых ранних стадиях.

Рисунок 6. Схема работы Arbor Spectrum

 

Достоинства:

  • Интеграция с программой ATLAS Intelligence и использование глобального облака Arbor — решение анализирует и оперативно реагирует на мировые угрозы в режиме реального времени.
  • Различные устройства в линейке Arbor Spectrum, позволяющие решить задачи по защите от целевых атак в инфраструктурах любого размера.
  • Подробная система журналирования и отчетов позволяет проводить глубокий ретроспективный анализ.

 

Check Point SandBlast

Check Point SandBlast — это механизм «песочницы» для анализа приложений и скриптов с целью поиска неизвестных угроз. Механизмы SandBlast встраиваются в существующие решения компании Check Point — в сетевые шлюзы и средства защиты рабочих мест. В линейке продуктов представлены следующие решения для различных продуктов CheckPoint: 

  • SandBlast Network Security — модуль SandBlast в виде программного блейда, который может разворачиваться на устройствах линейки NGFW (подробный обзор данной линейки, статья о технологии SandBlast). В качестве дополнительного модуля защиты SandBlast получает информацию для анализа от других программных блейдов и по результатам анализа может выдавать команды на блокировку вредоносного трафика.
  • SandBlast Agent — продукт для защиты конечных точек, обеспечивающий целый комплекс функций: защиту от вирусных атак и вредоносного ПО, обеспечение безопасности веб-браузера, блокировка фишинговых сайтов и страниц, защита чувствительных данных (например, номеров кредитных карт), полнодисковое шифрование и другие. SandBlast Agent поддерживает разные варианты установки, отличающиеся набором защитных механизмов.
  • SandBlast Cloud — решение для защиты облачного сервиса Office 365, позволяет фильтровать и анализировать в «песочнице» исходящие и входящие почтовые сообщения с вложениями на уровне всей компании.  

Достоинства:

  • Применение общей технологии для защиты разных каналов вторжения — возможность анализа сетевого трафика, защита почтового сервера, обеспечение безопасности конечных устройств.
  • Встраивание продукта в инфраструктуру Check Point — возможность развертывания решения на существующем аппаратном обеспечении, интеграция управления и мониторинга с единым продуктом Check Point SmartConsole, снижение затрат на внедрение и администрирование.
  • Поддержка анализа в «песочнице» большого числа типов файлов — обычных исполняемых файлов, различных скриптов, офисных документов с макросами и так далее.

 

 

Fortinet Advanced Threat Protection

Компания Fortinet придерживается комплексного подхода к защите от таргетированных атак. Решение Fortinet Advanced Threat Protection включает в себя пять продуктов — четыре аппаратных и один программный. В число устройств Fortinet Advanced Threat Protection входят межсетевой экран нового поколения (NGFW), модуль обнаружения атак, защищенный шлюз для электронной почты и брандмауэр веб-приложений, а также программный продукт FortiClient — решение для защиты конечных точек.

В основе же платформы Fortinet Advanced Threat Protection лежит специализированное решение для защиты от таргетированных атак — собственная «песочница» FortiSandbox, выполняющая анализ подозрительных приложений, скриптов, офисных документов и файлов другого типа. Отслеживаются и перехватываются файлы, передаваемые по сети, загружаемые с веб-сайтов, пересылаемые по электронной почте и запускаемые на рабочих местах. Каждый неизвестный файл передается на анализ в FortiSandbox, а результаты обрабатываются в облачной службе FortiGuard, которая аккумулирует данные со всех защитных компонентов, проводит аналитику и принимает решения о блокировке подозрительной активности.

Подробнее о работе Fortinet Advanced Threat Protection можно узнать в нашей аналитической статье.

Достоинства:

  • Большой набор продуктов в составе общего решения, позволяющий закрыть большинство каналов возможного проникновения в защищаемую сеть.
  • Интеграция брандмауэра веб-приложений в систему защиты от целевых атак, позволяющая повысить уровень защиты крупных инфраструктур, в которой присутствуют публичные веб-сервера.
  • Высокий уровень защиты по результатам независимого тестирования.

 

Palo Alto Networks WildFire

 Компания Palo Alto Networks известна благодаря своим профессиональным продуктам в области управления и защиты сетевого трафика – межсетевым экранам нового поколения и хостовой защите TRAPS. Решение по защите от направленных атак от Palo Alto Networks также направлено на анализ и фильтрацию файлов, передаваемых по сети по различным приложениям, например HTTP(S), SMTP(S), POP3, IMAP, FTP, SMB. Palo Alto Networks WildFire – компонент платформы безопасности Palo Alto Networks. Данный продукт анализирует перехватываемый сетевой трафик, разбирая множество прикладных сетевых протоколов, и детектирует APT-угрозы и сложные сетевые атаки на сетевую инфраструктуру и защищаемые компьютеры, находящиеся за сетевым устройством и своевременно блокирует угрозы используя сигнатуры скрытых туннелей, антивируса, IPS, DNS Sinkholing и Threat Intelligence. WildFire использует механизм песочницы, позволяющий провести поведенческий анализ для различных файлов, передаваемых по сети – приложений, архивов, офисных документов и т.д. Анализ данных WildFire может проводить непосредственно на локальной платформе, на которой он развернут, либо в глобальном облаке Palo Alto Networks, доступном по подписке. Для анализа в песочнице используются операционные системы семейства Windows, macOS, Android и офисные приложения внутри этих операционных систем.

Также Palo Alto Networks предлагает защиту рабочих станций и серверов Windows, используя технологию ловушек. Продукт так и называется TRAPS (ловушки). На сегодяшний день известно 113 методов эксплуатации уязвимостей, которые можно использовать в эксплойтах. И TRAPS реализует ловушки для каждого метода. Как только эксплойт пытается использовать хоть один известный метод эксплуатации, он сразу попадает в ловушку: процесс с эксплойтом останавливается и не требуется дорогостоящего лечения операционной системы. В год появляется 1-2 новых метода эксплуатации Windows и разрабочики сразу же добавляют для них новые ловушки. Данный метод позволяет ловить как известные, так и неизвестные эксплойты.

Достоинства:

  • Единое устройство для анализа и блокирования загрузки вредоносного кода и каналов управления вредоносным кодом.
  • Гибридные возможности анализа с использованием частного облака и облака Palo Alto Networks.
  • Большой список поддерживаемых протоколов для анализа и перечня поддерживаемых типов файлов для обработки в песочнице, включая расшифрование SSL/TLS.
  • Генерация сигнатуры для вредоносного кода в течении 5 минут.
  • Интеграция песочницы Wildfire с хостовой защитой от эксплойтов TRAPS.
  • Интеграция с использованием REST API с любыми другими решениями.
  • Защита срабатывает на любом этапе APT: вторжение, распространение по сети, удаленное управление, вывод данных.

 

Proofpoint Targeted Attack Protection

Компания Proofpoint специализируется на защите электронной почты и почтовых серверов, поэтому решение по защите от целевых атак Proofpoint Targeted Attack Protection также рассматривает угрозу целевой атаки в разрезе проникновения в защищаемую сеть через зараженные почтовые сообщения. В отличие от всех конкурентов, Proofpoint не ставит перед собой целью закрыть все возможные точки проникновения, вместо этого предлагается использовать продукт Proofpoint Targeted Attack Protection как дополнительную надежную защиту электронной почты.

Proofpoint Targeted Attack Protection анализирует весь почтовый трафик на любых устройствах, включая мобильные, проверяя все почтовые вложения в облаке компании и обеспечивая защиту от фишинговых сообщений и ссылок в письмах. В продукте присутствует технология «песочницы» для неизвестных вложений, анализирующая файлы в облаке Proofpoint с использованием статического и динамического анализа. Кроме того, Targeted Attack Protection строит поведенческие шаблоны для каждого пользователя и выявляет отклонения от них для отражения аномалий в статистических отчетах. Подобный подход открывает возможность специалистам по информационной безопасности проводить ретроспективный анализ и выявлять этапы и технологии целевых атак.

Достоинства:

  • Специализация на защите электронной почты, высокие компетенции компании Proofpoint в данной области.
  • Обеспечение защиты при работе с почтовыми сообщениями на любых устройствах, включая мобильные.
  • Использование облака для анализа потенциально опасных почтовых вложений в «песочнице» позволяет не тратить аппаратные ресурсы заказчика на решение данной задачи.

Комплексные решения

Вторая группа вендоров предлагает рынку комплексные решения, охватывающие максимальное число возможных каналов вторжения. На рынке комплексных продуктов распространено два основных подхода к созданию решений по защите от целевых атак — либо вендоры просто перепозиционируют существующую линейку продуктов как комплексное решение по защите от целевых атак, либо выпускают условно новый продукт, используя существующие технологии или объединяя текущие решения с помощью общих модулей для интеграции разных продуктов и корреляции данных между ними.

 

FireEye Threat Intelligence

Компания FireEye разработала большой набор компонентов, которые могут применяться для защиты от целевых атак. Все решения компании могут внедряться независимо друг от друга или совместно — для повышения общего уровня защищенности. Продукты FireEye нацелены на борьбу с угрозами вредоносного ПО и обеспечивают глубокий анализ и корреляцию различных факторов и событий для обнаружения сложных атак. Почти все компоненты снабжены фирменной «песочницей» для глубокого анализа поведения неизвестных приложений.

Рисунок 7. Компоненты защиты от целевых атак компании FireEye

 

Платформа FireEye Threat Intelligence включает в себя следующие средства защиты, так или иначе связанные с защитой от направленных атак:

  • FireEye Network Threat Prevention Platform — платформа для анализа сетевого трафика, которая обеспечивает сбор информации о сетевой активности и анализ проходящего трафика в режиме реального времени. Дополнительно в данную платформу встраивается модуль Intrusion Prevention System, обеспечивающий защиту от различных видов «классических» сетевых атак, и модуль Network Forensics Platform, обеспечивающий сбор данных для модуля FireEye Investigation Analysis.
  • FireEye Email Security Products — модуль проверки почтовых сообщений на наличие вредоносных вложений, подозрительных и фишинговых ссылок. Дополнительно модуль может выполнять функции по фильтрации рекламных писем.
  • FireEye Investigation Analysis — данный модуль использует информацию, собранную другими функциональными компонентами, для проведения анализа информации на длительном временном периоде, для поиска замаскированных целевых атак и проведения различных расследований.
  • FireEye Endpoint Threat Prevention — модуль защиты рабочих мест от вредоносного программного обеспечения и различных угроз безопасности.
  • FireEye Mobile Security — модуль защиты портативных устройств, который может дополнительно интегрироваться с решениями класса MDM — контроль доступа и использования мобильных устройств.
  • File Content Security — инфраструктурный компонент, который обеспечивает непрерывное сканирование и анализ ресурсов общего доступа в локальных сетях (сетевые шары, файловые сервера) на предмет размещения в них вредоносных и подозрительных программ, скриптов и других типов файлов.
  • Threat Analytics Platform — объединяющий компонент, который применяет различные правила поиска угроз и проводит глубокий анализ данных к информации, собираемой другими модулями FireEye и сторонними продуктами, включая межсетевые экраны, антивирусы, операционные системы и многие другие.  

Достоинства:

  • Широкий набор компонентов, покрывающих большую часть распространенных методов борьбы с целевыми атаками.
  • Глубокая экспертиза вендора в области борьбы с целевыми атаками.
  • Возможность использовать технологии FireEye как сервис, без необходимости закупать и разворачивать сложное техническое обеспечение.

 

McAfee Advanced Threat Defense/Threat Intelligence

Компания Intel McAfee не представила на рынке отдельного продукта для решения задач по защите от целевых атак, но при этом вендор позиционирует возможность применения своих продуктов для выполнения данной задачи и, в первую очередь, речь идет о McAfee Advanced Threat Defense, средстве противодействия вредоносным программам и сложным видам атак. В отдельной брошюре Combatting Advanced Targeted Attacks: PROTECT рассматривается вариант с применением набора продуктов McAfee для построения защиты от целевых атак. По классификации Gartner продукты McAfee используют сразу все методы противодействия направленным атакам.

Рисунок 8. Технологии McAfee, применяемые для построения комплексной защиты от целевых атак

 

Защита от целевых атак, по мнению McAfee, выстраивается с помощью трех уровней:

  1. На первом уровне применяются продукты для защиты конечных точек, серверов, сети и веб-приложений: McAfee Server Protection, McAfee Endpoint Protection, McAfree Network Security Platform и McAfee Web Gateway. Данные продукты собирают необходимую для анализа информацию и обеспечивают противостояние атакам.
  2. Второй уровень представлен решением McAfee Advanced Threat Defense, которое анализирует полученные с первого уровня данные, включая потенциально вредоносные файлы, перехваченные в сети, на рабочих местах и на серверах, и, в случае выявления угроз, передает информацию на третий уровень.
  3.  На третьем уровне продукт McAfree Threat Intelligence Exchange Server обеспечивает предоставление обратной связи для первого уровня по обнаруженным угрозам, с помощью данного продукта происходит обновление баз данных и политик безопасности для продуктов уровня конечных точек и сети.

Достоинства:

  • Большой набор различных средств защиты, закрывающих большинство потенциальных каналов атак.
  • Наличие глобальной сети обмена информацией об угрозах и атаках — McAfee Global Threat Intelligence — позволяет эффективнее противостоять целевым атакам на отрасли и группы компаний.

 

Trend Micro Deep Discovery

Решение Trend Micro Deep Discovery — это многомодульный продукт, обеспечивающий защиту и анализ информации на разных уровнях. Информацию, накапливаемую модулями Deep Discovery, предполагается обрабатывать с помощью встроенного решения по комплексному анализу событий, либо с помощью любой SIEM-системы.

Рисунок 9. Логическая схема решения Trend Micro Deep Discovery

 

Применяемые в Trend Micro Deep Discovery методы подпадают под описание первых трех методов по классификации, представленной выше — продукт обеспечивает анализ и накопление сетевого трафика и реализует функцию «песочницы», при этом в продукте не представлены модули для осуществления поведенческого анализа пользователей.

В состав Trend Micro Deep Discovery входят следующие продукты:

  • Deep Discovery Inspector — сетевой анализатор, перехватывающий трафик и исследующий сетевую активность сети предприятия. Данный продукт способен обнаруживать сигнатурными и эвристическими методами сетевые атаки, передачу зараженных файлов по сети, а также выявлять в трафике управляющие команды, используемые для передачи инструкций сетевым червям. Продукт доступен в виде виртуального устройства или аппаратного решения. В последнем случае продукт допускает развертывание «песочниц» непосредственно внутри устройства.
  • Deep Discovery Email Inspector — модуль проверки почтового трафика, позволяющий обнаружить зараженные вложения, фишинговые письма и другие угрозы, связанные с использованием электронной почты. Продукт содержит встроенные «песочницы», а также может использовать внешние, развернутые на Deep Discovery Analyzer.
  • Deep Discovery Analyzer — сервис «песочницы» для анализа неизвестных, потенциально вредоносных файлов. Данный продукт может получать на анализ подозрительные файлы от продуктов Trend Micro, других компонентов Deep Discovery и продуктов других производителей, проводить их анализ и выносить вердикт относительно степени опасности.
  • Trend Micro Endpoint Sensor — средство расследования инцидентов на конечных точках.
  • Trend Micro Control Manager — средство централизованной работы с продуктами Deep Discovery, сбора и анализа журналов аудита и предоставления информации в виде подробных таблиц и отчетов.

Достоинства:

  • Широкий набор специализированных модулей, разработанных специально для защиты от целевых атак.
  • Возможность простой интеграции модулей с системами SIEM для построения комплексной мультивендорной системы обнаружения целевых атак.
  • Возможность передачи файлов на анализ из любых источников и продуктов через специализированное SDK, а также возможностью создавать собственные «песочницы» у заказчика с любым установленным набором прикладного ПО.
  • Применение проверенных технологий Trend Micro по защите от известных и новых сетевых вторжений и атак, проводимых на конечные точки (рабочие места и сервера).

Cisco Advanced Malware Protection

Cisco Advanced Malware Protection — комплексный продукт по защите от вредоносных программ и таргетированных атак. Cisco придерживается концепции комплексной многоуровневой защиты от целевых атак и не предлагает какой-либо отдельный специализированный продукт для этого. Однако данное решение предлагается как важный элемент системы защиты от целевых атак с применением сложных и уникальных образцов вредоносного кода. Оно может быть дополнено другими продуктами компании, например Cisco Stealthwatch или Cognitive Threat Analytics для анализа сетевого трафика, устройствами Cisco FirePOWER, Cisco ASA и т. д.

Cisco Advanced Malware Protection включает в себя набор компонентов для защиты различных объектов инфраструктуры:

  • Cisco Advanced Malware Protection for Endpoints для защиты конечных точек;
  • Cisco Advanced Malware Protection for Networks для реализации сетевой защиты;
  • Cisco Advanced Malware Protection for Content для защиты электронной почты и веб-трафика.

Cisco Advanced Malware Threat Grid представляет собой унифицированное решение для статического и динамического анализа вредоносных программ и потенциальных угроз.

В Cisco Advanced Malware Protection for Endpoints присутствует собственная «песочница» для исполнения подозрительных программ и анализа их поведения. Детектирование производится различными методами — сигнатурной проверкой, анализом поведения приложений, различными видами эвристики и методом машинного обучения. Дополнительно в продукте реализована возможность записи данных о поведенческом портрете пользователя и его приложений, что позволяет проводить анализ по большому набору данных на длительном отрезке времени. Cisco Advanced Malware Protection for Endpoints работает на большом числе операционных систем — Windows, macOS, Linux и Android, что позволяет построить кроссплатформенную систему защиты.

Сетевая защита Cisco Advanced Malware Protection for Networks встраивается как дополнительный модуль в линейку аппаратных средств защиты Cisco Next-Generation Intrusion Prevention System и позволяет контролировать весь сетевой трафик с перехватом загружаемых и передаваемых файлов для их дальнейшего анализа. Также сетевая защита в комплексе Cisco Advanced Malware Protection может быть развернута на базе устройств Cisco Next-Generation Firewalls, Meraki MX UTM Platform и ISR-роутерах для защиты АСУ ТП.

Весь комплекс продуктов Cisco Advanced Malware Protection объединен общими функциями по анализу потенциально опасных программ, которые осуществляются в разворачиваемом частном облаке и включают в себя проверку подозрительных файлов в «песочнице», а также общим управлением и мониторингом.

Достоинства:

  • Большой набор решений, покрывающих большинство возможных каналов атак, поддержка всех основных операционных систем для защиты конечных точек и мобильных устройств.
  • Обеспечение высокого уровня защиты от массовых и уникальных вредоносных программ, деятельность которых можно отследить только анализом поведения за длительный период времени на рабочих местах.
  • Широкие функции по визуализации угроз, отображение данных по любой активности на защищаемых компьютерах и возможность ручного управления системой.
  • Интеграция с другими продуктами безопасности Cisco.
  • Наличие специализированных решений для сложных инфраструктур и АСУ ТП.

Symantec Advanced Threat Protection

Как и у большинства лидеров в области борьбы с целевыми атаками и APT, компания Symantec в одном решении под общим названием Symantec Advanced Threat Protection представляет несколько продуктов, объединенных общей платформой аналитики и управления. Основным ядром платформы Symantec Advanced Threat Protection является облачная технология анализа потенциально вредоносных файлов с помощью «песочницы».

В решение Symantec Advanced Threat Protection входят компоненты Endpoint, Email и Network. Компонент для защиты конечных точек представляет собой легковесный агент, который собирает данные об активностях на защищаемых компьютерах и передает их для анализа в частное облако. Данный модуль может применяться самостоятельно или в составе Symantec Endpoint Protection — продукта с широким набором функций для комплексной защиты конечных точек. Компонент защиты электронной почты — это специальный модуль-надстройка для другого продукта компании — Symantec Email Security — облачного решения для защиты почтовых серверов. Сетевой модуль Symantec Advanced Threat Protection Network является сетевым решением для перехвата и анализа сетевого трафика в режиме реального времени и включает в себя функции обнаружения и предотвращения сетевых вторжений.

Достоинства:

  • Удобная система мониторинга и визуального отображения информации об атаках в режиме реального времени с подробным описанием происходящих процессов.
  • Глубокая интеграция продуктов Symantec Advanced Threat Protection с другими продуктами компании Symatec.

Российские решения по защите от целевых атак

Российский рынок средств защиты от целевых атак только начинает формироваться, на данный момент специализированные решения на рынке представили только два отечественных вендора — «Лаборатория Касперского» и компания InfoWatch. Продукты от данных производителей появились на рынке не так давно и пока мало заметны на фоне иностранных решений, но наблюдаются тенденции развития данного сегмента средств защиты.  

Kaspersky Anti Targeted Attack Platform

Решение «Лаборатории Касперского» по защите от целевых атак было представлено только в этом году, но копания уже успела попасть в отчеты мировых аналитиков. Так, Radicati Group в своем отчете оценивает продукт Kaspersky Anti Targeted Attack Platform как нишевого игрока с хорошим будущим потенциалом. В основе Kaspersky Anti Targeted Attack Platform лежит целая платформа, включающая в себя множество сенсоров, собирающих различную информацию о процессах, происходящих в инфраструктуре защищаемой сети. Анализ собранной информации, корреляция различных событий и выявление аномальных ситуаций лежит в основе детектирования целевой атаки.

В состав платформы входят следующие компоненты:

  • Сетевые сенсоры — модули по перехвату сетевого трафика, анализирующие обращения к веб-сайтам, почтовым и прокси-серверам. Включают в себя возможность извлечения почтовых вложений, загружаемых и передаваемых файлов для передачи их на анализ в модуль «Песочница».
  • Сенсоры рабочих мест — небольшие программы, устанавливающиеся на конечные точки — рабочие станции и сервера. Выполняют перехват сетевого трафика на уровне отдельных станций, также направляя данные для анализа в другие модули.
  • «Песочница» — отдельный модуль для анализа неизвестного программного обеспечения — почтовых вложений, загружаемых и передаваемых файлов. Поддерживается интеграция с облачной сетью Kaspersky Security Network для определения репутации файлов или с автономным частным облачным решением Kaspersky Private Security Network, изолированным от внешнего мира.
  • «Центр анализа» — основное ядро системы, в котором проводится корреляция и анализ собранной информации, оцениваются и классифицируются угрозы по степени критичности. Кроме того, «Центр управления» обеспечивает управление всей системой защиты и предоставляет доступ администраторов к интерфейсу настройки и отчетов.

Рисунок 10. Архитектура решения Kaspersky Anti Targeted Attack Platform

 

Достоинства:

  • Большое число модулей, охватывающих весь сетевой трафик в защищаемой инфраструктуре.
  • Быстрая скорость внедрения сенсоров без изменения сетевых настроек и создания дополнительных нагрузок для сетевого оборудования и рабочих мест.
  • Автоматическая классификация всех инцидентов по уровням опасности, выделение целевых атак в общем наборе отраженных угроз.
  • Тесная интеграция с облачным центром Kaspersky Security Network и доступ к данным и аналитике от специалистов «Лаборатории Касперского».

 

InfoWatch Targeted Attack Detector

Решение InfoWatch Targeted Attack Detector представлено на рынке уже более двух лет и за это время было многократно внедрено в России. Особый подход компании InfoWatch — в глубоком контроле состояния рабочих станций, накоплении информации об активности пользователей и приложений в облачном сервисе и последующий анализ, основанный на работе с большими данными (big data). Основной агент Targeted Attack Detector устанавливается на конечные точки в инфраструктуре заказчика и собирает информацию об изменениях, происходящих в операционной системе. Решение постоянно сканирует различные характеристики объектов системы, классифицирует и анализирует эту информацию. Выявление целевых атак осуществляется путем сверки «срезов» состояний системы и выявления изменений и аномалий между состояниями в разное время.

Информация, собираемая агентами, передается на общий сервер, который осуществляет централизованную работу с информацией и реализует необходимую логику продукта. Также сервер управляет централизованным развертыванием агентов и их настройкой. Еще одним элементом решения InfoWatch Targeted Attack Detector является облачная экспертная система, в которой накапливается анонимная информация от всех пользователей продукта. Уникальные алгоритмы работы с массивами больших данных (big data) позволяют повысить эффективность обнаружения целевых атак.

Рисунок 11. Архитектура решения InfoWatch Targeted Attack Detector

 

Достоинства:

  • Уникальный подход к обнаружению целевых атак путем построения «срезов» состояний операционной системы и к анализу изменений с помощью статистического и динамического анализа.
  • Выявление проводимых целевых атак методом обнаружения аномалий и проведения ретроспективного анализа.
  • Легковесность агентов, устанавливаемых на конечных точках, не нагружающих систему и не требующих изменения инфраструктуры при внедрении.
  • Низкие требования к инфраструктуре заказчиков, выполнение основной работы в облаке компании InfoWatch.
  • Возможность подключения аналитиков компании InfoWatch для изучения происходящих в системе процессов и помощи в решении возникающих вопросов и задач.

Но это далеко не все российские системы защиты от таргетированных атак. На волне импортозамещения образуются новые компании, стремящиеся занять перспективный рынок. Например, в сентябре публике была представлена система «Афина» от компании «АВ Софт», разработанная на базе открыто распространяемого исходного кода.

Group-IB – TDS

14 лет работы на рынке и участие в 80% расследований высокотехнологичных преступлений позволили российской компании Group-IB накопить опыт для создания системы обнаружения целевых атак TDS.

TDS анализирует данные с учетом информации, поступающей из Bot-Trek Intelligence – собственной высокотехнологичной системы Group-IB по слежению за инфраструктурой и взаимодействиями киберпреступников, позволившей компании дважды войти в отчеты Gartner в категории “Threat Intelligence”. Эти компетенции позволяют anti-APT продукту Group-IB лучше других находить сложные угрозы, в том числе исходящие из самого опасного хакерского комьюнити — российского.

Отдельного упоминания заслуживает бесплатно предлагаемое Group-IB в партнерстве с AIG в России страховое покрытие на случай, если инцидент все-таки случится. Таким образом, приобретая TDS, клиенты компании защищаются не только «технологических» угроз, но и от многих киберпреступлений с участием человеческого фактора, использования инсайдеров и социальной инженерии.

В состав комплекса TDS входят три модуля:

  • TDS Sensor – сетевое устройство для анализа сетевых соединений, генерируемых защищаемой инфраструктурой. Выявляет коммуникации зараженных устройств с командными центрами, сетевые аномалии и необычное поведение устройств. Набор признаков, по которым определяется зловредная активность и настройки классификаторов обновляются ежедневно. TDS Sensor умеет извлекать потенциально-опасные объекты и из почтового трафика.
  • TDS Polygon («песочница») – аппаратное решение, анализирующее поведение потенциально-опасных объектов в изолированной среде. Низкоуровневый системный монитор регистрирует все изменения, происходящие в системе после запуска/открытия объекта. Вердикт о степени опасности объекта выносится на основании работы классификатора, формируемого системой машинного обучения.

Алгоритмы машинного обучения, используемые в Polygon, прошли обучение на уникальной базе угроз, собранной Group-IB за 14 лет.

  • SOC Group-IB. Если эта опция активирована, информация о выявленных инцидентах по защищенному каналу передается в SOC Group-IB, где события автоматически коррелируются и взвешиваются в системе, после чего анализируются специалистами Group-IB - круглосуточно и без выходных. Все данные об угрозах и результаты анализа инцидентов доступны в web-интерфейсе, в который встроена удобная тикет-система. В случае регистрации критических событий сотрудники Group-IB уведомляют клиента и оказывают поддержку по выявленному инциденту, которая может включать в себя работы по реагированию силами криминалистической лаборатории Group-IB.

Рисунок 12. Архитектура системы обнаружения целевых атак Group-IB TDS

Достоинства TDS от Group-IB:

  1. Круглосуточная поддержка экспертами SOC Group-IB “в комплекте”, что позволяет сократить трудозатраты на обслуживание системы со стороны клиента;
  2. Сочетание уникального опыта компании и технологий машинного обучения обеспечивают высочайщий уровень детектирования
  3. Удобный и наглядный веб-интерфейс, облачная система управления и отчётности;
  4. Уникальная для российского рынка услуга по страхованию киберрисков от AIG, предоставляемая бесплатно в комплекте с TDS;
  5. Помня, что ни одно решение не может дать 100% защиты от угроз, учитывайте, что Group-IB также предоставляет услуги по реагированию и расследованию инцидентов ИБ, а значит поможет оперативно остановить развитие инцидента и оформить доказательную базу согласно требованиям российского законодательства, если инцидент все же произошел

Таратынов Павел, начальник отдела безопасности сетевых технологий, ЗАО НИП «Информзащита»:

«В настоящее время в профессиональном сообществе уже не стоит вопрос — надо ли защищаться от целенаправленных атак и угроз «нулевого дня» (далее для краткости будет использоваться термин АРТ). Вопрос стоит в выборе наиболее эффективных средств и механизмов защиты в рамках комплексной системы информационной безопасности.

 Статистика по инцидентам, отчеты аналитических агентств и вендоров, общение с заказчиками и наш практический опыт наглядно доказывают, что стать целью целенаправленных атак или пострадать от вредоносного ПО «нулевого дня» может практически любая организация среднего и крупного бизнеса. Возможность использования эксплойтов и ВПО «нулевого дня» появляется у все большого числа злоумышленников и, как следствие, расширяется круг потенциальных целей. Конечно же, в первую очередь злоумышленников интересуют финансовые организации, телекомы, госкомпании, где выгода от взлома очевидна.

По итогам проводимых нами экспресс-аудитов ИБ в сети заказчика, мы в 90% случаев находим следы активности вредоносного ПО, бот-сетей и другие угрозы. И это у заказчиков, у которых внедрены комплексные системы ИБ и выстроены процессы управления ИБ. К сожалению, этот факт в том числе показывает низкую эффективность традиционных сигнатурных средств защиты информации при обнаружении целенаправленных атак и угроз «нулевого дня».

Это не означает, что традиционные сигнатурные СЗИ можно «выкинуть на свалку» и нужно срочно заменить на новые решения. Однако необходимость дополнять существующую систему защиты специализированными решениями для обнаружения АРТ сегодня уже ни у кого не вызывает сомнений. Одним из вариантов таких решений, довольно эффективным и уже неплохо себя зарекомендовавшим, являются решения типа «песочниц».

 Совместно с одним из наших заказчиков мы проводили тестирование «песочниц» на реальном интернет-трафике компании. Тревожным, но не удивительным стал факт обнаружения большого количества угроз «нулевого дня», которые пропустили традиционные сигнатурные СЗИ, весьма эффективные при противодействии известным угрозам. И таких примеров в нашем опыте довольно много.

Порекомендовать можно следующее: в первую очередь, необходимо реально оценить текущий уровень ИБ в организации. Для выполнения этой задачи мы в качестве альтернативы дорогостоящим и длительным комплексным аудитам предлагаем нашим клиентам проведение экспресс-оценки ИБ сети организации. Конечно, надо понимать, что это не полноценная замена аудиту, все зависит от задач заказчика, но для быстрой оценки реальной безопасности сети в большинстве случаев такой экспресс-оценки оказывается достаточно. Как минимум, это позволяет «подсветить» проблемные моменты и дает понимание, на что необходимо обратить внимание.

При выборе же средств защиты от целенаправленных атак и угроз «нулевого дня» мы рекомендуем предварительно проводить «пилотирование». Это позволит сделать осознанный и обоснованный выбор в пользу того или иного решения, подходящего именно для конкретной организации и инфраструктуры. К счастью, выбор на рынке сейчас очень широкий, и в каждом конкретном случае плюсы и минусы того или иного решения могут сыграть решающую роль».

Александр Русецкий, менеджер по продвижению инфраструктурных решений Центра информационной безопасности компании «Инфосистемы Джет»

Сегодня все больше компаний несут серьезные финансовые потери из-за целевых (или таргетированных) атак. Такие атаки сложно обнаружить и практически невозможно отразить классическими средствами защиты — межсетевыми экранами, IPS, веб- и почтовыми шлюзами, антивирусами и т. п. Несколько лет назад, в ответ на угрозы целевых атак, на рынке появились решения класса Anti-APT, обеспечивающие раннее выявление аномальных активностей в информационной инфраструктуре. Сейчас такие решения являются уже зрелыми, их применение рекомендовано международными стандартами и методологиями обеспечения информационной безопасности. При этом для каждой организации такое решение выбирается индивидуально и, как правило, представляет собой комплекс защитных средств («песочница», мониторинг сетевого трафика и поведенческий анализ, защита рабочих станций).

Как же грамотно подойти к этой задаче? Вот несколько рекомендаций, основанных на опыте тестирования и реального внедрения средств защиты от таргетированных атак у наших заказчиков.

Прежде всего следует определить, какой вектор атаки необходимо блокировать.  Основная цель злоумышленников — монетизация результатов атаки. Чтобы защититься, организация должна знать свои бизнес-процессы, понимать, что и на каком этапе у нее могут украсть. Для этого полезно изучить аналитические отчеты специализированных компаний, международных и российских. Большую помощь в этом может также оказать консалтинг со стороны опытного интегратора. Важная вещь — референсные визиты. Они позволяют понять, с какими угрозами борются коллеги по отрасли, и ознакомиться с независимым мнением.

Следующий шаг — изучение представленных на рынке решений в области ИБ и составление сравнительной таблицы: по функционалу, плюсам/минусам, стоимости, «дорожным картам» (и тут в помощь как раз представленный Anti-Malware.ru обзор рынка защиты от целевых атак, а также написанный специалистами  компании «Инфосистемы Джет» выпуск журнала Jet Info, посвященный защите от таргетированных атак: http://www.jetinfo.ru/jetinfo_arhiv/obzor-reshenij-po-zaschite-ot-tselevykh/2016). Это позволит понять, каких усилий и средств потребует внедрение того или иного Anti-APT-решения и какие проблемы можно решить с его помощью. Выбирая производителя, следует принять во внимание существующий ИБ-ландшафт организации: если в инфраструктуре используются средства защиты конкретного вендора, логично остановиться на продукте из его же портфеля, поскольку это упростит интеграцию; если целью ставится построение платформонезависимого решения, имеет смысл присмотреться к самостоятельным специализированным Anti-APT продуктам.

Важный этап проекта по внедрению Anti-APT — тестирование, в том числе на копии реального трафика. Это позволит понять, что нового привносит Anti-APT по сравнению с уже имеющимися средствами ИБ, а также оценить реальную производительность решения, количество ложных срабатываний и т. д. Кроме того, тестирование поможет определить, в каких случаях имеет смысл включать режим блокировки, чтобы работа Anti-APT не сказывалась на производительности основных бизнес-процессов организации. 

Выводы

Целевые атаки являются серьезной угрозой безопасности инфраструктур практически каждой организации — бизнеса любого размера, государственных органов, банков, предприятий промышленности и многих других. Увеличение числа направленных целевых атак и развитых устойчивых угроз (APT) требует новых средств защиты для сохранения высокого уровня безопасности информационных систем. Традиционный набор средств защиты информации, достойно защищающий от массовых угроз, не способен противостоять злоумышленникам, которые нацелились на взлом конкретной инфраструктуры. Вендоры продуктов для информационной безопасности отреагировали на набирающий популярность вид атак и предлагают множество решений, выполняющих функции по обнаружению и противодействию целевым атакам.

Мировой рынок традиционно представлен большим число крупных вендоров, предлагающих продукты разного уровня, как по стоимости, так и по качеству защиты. Некоторые производители, например Intel Security (McAfee) и Cisco, решили не выпускать отдельного решения для защиты от целевых атак, но публикуют набор рекомендаций по совмещению существующих продуктов для достижения необходимой цели. Другие разработчики выпустили специализированные продукты со своими модулями, компонентами и системами управления, к этой группе можно отнести компании Trend Micro, FireEye, «Лабораторию Касперского», Group-IB и InfoWatch. Но всё же большая часть вендоров идут по пути выпуска специализированных продуктов для наращивания существующей системы защиты в общей экосистеме — например, Symatec, Fortinet, Check Point и Palo Alto Networks.

Защита от направленных атак может выполняться разными методами, основанными на защите различных каналов атак с помощью современных технологий детектирования. С этой точки зрения производители разделились на две группы — одни сосредоточились на собственной специализации и предложили новый продукт, закрывающий только один вид атак: Arbor Networks предлагает решение для защиты сетевого трафика, Palo Alto Networks  — для сетевого трафика и защите от эксплойтов на конечных точках, Proofpoint — для защиты электронной почты. Другая группа — вендоры с универсальными решениями, закрывающими большое число каналов вторжений. 

Отечественный рынок защиты от целевых атак пока представлен всего двумя вендорами. Подходы «Лаборатории Касперского», InfoWatch и Group-IB несколько отличаются — первые ставят в приоритет анализ сетевого трафика, вторые — анализ состояния операционной системы и локальных ресурсов. Group-IB добивается высокой эффективности благодаря интеграция с собственной системой киберразведки, отмеченной в отчетах Gartner. У каждого продукта есть свои достоинства и недостатки, оценить которые поможет опытная эксплуатация и подробные сравнения решений. 

www.anti-malware.ru

Анатомия таргетированной атаки

С каждым годом организации совершенствуют инструменты ведения бизнеса, внедряя все новые решения, одновременно усложняя IT-инфраструктуру. Теперь в ситуации, когда в компании зависает почтовый сервер, с конечных рабочих мест стирается важная информация или нарушается работа автоматизированной системы формирования счетов к оплате, бизнес-процессы просто останавливаются.

Осознавая растущую зависимость от автоматизированных систем, бизнес также готов все больше заботиться об обеспечении информационной безопасности. Причем путь создания системы ИБ зависит от ситуации в данной конкретной организации, от имевших место инцидентов, убеждений конкретных сотрудников, и зачастую формируется «снизу», от отдельных подсистем ИБ к общей картине. В результате создается многоступенчатая единственная в своем роде система, состоящая из различных продуктов и сервисных работ, сложная, как правило, уникальная у каждой компании, где ИБ-специалисты могут:

  • проверять файлы при помощи систем безопасности конечных точек;
  • фильтровать почтовый и веб-трафик при помощи шлюзовых решений;
  • отслеживать целостность и неизменность файлов и системных настроек;
  • контролировать поведение пользователей и реагировать на отклонения от обычной модели трафика;
  • сканировать периметр и внутреннюю сеть на предмет уязвимостей и слабых конфигураций;
  • внедрять системы идентификации и аутентификации, шифровать диски и сетевые соединения;
  • инвестировать в SOC для сбора и корреляции логов и событий от упомянутых выше подсистем;
  • заказывать тесты на проникновение и иные сервисы для оценки уровня защищенности;
  • приводить систему в соответствие с требованиями стандартов и проводить сертификации;
  • учить персонал основам компьютерной гигиены и решать еще бесконечное множество подобных задач.

Но, несмотря на все это, количество успешных, то есть достигающих своей цели, атак на IT-инфраструктуры не уменьшается, а ущерб от них растет. За счет чего же удается злоумышленникам преодолевать сложные системы безопасности, как правило, уникальные по своему составу и структуре?

Ответ довольно краток: за счет подготовки и проведения сложных атак, учитывающих особенности целевой системы.

Понятие целевой атаки

Самое время дать определение, точно, по нашему мнению, отражающее понятие целевой, или таргетированной, атаки. Целевая атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в реальном времени вручную.

Во-первых, это именно процесс — деятельность во времени, некая операция, а не просто разовое техническое действие. Проведя анализ подобных атак, эксперты «Лаборатории Касперского» отмечают, что их длительность составляет от 100 дней и больше.

Во-вторых, процесс предназначен для работы в условиях конкретной инфраструктуры, призван преодолеть конкретные механизмы безопасности, определенные продукты, вовлечь во взаимодействие конкретных сотрудников. Следует отметить существенную разницу в подходе массовых рассылок стандартного вредоносного ПО, когда злоумышленники преследуют совсем другие цели, по сути, получение контроля над отдельной конечной точкой. В случае целевой атаки она строится под жертву.

В-третьих, эта операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием, по сути своей — бандой. Их деятельность действительно бывает очень похожа на многоходовую войсковую операцию. Например, злоумышленниками составляется список сотрудников, которые потенциально могут стать «входными воротами» в компанию, с ними устанавливается связь в социальных сетях, изучаются их профили. После этого решается задача получения контроля над рабочим компьютером жертвы. В результате ее компьютер заражен, и злоумышленники переходят к захвату контроля над сетью и непосредственно преступным действиям.

В ситуации целевой атаки не компьютерные системы бьются друг с другом, а люди: одни нападают, другие — отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

В настоящее время все большее распространение получает термин APT — Advanced Persistent Threat. Давайте разберемся и с его определением. APT — это комбинация утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня», других компонентов, специально разработанных для реализации данной атаки. Практика показывает, что APT используются повторно и многократно в дальнейшем для проведения повторных атак, имеющих схожий вектор, против других организаций. Целевая, или таргетированная, атака — это процесс, деятельность. APT — техническое средство, позволяющее реализовать атаку.

Можно смело утверждать, что активное распространение целевых атак обусловлено в том числе и сильным сокращением стоимости и трудозатрат в реализации самой атаки. Большое количество ранее разработанных инструментов доступно хакерским группировкам, порой отсутствует острая необходимость создавать экзотические вредоносные программы с нуля. В большинстве своем современные целевые атаки построены на ранее созданных эксплойтах и вредоносном ПО, лишь малая часть использует совершенно новые техники, которые преимущественно относятся к угрозам класса APT. Порой в рамках атаки используются и совершенно легальные, созданные для «мирных» целей утилиты — ниже мы вернемся к этому вопросу.

Стадии целевой атаки

В этом материале нам хочется озвучить основные этапы таргетированной атаки, заглянуть внутрь, показать скелет общей модели и различия применяемых методов проникновения. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы.

Рис. 1: Фазы целевой атаки

На приведенном рисунке отображены четыре фазы целевой атаки, демонстрирующие ее жизненный цикл. Кратко сформулируем основное назначение каждой из них:

  1. Подготовка. Основная задача первой фазы — найти цель, собрать о ней достаточно детальной приватной информации, опираясь на которую выявить слабые места в инфраструктуре. Выстроить стратегию атаки, подобрать ранее созданные инструменты, доступные на черном рынке, либо разработать необходимые самостоятельно. Обычно планируемые шаги проникновения будут тщательно протестированы, в том числе на необнаружение стандартными средствами защиты информации.
  2. Проникновение — активная фаза целевой атаки, использующая различные техники социальной инженерии и уязвимостей нулевого дня, для первичного инфицирования цели и проведения внутренней разведки. По окончании разведки и после определения принадлежности инфицированного хоста (сервер/рабочая станция) по команде злоумышленника через центр управления может загружаться дополнительный вредоносный код.
  3. Распространение — фаза закрепления внутри инфраструктуры преимущественно на ключевые машины жертвы. Максимально распространяя свой контроль, при необходимости корректируя версии вредоносного кода через центры управления.
  4. Достижение цели — ключевая фаза целевой атаки, в зависимости от выбранной стратегии в ней может применяться:
  • Хищение закрытой информации
  • Умышленное изменение закрытой информации
  • Манипуляции с бизнес-процессами компании

На всех этапах выполняется обязательное условие по сокрытию следов активности целевой атаки. При завершении атаки часто бывает, что киберпреступники создают для себя «точку возврата», позволяющую им вернуться в будущем.

Первая фаза целевой атаки — подготовка.

Выявление цели

Целью для атаки может стать любая организация. А начинается все с заказа или общей разведки или, точнее, мониторинга. В ходе продолжительного мониторинга мирового бизнес-ландшафта хакерские группы используют общедоступные инструменты, такие как RSS-рассылки, официальные Twitter-аккаунты компаний, профильные форумы, где обмениваются информацией различные сотрудники. Все это помогает определить жертву и задачи атаки, после чего ресурсы группы переходят к этапу активной разведки.

Сбор информации

По понятным причинам ни одна компания не предоставляет сведения о том, какие технические средства она использует для защиты информации, о внутреннем регламенте и так далее. Поэтому процесс сбора информации о жертве называется «Разведка». Основная задача разведки — сбор целевой приватной информации о жертве. Тут важны все мелочи, которые помогут выявить потенциальные слабые места. В работе могут быть использованы самые нетривиальные подходы для получения закрытых первичных данных, например социальная инженерия. Мы приведем несколько техник социальной инженерии и иных механизмов разведки, применяемых на практике.

Способы проведения разведки:

Существует подход с поиском недавно уволенных сотрудников компании. Бывший сотрудник компании получает приглашение на обычное собеседование на очень заманчивую позицию. Мы знаем, что опытный психолог-рекрутер в состоянии разговорить почти любого сотрудника, который борется за позицию. От таких людей получают достаточно большой объем информации для подготовки и выбора вектора атаки: от топологии сети и используемых средств защиты до информации о частной жизни других сотрудников.

Бывает, что киберпреступники прибегают к подкупу нужных им людей в компании, владеющих информацией, либо входят в круг доверия путем дружеского общения в общественных местах.

В этом примере хакеры используют недобросовестное отношение компаний к бумажным носителям информации — их выбрасывают на помойку без правильного уничтожения, а среди мусора могут быть найдены отчеты и внутренняя информация, или, например, сайты компаний могут содержать реальные имена сотрудников в общем доступе. Полученные данные можно будет комбинировать с другими техниками социальной инженерии.

В результате этой работы организаторы атаки могут получить достаточно полную информацию о жертве, включая:

  • имена сотрудников, email, телефон;
  • график работы подразделений компании;
  • внутреннюю информацию о процессах в компании;
  • информацию о бизнес-партнерах.

Государственные порталы закупок также являются хорошим источником получения информации о решениях, которые внедрены у заказчика, в том числе о системах защиты информации.

На первый взгляд приведенный пример может показаться несущественным, но на самом деле это не так. Перечисленная информация с успехом применяется в методах социальной инженерии, позволяя хакеру легко входить в доверие, оперируя полученной информацией.

  • Телефонные звонки от имени внутренних сотрудников.
  • Социальные сети.

Используя социальную инженерию, можно добиться значительного успеха в получении закрытой информации компании: например, в случае телефонного звонка злоумышленник может представиться работником информационной службы, задать правильные вопросы или попросить выполнить нужную команду на компьютере. Социальные сети хорошо помогают определить круг друзей и интересы нужного человека, такая информация может помочь киберпреступникам выработать правильную стратегию общения с будущей жертвой.

Стратегия является обязательной в реализации успешной целевой атаки, она учитывает весь план действий на всех стадиях атаки:

  • Описание этапов атаки: проникновение, развитие, достижение целей.
  • Методы социальной инженерии, используемые уязвимости, обход стандартных средств безопасности.
  • Этапы развития атаки с учетом возможных внештатных ситуаций.
  • Закрепление внутри, повышение привилегий, контроль над ключевыми ресурсами.
  • Извлечение данных, удаление следов, деструктивные действия.

Создание стенда

Опираясь на собранную информацию, группа злоумышленников приступает к созданию стенда с идентичными версиями эксплуатируемого ПО. Полигон, дающий возможность опробовать этапы проникновения уже на действующей модели. Отработать различные техники скрытого внедрения и обхода стандартных средств защиты информации. По сути, стенд служит главным мостом между пассивной и активной фазами проникновения в инфраструктуру жертвы. Важно отметить, что создание подобного стенда обходится недешево для хакеров. Затраты на выполнение успешной целевой атаки возрастают с каждым этапом.

Разработка набора инструментов

Перед киберпреступниками встает непростой выбор: им важно выбрать между финансовыми затратами на покупку уже готовых инструментов на теневом рынке и трудозатратами и временем для создания собственных. Теневой рынок предлагает достаточно широкий выбор различных инструментов, что значительно сокращает время, за исключением уникальных случаев. Это второй шаг, который значительно выделяет целевую атаку как одну из самых ресурсоемких среди кибератак.

Рассмотрим набор инструментов в деталях. Как правило, Toolset состоит из трех основных компонентов:

  1. Командный центр, или Command and Control Center (C&C)

Основой инфраструктуры атакующих являются командно-контрольные центры C&C, обеспечивающие передачу команд подконтрольным вредоносным модулям, с которых они собирают результаты работы. Центром атаки являются люди, проводящие атаку. Чаще всего центры располагаются в Интернете у провайдеров, предоставляющих услуги хостинга, колокации и аренды виртуальных машин. Алгоритм обновления, как и все алгоритмы взаимодействия с «хозяевами», может меняться динамически вместе с вредоносными модулями.

  1. Инструменты проникновения решают задачу «открытия двери» атакуемого удаленного хоста:
  • Эксплойт (Exploit) — вредоносный код, использующий уязвимости в программном обеспечении.
  • Валидатор — вредоносный код применяется в случаях первичного инфицирования, способен собрать информацию о хосте, передать ее С&C для дальнейшего принятия решения о развитии атаки либо полной ее отмене на конкретной машине.
  • Загрузчик (Downloader) модуля доставки Dropper. Загрузчик крайне часто используется в атаках, построенных на методах социальной инженерии, отправляется вложением в почтовых сообщениях.
  • Модуль доставки Dropper.

Вредоносная программа (как правило, троян), задачей которой является доставка основного вируса Payload на зараженную машину жертвы, предназначена для:

  • Закрепления внутри зараженной машины, скрытой автозагрузки, инжектирования процессов после перезагрузки машины.
  • Inject в легитимный процесс для закачки и активации вируса Payload по шифрованному каналу либо извлечение и запуск зашифрованной копии вируса Payload с диска.

Исполнение кода протекает в инжектированном легитимном процессе с системными правами, такая активность крайне сложно детектируется стандартными средствами безопасности.

Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных дополнительных модулей, каждый из которых будет выполнять свою функцию:

  • Клавиатурный шпион.
  • Запись экрана.
  • Удаленный доступ.
  • Модуль распространения внутри инфраструктуры.
  • Взаимодействие с C&C и обновление.
  • Шифрование.
  • Очистка следов активности, самоуничтожение.
  • Чтение локальной почты.
  • Поиск информации на диске.

Как мы видим, потенциал рассмотренного набора инструментов впечатляет, а функционал модулей и используемых техник может сильно отличаться в зависимости от планов целевой атаки. Данный факт подчеркивает уникальность такого рода атак.

Подводя итог, важно отметить рост целевых атак, направленных против компаний самых различных секторов рынка, высокую сложность их обнаружения и колоссальный урон от их действий, который может быть обнаружен спустя длительный срок. По статистике «Лаборатории Касперского», в среднем обнаружение целевой атаки происходит спустя 200 дней с момента ее активности, это означает, что хакеры не только достигли своих целей, но и контролировали ситуацию на протяжении более чем полугода. Также организации, выявившие факт присутствия APT в своей инфраструктуре, не способны правильно реагировать и минимизировать риски и нейтрализовать активность: такому просто не обучают персонал, отвечающий за информационную безопасность. Вследствие этого каждая третья компания не на одну неделю приостанавливает свою деятельность в попытках вернуть контроль над собственной инфраструктурой, затем сталкиваясь со сложным процессом расследования инцидентов.

Потери в результате крупного инцидента составляют в среднем по миру $551 тыс. для корпорации: в эту сумму входят упущенные для бизнеса возможности и время простоя систем, а также расходы на профессиональные сервисы для ликвидации последствий. Таковы данные, полученные в ходе исследования «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» и B2B International в 2015 году. В исследовании приняли участие более 5500 IT-специалистов из 26 стран мира, включая Россию.

Основные риски в секторах индустрии

Что же представляет собой таргетированная атака?

Таргетированная атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, управляемый киберпреступником в режиме реального времени. Процесс всегда строится под жертву, являясь некой продуманной операцией, а не просто разовым техническим действием, он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом). Такая операция обычно управляется организованной группой профессионалов, порой международной, вооруженной изощренным техническим инструментарием. Деятельность группы часто похожа на многоходовую войсковую операцию, она следует четко подготовленной стратегии, обычно состоящей из четырех фаз.

Продолжая аналогию, можно сказать, что происходит вооруженная схватка между людьми: одни нападают, другие отражают хорошо подготовленное нападение, учитывающее слабые стороны и особенности систем противодействия.

И статистика здесь в этом противостоянии неутешительна: по данным проведенного «Лабораторией Касперского» опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

Используя накопленную за последние годы экспертизу «Лаборатории Касперского» в расследовании целевых атак, в продолжении нашего цикла статей мы опишем детальное развитие атаки, следуя четырем ее вышеописанным фазам с реальными примерами, рассмотрим функциональное применение инструментов в комбинации с различными техниками социальной инженерии.

1. Подготовка

Основные задачи начальной фазы атаки, подтверждающие ее определение как целевой:

  • Поиск и определение цели с последующим сбором детальной информации по выявлению слабых мест.
  • Анализ собранной информации, разработка стратегии по достижению результата, дополняется созданием инструментов.

2. Проникновение

По совокупности применяемых техник фаза «Проникновение» является для киберпреступников одной из самых сложных в исполнении и реализации.

Большинство инженеров информационной безопасности затруднялись с ответом, когда их просили перечислить применяемые средства и методы проникновения в инфраструктуру. Давайте сформулируем ответ вместе. Для этого вначале приведем наименование основных технических средств с описанием их основных функций:

Вредоносный код, использующий уязвимости в программном обеспечении. Основной инструмент проникновения, средствами доставки которого являются электронная почта, компрометированные веб-сайты и USB-устройства.

Проникнув благодаря уязвимости на целевой корпоративный компьютер, эксплойт запускает средство доставки, тип которого зависит от дизайна атаки: это могут быть валидатор, загрузчик или dropper.

Сборщик информации с зараженного хоста, выполняет фильтрацию информации об учетных записях пользователей, установленном программном обеспечении, активных процессах и средствах защиты. Передает шифрованные данные в центр управления. В зависимости от полученной информации хакеры принимают решение о дальнейшем развитии атаки, выбрав соответствующую команду:

  • Загрузка Dropper — приступить к выполнению целевой атаки.
  • Самоуничтожение — в случаях, когда компьютер и данные на нем не представляют ценности для целевой атаки.
  • Ожидание — решение откладывается, режим «сна».

Обладая минимальным размером и функционалом, валидатор не несет в себе уникальной информации о целевой атаке и ее организаторах. В случае если он перехватывается средствами защиты, это не создает для киберпреступников угрозы утечки методов и средств, планируемых к применению.

Благодаря таким качествам может применяться в случаях, когда:

  • Риск обнаружения стандартными средствами защиты велик, для исключения возможной утечки применяемых техник в целевой атаке.
  • Целевая почтовая рассылка.

Средства доставки: электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства.

Инструмент загрузки используется в целях быстрого заражения с применением техники фишинга через вложения в письмах либо с фишинговых веб-сайтов. При запуске выкачивает основной модуль Payload либо Dropper в зависимости от целей и планов киберпреступников.

Это троянская программа, которая осуществляет доставку основного вредоносного модуля Payload на целевую машину с последующим закреплением внутри операционной системы, как правило, это скрытая автозагрузка.

  • Определяет активные процессы в операционной системе, выбирая наиболее выгодный с точки зрения привилегий, и инжектирует собственный код в код активного процесса непосредственно в оперативной памяти, что позволяет ему получить все уровни доступа к ресурсам операционной системы, не вызывая подозрений у средств защиты.
  • Загружает тело основного модуля Payload.
  • Выполняет частичную дешифрацию и запуск основного модуля.

Средствами доставки могут являться электронная почта, скомпрометированные веб-сайты, в редких случаях USB-устройства, а также основные описанные ранее загрузчики (эксплойт, валидатор).

Основной модуль в целевой атаке может обладать самым различным вооружением, которое зависит от поставленной цели и задачи.

Тело модуля содержит многоуровневое шифрование, призванное защитить разработки и технологии киберпреступников и детектирование атаки. При первом запуске Dropper дешифрует только ту часть кода, которая содержит техники проверки, призванные обеспечить гарантированный запуск модуля в подходящей для него среде и не допустить запуска, если среда не удовлетворяет требованиям. Среди не подходящих для модуля условий можно назвать:

  • Поведенческий анализ в песочнице (Sandbox).
  • Эмуляторные техники в случаях, когда антиэмуляторные механизмы не срабатывают.
  • Наличие отладчика и любого другого средства работы вирусного аналитика.
  • Наличие средств мониторинга системы и сетевого трафика.
  • Наличие неизвестного антивируса, не попадающего под используемые техники обхода.

У вас может возникнуть ложное ощущение, что все перечисленные средства применяются в каждой целевой атаке, но это не так. В случае гипотетической атаки на компанию «А» хакеры будут использовать конкретный набор инструментов. Он может состоять из одного Dropper с основным модулем Payload. Весь перечень инструментов, приведенный выше, лишь демонстрирует разнообразие технологий в арсенале киберпреступников.

Перейдем к применяемым техникам обхода стандартных средств защиты, таких как: Firewall, IPS, Blacklisting/Whitelisting, контроль приложений и антивирус.

Обход стандартных средств защиты

На сегодняшний день стандартные решения информационной безопасности обладают большим количеством функций, обеспечивающих высокий уровень по контролю и фильтрации данных. Этот факт сильно усложняет работу киберпреступников и вынуждает их изобретать и использовать различные техники, позволяющие обмануть либо обойти защитные механизмы.

Опишем наиболее известные из них:

Запутывание кода на уровне алгоритма при помощи специальных компиляторов для усложнения его анализа антивирусом.

Многоуровневое шифрование применяется для сокрытия части кода от детектирующих механизмов. Часто обфускация применяется с частичным многоуровневым шифрованием кода.

Техника по динамическому внедрению собственного кода в чужой процесс. Позволяет использовать все привилегии легитимного процесса в своих целях, не обращая на себя внимание установленных средств защиты. Данный метод позволяет обойти различные системы контроля безопасности, в том числе контроля приложений. Инжектирование применяется на уровне Windows API:

  • Определение дескриптора нужного процесса.
  • Создание нового потока в виртуальном пространстве процесса.

Инструмент перехвата паролей открытых сессий в Windows, реализующий функционал Windows Credential Editor. Способен извлекать аутентификационные данные залогинившегося в системе пользователя в открытом виде. Из практики «Лаборатории Касперского» каждая целевая атака строится на повышении прав доступа и реализуется под правами суперпользователя.

Это средство используется для обхода защиты, закрепления во взломанной системе и сокрытия следов присутствия. Для Unix-среды пакет утилит (который включает также сканер, сниффер, кейлоггер) содержит и троянские программы, которые заменяют собой основные утилиты Unix. Для Windows пакет перехватывает и модифицирует низкоуровневые API-функции, позволяя маскировать свое присутствие в системе (скрывая процессы, файлы на диске, ключи в реестре). Многие руткиты устанавливают в системы свои драйверы и службы (они также являются «невидимыми»). Руткит также может быть использован как средство доставки, способный выгрузить все необходимое хакеру после заражения машины.

Антивирусный эмулятор проверяет исполняемый файл в изолированной среде, анализируя логику его работы. Обнаружение вредоносного кода происходит сигнатурным либо эвристическим методом. Хакеры используют различные практики по изменению алгоритма кода, не позволяя эмулятору определить логику выполнения зловредной программы.

  • Обход поведенческого анализа

Такой метод детектирования применяется песочницей в целях обнаружения угроз нулевого дня. Так как время проверки песочницей ограничено ее функциональными возможностями, хакеры используют замедлитель, и исполняемый код «засыпает» на некоторое время, чтобы предотвратить обнаружение.

Важно отметить факт присутствия уязвимостей в различном программном обеспечении, в первую очередь от известных производителей. Зачастую эксплуатирующий персонал не отслеживает бюллетени безопасности производителей и не устраняет проблемы своевременно, оставляя хакерам шанс на проникновение.

Эксплуатация уязвимостей

Само определение уязвимости говорит о потенциальном недостатке в программном обеспечении. Такое случается вследствие просчетов проектирования либо допущенных ошибок разработчиками ПО, ведь программы пишут люди. Этот недостаток может быть использован киберпреступником в собственных целях. Уязвимость эксплуатируется через внедрение кода в уже запущенную ОС или программу — таким образом изменяется штатная логика работы ПО, что позволяет злоумышленникам выполнять недекларированные функции, зачастую с правами администратора.

Уязвимости программного обеспечения можно разделить на два типа:

  • Известные — имеющие стандартно классифицированное CVE (Common Vulnerabilities and Exposures) описание и готовые исправления в обновлениях разработчика. CVE — открытая база известных уязвимостей.
  • Неизвестные, или уязвимости нулевого дня, не устраненные и еще не обнаруженные разработчиками и исследователями угрозы. Такого рода угрозы являются неплохим заработком для черных исследователей, зарабатывающих на продаже выявленных уязвимостей на хакерских рынках.

Приведем несколько примеров эксплуатации уязвимости в процессе проникновения в инфраструктуру:

Переполнение буфера (buffer overflow) — может вызывать аварийное завершение или зависание программы (отказ в обслуживании). Отдельные виды переполнений позволяют злоумышленнику загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, под которой эта программа запущена. Например, пользователь с правами администратора на своем компьютере может получить письмо с вложенным PDF-документом, в который будет вшит эксплойт. При открытии или предварительном просмотре приложенного документа запустится процесс переполнения буфера, что позволит злоумышленнику получить права локального администратора на этом компьютере.

  • USB-устройства в сочетании с уязвимостью и методом социальной инженерии

Пример заражения через подключенные USB-устройства чрезвычайно прост в реализации. Например, известны случаи, когда в офисе компании (на парковке, у входа, в лифте) были разбросаны инфицированные USB-флешки с документом под заманчивым для простого сотрудника наименованием (годовой отчет, финансовый план), в который был вшит эксплойт.

Второй пример еще более простой: злоумышленник приходит на собеседование в целевую компанию и просит секретаря распечатать резюме, которое он якобы забыл, с его флеш-карты.

  • Целевой фишинг (Spear phising) в сочетании с социальной инженерией

Абсолютно все современные компании используют специализированные средства контроля электронной почты. Наличие таких сервисов, как антиспам и антивирус, является обязательным условием для работы корпоративной почты. Многие пользователи привыкли доверять входящей корреспонденции, прошедшей, как они предполагают, профессиональную проверку специализированными средствами контроля безопасности. К сожалению, это не относится к социальной инженерии, когда хакеры целенаправленно готовят письма для обхода фильтров и антивируса.

Так, секретарь может получить электронное письмо с вложением якобы от своего руководства либо партнера (киберпреступники могут подделать адрес отправителя или просто сделать его похожим на нужный email, видоизменив один символ). При открытии или предварительном просмотре документа произойдет инфицирование любым из описанных выше инструментов с вытекающими последствиями развития атаки.

Разновидности использования почты как точки входа:

  • Подделка/имитация адреса отправителя.
  • Опасное вложение (различные документы и изображения с вшитым эксплойтом).
  • Ссылка на HTML-страницу с заранее размещенным инструментом проникновения.

По данным исследования «Лаборатории Касперского», среди российских компаний ключевыми рисками внутри по-прежнему остаются уязвимости в ПО (их отметили 48% от общего числа опрошенных компаний), а также незнание правил IT-безопасности сотрудниками, приводящее к утечкам данных (отметили 37% респондентов). Исходя из этого мы приравниваем методы социальной инженерии к угрозам не меньшим по важности, чем программные.

Комбинированные техники

Каждые организаторы целевой атаки используют комбинированный подход, включающий различные технические средства для реализации проникновения. Очевидный пример — когда хакер делал рассылку по электронным адресам сотрудников компании, предварительно войдя в контакт с ними в социальной сети под вымышленным именем и собрав данные о них. Это комбинация методов социальной инженерии с фишингом.

Когда мы говорим о комбинировании инструментов, то уместно провести аналогию со швейцарским ножом, который объединяет несколько лезвий, отверток и так далее, что придает ему высокую универсальность. Эксплойт, сформированный аналогично швейцарскому ножу, может содержать большой набор уязвимостей и применять их последовательно. При этом часть инструментов по проникновению может сочетаться с легальным ПО, что позволяет минимизировать обнаружение атаки, так как доверенные программы внесены в «белые списки» систем безопасности. Для наглядности приведем несколько примеров таких программ:

  • Продукты удаленного администрирования, RDP, VNC.
  • Программы переключения языков клавиатуры, имеющие возможность легитимно использовать логирование клавиатуры.
  • Сетевые сканеры и т.д.

Инвентаризация сети

После выполнения автоматических уклонений от обнаружения и системных тестов на соответствие операционной среде Payload активирует основные функциональные модули, устанавливая закрытое шифрованное соединение с командными центрами и сигнализируя о своем активном статусе. На этой стадии киберпреступники приступают к консольной работе, используя терминал подконтрольной машины. Им очень важно быстро сориентироваться внутри, чтобы сохранить свое присутствие и закрепиться в сети. Первоочередным по важности является поднятие уровня доступа до привилегированного, после чего сразу же начинается изучение топологии сети. Для выполнения этой задачи обычно применяют свободно распространяемое ПО, например Netscan.

Приведем примеры проникновения из реальных атак.

Распространение

Опираясь на собранные данные по топологии сети, злоумышленники проводят ручной отбор ключевых рабочих станций и серверов. Выбранные машины киберпреступники берут под свой контроль и используют под новые задачи. На этом шаге хакеры уже имеют административные права, и все их действия по отношению к системам безопасности абсолютно легальны. Используя стандартные средства удаленного доступа, они выбирают наиболее удобные с точки зрения их задач сервера и рабочие станции.

Шаг 1. Закрепление внутри инфраструктуры

Под закреплением понимается комплекс мероприятий, направленных на организацию гарантированного доступа в инфраструктуру жертвы. Дело в том, что первичной точкой проникновения являются, как правило, компьютеры сотрудников с фиксированным рабочим графиком, а это означает, что время доступа в инфраструктуру для злоумышленников будет ограниченным.

Лучше всего этапы закрепления проиллюстрируют примеры из реальных кибератак, расследованных экспертами «Лаборатории Касперского».

В этой кампании киберпреступники использовали подписанный компанией Foxconn сертификат (Foxconn — известный производитель оборудования). Хакеры создали клон библиотеки DLL, которая присутствовала на компьютере жертвы и после модификации стала выполнять роль загрузчика Payload. Это позволяло загружать вредоносный модуль при включении компьютера и выгружать его при выключении. Тем самым злоумышленники не оставляли следов на жестких дисках зараженных машин, но при этом сохраняли свое присутствие внутри, распространяя такой метод внутри инфраструктуры. Для основной точки входа использовался главный контроллер домена компании.

Закрепление происходило методом копирования Payload в системную папку %system32%com с именем svchost.exe, при этом файлу назначались следующие атрибуты: системный, скрытый, только для чтения. Для автозапуска использовался специально созданный сервис со схожим системным именем, отличающийся одной точкой.

Шаг 2. Распространение

Значимым аспектом является наличие постоянных активных точек входа, обычно для этого используются сервера с малым временем простоя, хорошо подходящие для выполнения одного из правил целевой атаки «Persistent». На таком уровне для заражения достаточно подключиться к выбранной машине удаленным RDP-клиентом и запустить вредоносный модуль, предварительно скопировав его одним кликом мыши.

Шаг 3. Обновление

Случается, когда определенная функция отсутствует в арсенале уже задействованного в атаке основного модуля (например, такой функцией может являться запись звука с внешнего микрофона). Возможность обновить модуль заранее предусмотрена разработчиком атаки и может быть при необходимости активирована.

Шаг 4. Поиск ключевой информации и методов достижения целей

Выполнение этапа может сильно варьироваться по времени, ведь информация может быть разной. Если целью киберпреступников является, например, финансовая информация, сконцентрированная в одной системе, то это сильно упрощает им задачу. Но если целью является шпионаж и долгосрочный сбор разрозненных данных, то и количество устройств, хранящих нужную хакерам информацию, существенно возрастает, что влияет на сроки обнаружения целей и на продолжительность этапа.

Приведем пример из Carbanak:

Ключевой информацией для киберпреступников являлась работа кассиров-операционистов банка, которые совершали платежные операции. Дело в том, что киберпреступники не обладали опытом работы с платежными системами. Помимо вычисления и распространения на машины кассиров-операционистов ими был применен метод записи экранов их работы в целях обучения. Это заняло довольно продолжительное время и увеличило по срокам подготовительный этап.

Достижение целей

Шаг 1. Выполнение вредоносных действий

В завершающей фазе мы подходим к ключевой точке целевой атаки. На этом этапе киберпреступники уже могут выполнить любое действие, направленное против атакуемой компании. Перечислим основные типы угроз.

Пример 1. Хищение ключевой информации

Чаще всего компании сталкиваются с хищением информации. В коммерции это целый бизнес, основанный на конкуренции и больших деньгах. В государственных структурах это шпионаж, реже получение информации, содержащей конфиденциальные данные, для последующей перепродажи. В финансовом секторе это информация о платежных и биллинговых системах, счетах крупных клиентов и другая финансовая информация для проведения незаконных транзакций.

Само хищение происходит максимально незаметно для систем мониторинга компании, маскируя сетевую активность под работу известного интернет-сервиса с наименованием домена, сильно напоминающим реальное название. Обычно это выглядит как активная шифрованная сессия, где веб-адрес часто похож на популярные сетевые ресурсы (например, почтовые сервисы, поисковики или новостные сайты).

Пример 2. Изменение данных

Целевая атака Metel, от которой пострадали сотни финансовых организаций: киберпреступники, используя контроль над платежной системой, изменяли доступный кредит на балансе кредитной карты, тем самым позволяя сообщнику несколько раз обналичивать средства с одной и той же карты.

А в случае киберограбления Carbanak хакеры, изучив работу операционистов, действовали от имени сотрудников, используя онлайн-банкинг для перевода средств на подконтрольные киберпреступникам счета. Также они удаленно управляли конкретными банкоматами, отправляя команды на выдачу наличных средств, в то время как сообщник даже не вставлял в банкомат никаких карточек.

При этом если смотреть со стороны самих компаний, то статистика «Лаборатории Касперского» говорит о том, что в организациях наиболее серьезными последствиями киберинцидентов признаются потеря доступа к критически важной для бизнеса информации (59% российских компаний отметили этот фактор), репутационный ущерб (50%) и потеря важных деловых контактов или бизнес-возможностей (34%).

Пример 3. Манипуляции с бизнес-процессами и шантаж

Наглядный пример произошел с компанией Sony Pictures, которая подверглась таргетированной атаке в 2014 году. В результате были похищены тысячи файлов и документов, финансовые данные, а также к киберпреступникам в руки попали фильмы, готовящиеся к прокату. В компании рассказали, что большинство ее компьютеров вышли из строя, а на экранах рабочих станций отображалась фраза «Мы завладели вашими секретами». Все данные на жестких дисках рабочих компьютеров были стерты, киберпреступники грозились опубликовать информацию, если компания не подчинится их требованиям.

Уничтожение данных — другой, нечасто встречающийся пример развития целевой атаки. В августе 2012 года порядка 30 тысяч персональных компьютеров, принадлежащих крупнейшей в мире нефтедобывающей компании Saudi Aramco, были выведены из строя. Киберпреступники преследовали две цели: первая — хищение закрытой информации, вторая — полная остановка бизнес-процессов компании. В результате атаки компания была вынуждена почти на месяц прекратить свою операционную деятельность, отключив филиалы от сети Интернет.

Шаг 2. Сокрытие следов

На протяжении всей целевой атаки киберпреступники стараются маскировать свое присутствие под легитимный процесс, в крайних случаях, когда это невозможно, хакеры вручную очищают журналы событий. Как правило, большая часть активности протекает под административным доступом, не вызывая подозрения.

Шаг 3. Точка возврата

На финальном этапе атаки многие киберпреступники стараются оставить внутри средство, позволяющее им в случае необходимости вернуться обратно в инфраструктуру. Таким средством обычно является управляемый загрузчик, способный по команде закачать исполняемый модуль.

В завершение еще раз подчеркнем три основных отличия целевой атаки:

  • Адресность
  • Скрытность
  • Результативность

APT

APT (Advanced persistent threat) — комбинации утилит, вредоносного ПО, механизмов использования уязвимостей нулевого дня и других компонентов, специально разработанных для реализации атаки.

Целенаправленная, или таргетированная, атака — это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не просто разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом).

По данным проведенного «Лабораторией Касперского» опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения:

  • Адресность
  • Скрытность
  • Продолжительность
  • Использование разнородных инструментов и методов
  • Изменчивость вектора атаки, ее инструментария по мере развития
  • Наличие центра управления атакой — преступной группы, в составе которой есть и профессиональные IT-эксперты

Возникает вопрос о возможных способах противодействия такой операции. Ниже мы предложим комплексный подход, который призван помочь в решении этой непростой задачи.

Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.

Стратегия противодействия целевым атакам

Комплексная стратегия включает четыре важных элемента системы защиты, которые описаны далее. Мы приводим их в порядке, которому по нашему опыту на практике следуют компании по мере роста зрелости их систем.

А. Предотвращение. Целью является недопущение начала и развития атаки.

Б. Обнаружение. Исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину.

В. Реагирование. В случае подтверждения факта атаки определяются последствия и шаги по их устранению.

Г. Прогнозирование. Цель — реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки.

Предотвращение таргетированной атаки

Главная цель — не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер — хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию или запуск какого-то процесса в инфраструктуре, и обучение.

Технические средства

Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, «классика» может оказать посильную помощь. Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (black & whitelisting) приложений.

Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия, — воспроизводится вероятная конфигурация межсетевого экрана, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, использующая решения от различных производителей, регулярно обновляемая, проходящая health-check хотя бы раз в год, остается важным участком обороны, в ряде случаев позволяющим остановить саму попытку атаки.

Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим:

  • Таргетированная атака Carbanak, направленная на финансовые учреждения, кумулятивный приблизительный ущерб от которой составил $1 млрд. Многие из пораженных банков не имели сегментации внутренней сети, сеть управления банкоматами была доступна из корпоративной сети, чем воспользовались киберпреступники.

Использование сетевых экранов для сегментации сети и межсегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании.

  • Таргетированная атака Hellsing, направленная на шпионаж в правительственных структурах, использовала в своем развитии целенаправленный фишинг — распространение писем с вложением, в котором находился запароленный архив. Это позволяло надежно обходить традиционные средства защиты, основанные на проверке вложений. Внутри архива содержались PDF-файлы с вложенным бэкдором.

Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус), тем самым усложнит организацию целевой вредоносной рассылки.

Важно отметить, что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус хоть и относится к превентивной группе, но обладает рядом подобных технологий, относящихся к категории machine learning, или самостоятельного обучения. Одной из таких технологий в составе продуктов «Лаборатории Касперского» является технология Automatic Exploit Prevention (AEP) по защите от эксплуатации уязвимостей в приложениях. Технология основывается на глубоком анализе процесса работы ПО, относящегося к группе риска (повышенного внимания хакеров), а также окружения операционной системы в целом. Технология анализа поведения выявит попытку эксплуатации уязвимости, так как она проанализирует непосредственный процесс работы.

Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патч-менеджмента как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.

Обучение в целях повышения грамотности в области ИБ

Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа в инфраструктуру. Минимизация пробелов в знаниях по информационной безопасности позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека без применения технических средств и для чего используются целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение.

Из проведенного в 2015 году «Лабораторией Касперского» исследования видно, что ключевыми рисками внутри компании по-прежнему остаются уязвимости в ПО (48% от общего числа опрошенных компаний) и незнание сотрудниками правил IT-безопасности, приводящее к случайным утечкам данных (37% от общего числа опрошенных компаний). Эти две проблемы чаще других приводят к потере конфиденциальных данных.

Для того чтобы приносить реальную пользу в отражении атак, такое обучение «кибергигиене» должно охватывать важнейшие области знаний, представление о которых должен иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности:

  • назначение антивируса и контроля приложений;
  • уведомления систем безопасности — как на них реагировать;
  • понимание проблемы утечки данных;
  • риски при использовании мобильных устройств;
  • угрозы при работе с электронной почтой и Интернетом;
  • социальные сети и риски работы в них;
  • методы социальной инженерии;
  • развитие бдительности;
  • политика ИБ и как ее можно нарушить.

Итак, эффективное сочетание классических превентивных решений защиты с обученным основам кибербезопасности персоналом усложняет задачу атакующему. Но что делать, если атаке удалось «зацепиться» в сети и начать развитие? Увы, практически всегда организации в какой-то момент понимают, что предотвратить и исключить атаку полностью почти невозможно.

Детектирование

Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:

  • Тренинги и иные способы повышения экспертизы. Специалисты ИБ имеют достаточно глубокие представления о природе и особенностях таргетированных атак, постоянно повышают уровень своих знаний, в чем организация их всячески должна поддерживать.
  • SIEM как автоматизация обработки событий безопасности.
  • Внешние источники информации об угрозах, или Threat Intelligence. Поставки актуальной информации об угрозах в виде фидов (потоков данных), списков IoC, отчетов.
  • Системы с динамическим анализом исполнения. Специализированные средства выявления признаков таргетированной атаки.
  • Сервисы по выявлению атак с проведением регулярных проверок.

Обеспечение экспертизы

Первым условием является профессиональное обучение расследованию целевых атак — специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу.

Курс затрагивает следующие аспекты:

  • что такое инциденты информационной безопасности и их категоризация;
  • как проводить сбор свидетельств инцидента;
  • изучение прикладной науки — «криминалистика компьютерных преступлений (Digital Forensics)»;
  • как правильно применять специализированные инструменты.

По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.

Автоматизация обработки событий безопасности

Развитие информационной безопасности подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных IT-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий — менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and event management) — по управлению событиями информационной безопасности, которая призвана решать следующие задачи:

  • сбор, объединение, хранение событий, получаемых от различных источников;
  • оперативное обнаружение нарушений политик ИБ;
  • автоматическое оповещение и управление инцидентами;
  • формирование базы знаний по инцидентам;
  • предоставление отчетности для аналитиков.

За последние 15 лет SIEM получила широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки (настройки), описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером.

Недостатком SIEM является обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно просто устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и их векторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно.

Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку: например, о действующих командных центрах ботнетов или фишинговых сайтах.

Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM:

  • Учетная запись сотрудника Иванова была использована на его рабочей машине в рабочие часы. В то же время пропускная система не имела записей о приходе сотрудника на работу (карточка не активирована), следовательно, коррелятор, сопоставив оба события, создаст инцидент ИБ.
  • Три неправильные попытки входа в день с определенного хоста на протяжении определенного периода.
  • Множественные RDP-соединения с рабочей машины, где ранее удаленный доступ не использовался.
  • Всплеск сетевого трафика между различными узлами в нерабочие часы.

Threat Intelligence — данные об актуальных угрозах ИБ

Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить три источника оперативных данных об угрозах:

  • потоки данных (Threat Data Feeds);
  • отчеты, содержащие детали конкретных целевых атак или механизмов, задействованных для их реализации;
  • мониторинг активности ботнет-сетей.

Потоки данных (Threat Data Feeds)

За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят из аналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий. Например, «Лаборатория Касперского» детектирует и описывает свыше 315 тысяч уникальных угроз в день, большая часть которых попадает в поток данных.

Ввиду непрерывности процесса описания новых угроз лучшим способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation — простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид, под конкретное решение, благодаря использованию парсера (программы для считывания и обработки текстовых данных).

Фактически поток данных (data feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются в имеющихся средствах защиты, например SIEM.

Поток данных является неотъемлемой частью любого SOC (Security operational center, ситуационный центр управления безопасностью).

Что может содержать в себе поток данных:

  • набор URL-адресов, соответствующих наиболее зловредным ссылкам и веб-сайтам;
  • IP-репутацию — градацию IP-адресов по уровню безопасности;
  • набор файловых хэшей, охватывающий вредоносные программы;
  • активность ботнет-сетей (вредоносные объекты, командные центры).

Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы.

Приведем наглядный пример, на базе обнаруженного командного центра ботнет-сети, ниже вы видите строки, содержащиеся в полученном JSON-пакете:

  • уникальный идентификатор записи — «id»: «143348»;
  • ссылка на домен центра управления «mask»: «botnetccurl.com»;
  • тип записи (применяется для сопоставления правил в корреляторе) «type»: «1»;
  • первый раз, когда был замечен, «first_seen»: «08.04.2014 16:45»;
  • последний раз, когда был замечен, «last_seen»: «12.02.2015 13:56»;
  • популярность (насколько распространен, наивысшая популярность — 5) «popularity: «5»;
  • наименование угрозы «threat»: «CnC.Win32.ZBot».

После того как информация из полученного JSON-пакета при помощи парсера будет добавлена в SIEM, любое обращение на домен «botnetccurl.com» из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Что тем самым позволит обнаружить возможные инфицированные машины внутри компании.

Отчеты об APT

Помимо потоков данных на рынке существует возможность получать детализированные отчеты.

Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SoC и командой аналитиков.

APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными и состоят из нескольких типов файлов:

  • IOC — индикатор компрометации, описание вредоносных объектов;
  • YARA — набор детектирующих правил;
  • детальный отчет, содержащий анализ (фазы развития) атаки.

Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы.

Например, подобные публичные отчеты можно найти на www.securelist.ru.

Анализ активности ботнет-сетей

В последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения malware (PC), драйвером бурного роста выступили решения класса «Интернет вещей» (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к Интернету и обладают достаточным запасом производительности.

Почему стоит обращать внимание на активность ботнет-сетей в разрезе профилактики таргетированной атаки?

Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком).

Так же через ботнет-сети часто осуществляют DDoS-атаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса.

Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания:

  • В 2011 году, кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.
  • В 2015 году, таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберприступники применили масштабную DDoS-атаку на внешние веб-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.
Из проведенного в 2015 году «Лабораторией Касперского» исследования, 26% опрошенных компаний, подвергшихся DDoS-атакам, сообщили об утечке закрытой информации, что подтверждает применение DDoS-атаки как инструмента для отвлечения внимания.

Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.

Мониторинг ботнет-сетей

Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах:

  1. В составе потока данных (data feed), предоставляя комплексную информацию по всем известным ботнет-сетям со всего мира.
  2. Детальный отчет, информирующий компанию перед началом попытки реализации атаки на корпоративные ресурсы.

Каким образом осуществляется мониторинг активности ботнет-сетей?

Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбо-хостами.

Результаты анализа попадают в отчет, который содержит следующую информацию:

  • Тип ботнета – классификация,
  • IP-адреса командных центров,
  • Географическое распределение образцов ПО,
  • Тип атаки – информация о целях и используемом ПО,
  • Сведения об использованных алгоритмах атаки (инъекции веб-кода),
  • MD5 – хэши вредоносного ПО.

Услуга по анализу активности ботнет-сетей, является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.

 Внедрение специализированных систем обнаружения таргетированных атак

Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладающие средствами сбора информации о событиях на разных уровнях инфраструктуры: как на внешнем контуре (веб, e-mail, основной gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.). Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак.

Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты:

  • Сетевые/почтовые сенсоры, позволяющие осуществлять сбор информации с различных контрольных точек;
  • Сенсоры рабочих станций, позволяющие увеличить охват и детализацию анализируемой информации;
  • Компонент динамического анализа объектов;
  • Центр по анализу аномалий – создание типовых шаблонов поведения и контроль отклонений от них;
  • Облачный репутационный сервис — обновляемая в реальном времени база знаний об угрозах в том числе и по компонентам таргетированных атак.

Основные технологии обнаружения следов таргетированной атаки.

Рассмотрим подробней применяемые технологии в системах обнаружения целевой атаки:

Динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница, это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения.

Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя различные техники обхода (Sandbox Evasion).

Приведем пример нескольких Sandbox Evasion техник, когда объект не проявит свою активность:

  • Разрешение экрана не более чем 800x Обычный пользователь не будет использовать такое разрешение в работе,

Наличие установленных программ (определенный инвентарь). Например, любые установленные средства, которые свидетельствуют о наличии виртуальной среды,

  • Отсутствие действий при демонстрации диалогового окна. Нет реакции, следовательно, за машиной никто не работает.
Рекорд последних лет принадлежит предвыборному сайту Дональда Трампа, мощность DDoS-атаки на который составила 602 Gbps.

Поэтому важной особенностью современной песочницы, является ее способность противостоять техникам обхода (Anti-Evasion). Пример Anti-Evasion техник:

  • Эмуляция работы пользователя (движения мышью, работа на клавиатуре),
  • Распознание диалоговых окон, автоматическое действие,
  • Выполнение прокрутки документа на вторую страницу (scroll),
  • Настройка окружения, максимально похожего на реального пользователя.

Анализ аномалий – технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность.

Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.

Пример работы анализатора аномалий:

  • Нетипичное сканирование сети, осуществленное с рабочей станции секретаря.
  • Использование программ удаленного доступа в нерабочие часы либо в определенное повторяющиеся время.
  • Загрузка в сеть большого объема данных.

Внедрение специализированных систем обнаружения таргетированной атаки, позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.

Ботнет представляет собой совокупность компьютеров, зараженных вредоносным кодом и управляемых злоумышленником централизованно.

Сервис по выявлению таргетированной атаки.

В случае подозрения аномальной активности внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого обнаружение следов таргетированной атаки и выработка рекомендаций по их устранению.

Более детально о перечне работ в рамках такого сервиса:

  • Анализ ландшафта угроз, применимо к конкретной компании;
  • Использование специализированных средств для обнаружения следов компрометации;
  • Анализ исходящих сетевых соединений для обнаружения возможных соединений с командными центрами каберпреступников;
  • Использование открытых источников (OSINT);
  • Сбор улик;
  • Анализ улик и реконструкция инцидента (хронология и логика);
  • Анализ вредоносного ПО, использованного в атаке (в случае его обнаружения);
  • Обнаружение вероятной компрометации других систем в окружении;
  • Предоставление рекомендаций по дальнейшим шагам исправления.

Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.

Реагирование

Третьим элементом стратегии является Реагирование. Основная цель заключается в реакции на инцидент информационной безопасности следуя набору принятых процедур, направленных на минимизацию ущерба и устранению последствий.

Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы.

Этапы реагирования включают:

  • Идентификацию;
  • Сдерживание;
  • Лечение;
  • Восстановление;
  • Выводы и профилактика.

В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования в случае APT имеет свою специфику. Нужно принять факт, что если компания является целью для атаки, то рано или поздно атакующей пробьется в инфраструктуру тем или иным образом. Исходя из этого, необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб.

Для наглядности, рассмотрим пример. Допустим атакующий нашел уязвимость в IT-инфраструктуре компании и атакующий получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и, в конце концов, выгружать корпоративные данные на внешние ресурсы. И если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных.

Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделать его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это он может также вычистить следы атаки.

После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить вектора проникновения и распространения. На этом этапе важно понимать, что, если в процессе анализа будут обнаружены не все компоненты и следы компрометации, есть риск, что атакующий сможет остаться в системе, впоследствии изменить свое поведение, и еще долго продолжать свою деятельность.

Поэтому важно формализовать все полученные в результате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак и необходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.

Прогнозирование

Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные вектора угроз для оперативного устранения брешей в системе безопасности. Этап прогнозирования помогает справиться с данной задачей и включает в себя следующий набор услуг:

Тест на проникновение (Penetration test)

В ходе теста моделируется вторая фаза таргетированной атаки «Проникновение», в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.

Оценка уровня защищенности (Security assessment)

На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в инфраструктуре, указав на возможные вектора угроз.

Своевременная оценка уязвимостей (Vulnerability assessment)

Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch management), обеспечивающий своевременное обновление программных продуктов.

Чтобы получить точную оценку угроз для выполнения каждого из этих тестов рекомендуется привлекать высоко квалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.

Аналитический отчет об угрозах информационной безопасности (Threat Intelligence Report)

Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, без взаимодействия с внутренней инфраструктурой компании.

Длительность предоставления сервиса равна одному кварталу, что позволяет определить:

  • Актуальные угрозы;
  • Факты компрометации информационных систем;
  • Наличие потенциальных уязвимостей;
  • Наличие действующего вредоносного ПО.

Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы.

В следующей статье, завершающей материал, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений.

Что должна уметь система выявления таргетированной атаки

Выше мы рассмотрели адаптивную стратегию (Adaptive Security Approach), направленную на профилактику целевой атаки, с учетом использования технических решений и обучения персонала основам грамотности в ИБ.

Были приведены и две важнейших технологии, без которых сложно представить эффективную систему обнаружения следов таргетированной атаки:

  • анализ аномалий – технология, основанная на статистическом анализе информации и учитывающая частоту событий и их последовательность. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности;
  • динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде.

Пришло время перейти непосредственно к архитектуре системы обнаружения следов целевой атаки, уделить внимание ее функционалу, рассмотреть ряд технологий более подробно.

Так что же должна уметь современная система выявления следов таргетированной атаки?

  • Собирать информацию о событиях на разных уровнях инфраструктуры в режиме 24/7;
  • Быстро обнаруживать следы целевой атаки;
  • Уведомлять об инцидентах информационной безопасности;
  • Детально протоколировать выявленные инциденты;
  • Передавать события об инцидентах в систему корреляции событий SIEM и друге решения;
  • Получать статистику угроз через облачную инфраструктуру;
  • Накапливать историческую информацию об инцидентах.

Рассмотрим за счет каких технологий удается достичь результата в обнаружении таргетированной атаки на примере их реализации в решении «Лаборатории Касперского».

На протяжении более чем 20 лет «Лаборатория Касперского» занимается защитой от угроз информационной безопасности, создавая инновационные продукты. На вызов таргетированных атак компания ответила специализированным решением, получившим название Kaspersky Anti Targeted Attack (KATA) Platform. Статью мы посвятим обзору применяемых в решении технологий детектирования, с помощью которых достигается высокая эффективность обнаружения угроз.

Важно отметить

Часть основополагающих технологий детектирования, вошедших в состав решения, были заимствованы и адаптированы с учетом потребностей продукта из внутреннего инкубатора компании. В частности, технологии обнаружения аномалий, подозрительных объектов и поведения более 10 лет успешно применяются для автоматического детектирования неизвестных угроз в аналитическом сердце компании.

[Средняя стоимость восстановления после инцидента, связанного с таргетированной атакой, составляет примерно 1 415 000$ для крупного бизнеса* *Отчет Финансовые аспекты информационной безопасности в российских компаниях, b2b International для «Лаборатории Касперского», 2016]

Напомним, что процесс детектирования таргетированной атаки требует использования специализированных средств с достаточным объемом ресурсов, позволяющих осуществлять распределенный сбор информации о событиях, происходящих на разных уровнях инфраструктуры, анализировать получаемую информацию, выявлять нетипичное поведение, основываясь на собственных шаблонах поведения, создаваемых методами самообучения. Ответим на основные вопросы, позволяющие получить представление о решении.

Какова цель решения?

Целью является непрерывный анализ большого количества событий с применением различных технологий детектирования, что в итоге позволяет решению выявлять инциденты, непосредственно связанные и указывающие на следы таргетированной атаки. Предоставлять высокоуровневую информацию с возможностью глубокой детализации посредством интерактивных визуализированных консолей (dashboard).

Как решение устроено?

Решение осуществляет распределенный мониторинг в реальном времени ключевых точек коммутации ИТ-инфраструктуры компании, а также персональных рабочих станций сотрудников, анализирует обязательные данные и накапливает статистическую информацию, необходимую для построения общей модели поведения ИТ-инфраструктуры. В работе применяется целый класс различных технологий детектирования, а также методы машинного обучения. Решение представлено в виде многоуровневой структуры где каждый уровень отвечает за свой круг задач по анализу информации на основе одной или нескольких технологий детектирования. Система имеет единую точку принятия решений Targeted Attack Analyzer (TAA), который основывается на результатах анализа каждой технологии в отдельности и заводит инциденты с соответствующем уровнем критичности. TAA способен выдавать задания на анализ конкретных подозрительных объектов разным уровням решения. Тем самым TAA объединяет в себе статистический центр и систему контроля процесса анализа.

Какая информация в решении считается обязательной для анализа?

В целях обеспечения комплексного мониторинга, решение анализирует следующую информацию:

  • Посещаемые URL
  • Файлы различных форматов в том числе исполняемые
  • Электронные сообщения и вложения
  • Метаданные траффика
  • Метаданные рабочих станций

Далее мы подробней расскажем про архитектуру решения, и опишем функциональное назначение каждого уровня в отдельности.

Как строится взаимодействие в многоуровневой структуре?

Итак, решение включает четыре уровня анализа, обеспечивающих детектирование угроз. Каждый из уровней является самостоятельной единицей. В ходе работы уровни «делятся» анализируемой информацией между собой. Вердикты передаются в Targeted Attack Analyzer, который в свою очередь осуществляет глобальный контроль над логикой процессов анализа и заведением инцидентов информационной безопасности.

  1. Уровень сбора информации;
  2. Статический анализ;
  3. Динамический анализ объектов;
  4. Статистический анализ;

Рассмотрим применяемые технологии на каждом из уровней решения.

Уровень 1 – Сбор информации

Первый уровень отвечает за сбор информации с ключевых точек ИТ-инфраструктуры, необходимой для выполнения процесса непрерывного мониторинга. Ключевыми точками являются основные места ИТ-коммутации компании (пограничные маршрутизаторы, сервера электронной почты), а также рабочие станции сотрудников. Таким образом собирается наиболее полный набор данных для эффективного анализа. На этом же уровне расположена система обнаружения вторжений, обеспечивающая контроль сетевых соединений.

Сбор данных на уровне сети

Для сбора сетевых данных применяются следующие технологии:

  • Сбор URL – из сетевого трафика выделяются посещаемые URL, которые передаются для проверки верхними уровнями системы.
  • Сбор файлов – благодаря технологии File recognition, применяющей множество критериев к объектам, из сетевого потока выделяются только обязательные файлы, попадающие на второй и третий уровень анализа. Это позволяет решению не тратить время и производительность на анализ каждого проходящего объекта в сети.
  • Сбор Email – электронная почта продолжает оставаться одним из основных каналов распространения целевых атак. Каждое входящее электронное письмо вначале отправляется на проверку второго уровня статического анализа – антивирусом.
  • Сбор метаданных траффика – генерируется подробная информация по сетевому траффику, необходимая для работы четвертого уровня системы, где расположен Targeted Attack Analyzer. Информация накапливается и применяется для выполнения статистического анализа.
  • Система обнаружения вторжений (ID System)

Технология сигнатурного детектирования, применяемая на первом уровне основана на технологии SNORT и отвечает за проверку сетевого траффика. Приведем несколько примеров обнаружения данной технологией:

  • Активное сканирование портов;
  • Переполнение буфера;
  • Атаки на веб-приложения, базы данных и веб порталы (например, инжектирование кода)
  • Сетевая коммуникация с командным центром (определяя основные известные команды, применяемые в управлении);
  • RAT – remote admin tool (инструменты удаленного управления) и др.
  • Вердикты IDS системы передаются непосредственно в общую базу четвертого уровня, Targeted Attack Analyzer.

Сбор данных с рабочих станций

Со всех контролируемых рабочих станций сотрудников компании ведется сбор различной информации, который включает:

  • Метаданные сети, содержание подробную информацию (временные интервалы, типы протоколов, IP соединения т.д.);
  • Информация о процессах операционной системы (наименование, время работы, и т.д.);
  • Информация об изменениях в реестре (тип записи, время изменений);
  • Информация об установленных программах (наименование, когда установлена, частота использования);
  • Информация об учетных данных в системе (вход в систему, время, от имени кого выполняется программа и д.р.);
  • Метаданные файлов (для работы репутационной базы второго уровня статического анализа);
  • Дамп оперативной памяти (по запросу уровня статистического анализа (TAA)) и некоторые другие параметры.
Сигнатура – описанный фрагмент кода, однозначно идентифицирующий зловредный объект

Уровень 2 – Статический анализ

Второй уровень приведенной выше общей схемы решения — отвечает за анализ данных, используя классические технологии детектирования и репутационные списки, что позволяет ему оперативно выносить вердикты.

Рассмотрим некоторые реализованные на этом уровне технологии:

  • Антивирусный движок (Anti-Malware Engine) – Выполняет проверку файлов. В движке применяется сигнатурный анализ, а также структурная и эмуляторная эвристика.

Помимо файлов из траффика производится проверка вложений электронной почты перед тем как они будут переданы на динамический анализ. В случаях, когда вложение представляет из себя запароленный архив, происходит поиск возможного указанного пароля в теле письма (как текстового, так и графического). Распознанный пароль вместе с архивом передается на третий уровень динамического анализа.

Эвристический анализатор (эвристик) — технология обнаружения угроз, неопределяемых с помощью антивирусных баз. Позволяет находить объекты, которые подозреваются в заражении неизвестным вирусом или новой модификацией известного. Файлы, обнаруженные с помощью эвристического анализатора, признаются возможно зараженными.
  • YARA правила – Реализована работа с открытым языком сигнатурного описания что позволяет применять собственный набор детектирующих правил. Например, идентифицировать и классифицировать семплы на текстовых или бинарных шаблонах.
  • Облачное детектирование — Kaspersky Security Network (KSN)

KSN – облачный сервис, предоставляющий оперативный доступ к базам знаний «Лаборатории Касперского», в которых содержится информация по следующим категориям:

  • База URL репутации, проверяет посещаемые URL, выносит вердикт по опасным и ненадежным адресам в сети Интернет, которые могут предоставлять угрозу безопасности пользователей. Так же контроль распространяется и на электронные письма, в которых могут содержаться опасные URL ссылки.

Категории веб-адресов, содержащиеся в репутационной базе данных KSN:

  • Вредоносный, несет опасность заражения;
  • Фишинговый, используется в целях хищения личной информации;
  • Адреса, связанные с таргетированной атакой, либо ранее замеченные в ней;
  • База репутации файлов, использует для работы снятые контрольные суммы файлов, выносит вердикт по опасным объектам, в том числе обнаруженным ранее в таргетированных атаках;
Постоянно обновляемые аналитическими службами «Лаборатории Касперского», базы данных, обеспечивают высокую скорость вынесения вердиктов.

Помимо репутационных баз, сервис имеет обновляемый набор справочников типичной активности различных комбинаций объектов и событий, связанных с ними. Такие справочники могут содержать информацию о популярности объекта, времени жизни, поведении и т.п. Справочники необходимы для работы верхнего уровня решения.

Каждый вердикт, формируемый KSN, сопровождается дополненной статистической информацией и передается на верхний уровень статистического анализа (TAA).

Что делать, когда применение облачных технологий запрещено регламентом безопасности?

Предусмотрена возможность применения KSN сервиса в закрытом контуре предприятия с соответствующим регламентом безопасности. В таком случае локально разворачивается аналог облачного сервиса, именуемый Kaspersky Private Security Network (KPSN). В этом варианте решение не будет отправлять запросы за периметр сети, а будет работать с локальными репутационными базами автономно.]

  • Risk Score Engine – анализ apk файлов мобильной операционной системы Android.

Дополнительный функционал выполнен в виде репутационной базы данных, позволяющей определить вредоносный объект. Технология автоматически отрабатывает получаемые apk файлы с уровня сбора информации, также присутствует возможность ручной загрузки файла.

Вердикты работы второго уровня становятся доступны сразу всем верхним уровням решения.

Уровень 3 – Динамический анализ

Основная задача третьего уровня заключается в анализе поведения каждого неизвестного объекта или URL. Абсолютно не важно, каким путем файл был доставлен, загружен пользователем или прислан вложением в электронном письме, он с одинаковым результатом будет доставлен на третий уровень для прохождения динамического анализа в песочнице. Тоже самое касается URL адресов, после прохождения репутационной базы, они будут переданы на уровень динамического анализа.

Песочница (Sandbox) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Представляет набор виртуализированных сред на которых запущены три версии самых популярных операционных систем, контролируемые технологиями анализа исполнения.

  • Windows XP
  • Windows 7 32Bit
  • Windows 7 64 Bit

Техники, препятствующие динамическому анализу, и методы борьбы с ними

Технология динамического анализа присутствует на рынке достаточно давно и киберпреступники не перестают изобретать все новые техники ее обхода (Sandbox Evasion). Приведем лишь некоторые из числа известных техник обхода:

  • Задержка исполнения кода;
  • Проверка количества ядер процессора;
  • Проверка имени машины;
  • Проверка программного окружения;
  • Трекинг активности мыши/клавиатуры.

В связи с этим песочница «Лаборатории Касперского» обладает большим набором постоянно пополняемых (Anti-Evasion) технологий, позволяющих противостоять техникам обхода, среди которых

  • Эмуляция работы пользователя (движения мышью, работа на клавиатуре);
  • Распознавание диалоговых окон, автоматическое действие;
  • Выполнение прокрутки документа (scroll);
  • Настройка окружения, максимально похожего на реального пользователя;
  • Эмуляция работы пользователя, включая реакцию на диалоговые окна;

Также, песочница использует уникальную запатентованную технологию, осуществляющую внешнее протоколирование активности образцов на уровне гипервизора, а не на уровне отдельного модуля ОС, что серьезно снижает вероятность идентификации песочницы зловредным ПО.

Необходимо отметить две дополнительные задачи, решаемые песочницей:

  1. Проверка неизвестных URL адресов.

Дело в том, что в реализации второй фазы таргетированной атаки («проникновение») киберпреступники могут скомпрометировать доверенный сторонний веб-ресурс, разместив на нем URL, состоящую из цепочки ссылок, в конечном итоге приводящих к инструменту первичного проникновения в инфраструктуру компании (Downloader, Dropper или Exploit). После проверки репутационной базой KSN второго уровня анализа песочница выполняет переход по ссылкам для получения объекта.

  1. Проверка вложений электронной почты.

Не всегда вложение в письме находится в открытом виде, встречаются архивы, защищенные паролем. В таких случаях антивирус, расположенный на втором уровне статического анализа, проверяя входящее письмо, распознает указанный пароль в теле письма, который может быть представлен в текстовом, либо графическом виде. Песочница, получив на входе архив с приложенным паролем, выполняет распаковку и динамический анализ содержащихся в нем объектов.

Итак, результатом работы песочницы является отчет о выполнении проверки внутри изолированной операционной системы с присвоенным уровнем критичности. Детали анализа и уровень критичности передаются в Targeted Attack Analyzer.

Уровень 4 – Статистический анализ

На четвертом уровне располагаются технологии принятия решений. Это заключительная экспертная ступень решения, отвечающая на главный вопрос – какая активность является опасной и относится ли она к таргетированной атаке. Система автоматически приоритизирует инциденты по уровню угрозы, тем самым способствует оперативному принятию решения по реагированию на самые критичные (опасный — Красный, средний — Желтый, незначительный — Серый).

Targeted Attack Analyzer – анализатор таргетированных атак Представляет собой аналитический центр решения Kaspersky Anti Targeted Attack Platform. Анализатор отвечает за множество задач, связанных с анализом получаемой информации разными методами, в том числе с помощью машинного обучения. Также анализатор отвечает за группировку инцидентов, основываясь на взаимосвязях между ними.

Рассмотрим функционал анализатора подробней, перечислив выполняемые им задачи:

  1. Накопительный ретроспективный анализ и поиск аномалий;

Анализатор непрерывно накапливает статистическую информацию, получаемую от технологий первого уровня, в том числе рабочих станций, формируя базу знаний активности ИТ-инфраструктуры. Обучаясь на накопленных исторических данных, анализатор строит актуальную модель поведения ИТ-инфраструктуры, с помощью которой он оценивает текущую активность.

Оперируя собранной статистикой активности внутри ИТ-инфраструктуры и глобальной статистикой «Лаборатории Касперского» (распространённость, время жизни объектов, репутация, категоризация доменов и файлов, и другие статистические данные), Targeted Attack Analyzer способен выявлять подозрительную активность, учитывая особенности конкретной ИТ-инфраструктуры, в том числе определять нетипичный характер поведения неизвестного программного обеспечения.

Пример накопительного ретроспективного анализа:

  • Детектирование всплесков сетевой активности на узлах в нетипичное для работы время;
  • Запуск программного обеспечения/системных утилит, работа которых была не характерна ранее;
  • Активность на машине под учетной записью пользователя, ранее не работавшего на ней.

Часто в таргетированных атаках применяются легальные инструменты, которые ничем не привлекают к себе внимание со стороны систем безопасности. Поведенческая модель позволяет выявлять несвойственную активность, в том числе легальных программ и утилит.

  1. Связь в хронологическом порядке подозрительной активности, относящейся к атаке;

Каждый инцидент, заведенный любой из детектирующих технологий, помещается в общую базу данных анализатора. Обогащаясь информацией, полученной с рабочих станций, TAA выделяет связанные инциденты в хронлогическом порядке. В результате заводится итоговый инцидент, который отражает более полную картину атаки.

Приведем пример перечня данных, на базе которых выстраивается хронологическая связь.

  • Статистика активности рабочих станций;
  • Статистика сетевой активности ИТ-инфраструктуры компании;
  • Инциденты, заведенные детектирующими технологиями каждого из уровней.
  1. Сбор объектов с рабочих машин пользователей;

Используя базу знаний, анализатор выбирает подозрительные объекты с рабочих машин пользователей и запрашивает их для дополнительного анализа. Например, для отправки в песочницу, либо статического анализа.

Поддерживается сбор следующих типов объектов:

  • Исполняемые файлы
  • Дампа оперативной памяти. Из общей тенденции развития таргетированных атак все больше случаев, когда следы можно обнаружить только в оперативной памяти.

Таким образом, анализатор имеет широкий спектр возможностей для надежного мониторинга.

Регулярные обновления технологий детектирования

В целях обеспечения качества анализа в решении реализован механизм регулярных обновлений для каждой из используемых детектирующих технологий. Обновления позволяют адаптировать каждую технологию детектирования к новым видам угроз, обеспечивая их необходимыми экспертными данными.

  • обновление сигнатур для технологии обнаружения вторжений
  • обновление компонентов антивирусного движка
  • обновление методов анализа электронной почты
  1. Динамический анализ объектов
  • обновление логики определения подозрительности поведения в том числе Anti-Evasion техник
  • обновление логики анализа и выявления аномалий
  • правила заведения групповых инцидентов

Задачу динамических обновлений решает специализированный сервис «Лаборатории Касперского», обеспечивающий непрерывный контроль актуальности всех технологий многоуровневой структуры решения.

В случаях использования решения в закрытом контуре, предусмотрен режим ручного обновления, требующий наличие развернутого локально сервиса Kaspersky Private Security Network, особенности которого мы рассматривали, описывая второй уровень статического анализа.

Результаты, о которых стоит сказать

За короткий промежуток времени решение Kaspersky Anti Targeted Attack Platform продемонстрировало свою эффективность в детектировании целевых атак.

В сентябре 2015 года система по защите от таргетированных атак «Лаборатории Касперского», развернутая в сети одного из корпоративных клиентов компании, в процессе мониторинга ИТ-инфраструктуры выявила аномальное поведение, порожденное динамической библиотекой на одном из серверов домена. Последующий глубокий анализ команды реверс-инженеров и аналитиков позволил обнаружить признаки активности ранее неизвестной кибергруппировки, осуществлявшей таргетированную атаку ProjectSauron. Атака была направлена против государственных организаций разных стран, целью которой являлась кража закрытой информации. С детальным анализом атаки вы можете ознакомиться здесь.

Ранней весной 2015 года в процессе тестирования прототипа решения внутри ИТ-инфраструктуры «Лаборатории Касперского» были обнаружены признаки таргетированной атаки. Детальное исследование выявило факт применения уязвимости нулевого дня в ядре операционной системы Windows, а целью атаки киберпреступников являлся шпионаж за новыми технологиями. Часть применяемых инструментов была схожа с таргетированной атакой Duqu, впервые обнаруженной в 2011 году и, по некоторым свидетельствам, созданной для шпионажа за Иранской ядерной программой. Главное отличие обнаруженной атаки Duqu 2.0, заключалось в том, что вредоносный код содержался только в оперативной памяти операционной системы. Благодаря своевременному обнаружению следов решением Kaspersky Anti Targeted Attack Platform, ни продукты, ни сервисы не были скомпрометированы.

С детальным анализом атаки вы можете ознакомиться по этому адресу.

Вы также можете ознакомиться с картой, демонстрирующей эволюцию таргетированных атак на примере ранее обнаруженных. Данная динамическая карта, специально создана «Лабораторией Касперского» для информирования о действующих кибергрупировках и позволяет узнать географию атак, количество жертв, способы распространения, цели, функции и многое другое.

Экспертная поддержка

Важно понимать, что решение по обнаружению таргетированных атак является мощным инструментом, позволяющим выявлять сложные угрозы. Работа над решением заведенного системой инцидента возложена на эксплуатирующий персонал, инженеров безопасности. Персонал обязан обладать достаточной квалификацией для эффективной работы с решением и его функциональными возможностями в полном объеме, а также выполнять непосредственно анализ инцидентов.

Поддержка продукта учитывает эти факторы и предоставляет необходимый набор услуг:

  • Обучающий курс по работе с решением, включающий обучение с погружением в анализ инцидентов. Прохождение курса, позволит инженерам безопасности, значительно эффективней работать с системой и обладать необходимой экспертизой для анализа инцидентов.
  • Внешний экспертный сервис «Расследование инцидентов» полезен в сложных случаях, когда собственных сил на решение инцидента не хватает. Присутствует риск финансовых и репутационных потерь компании. Сервис предоставляет индивидуальную помощь в расследовании инцидентов при помощи команды аналитиков информационной безопасности. Позволяет значительно ускорить время решения инцидента и исправление сложившийся ситуации.

Задачи, решаемые экспертным сервисом:

  • предотвращение возможной утечки конфиденциальной информации;
  • снижение затрат, связанных с инцидентом;
  • снижение репутационных рисков с учетом выявленного инцидента;
  • восстановлению нормальной работоспособности скомпрометированных узлов включая дополнительные рекомендации;
  • выработка рекомендаций по защите информации на базе выявленного инцидента, что бы избежать подобных инцидентов в будущем;

Threat Deception как дополнительный источник данных о целевых атаках

Технология является продолжением развития специализированных решений, именуемых «Honeypot» — предварительно имплементированных в корпоративную сеть ресурсов или, проще говоря, ловушек (рабочие станции, сервера), основной целью которых является привлечение внимания атакующего и получение данных о любом его взаимодействии с данным ресурсом.

Однако зачастую решения класса «Honeypot» не только успешно определяются хакерами и благополучно обходятся стороной, но и зачастую служат входной точкой в корпоративную инфраструктуру из-за некорректной имплементации внутри корпоративной сети.

«Threat Deception» подразумевает более тщательный подход к разработке сценариев обнаружения целевых атак, нежели те, что предлагают современные решения класса «Honeypot». «Threat Deception» предусматривает не только развертывание ловушек на реальных ресурсах (например, рабочих станциях сотрудников или серверах) защищаемой инфраструктуры компании, но также размещение данных ловушек таким образом, чтобы хакер не смог определить, какие ресурсы (рабочие станции, файлы на рабочих станциях и серверах и т.д.) являются ловушками, а какие нет, на базе анализа проводимого экспертом ИБ. Для этого в процессе имплементации решения, защищающаяся сторона должна представлять потенциальные точки присутствия злоумышленника в его инфраструктуре.

Внутри ловушки повторяют основной набор бизнес приложений и содержат специальные файлы приманки, выдающие себя за документы word, pdf и т.д. В случае открытия файла приманки происходит определение основных параметров машины, с которой было произведено открытие документа, и автоматическая передача собранной информации в центр Threat Deception. Таким образом, инженер безопасности будет информирован об инциденте, в котором будет содержаться основная информация о злоумышленнике (IP адрес, время, наименование ловушки).

Threat Deception является дополнительным источником в борьбе с таргетированной атакой, позволяющий выявить случаи неправомерной активности внутри ИТ-инфраструктуры компании.

Мы надеемся, что эта статья помогла детальней погрузиться в проблематику таргетированных атак и способов ее профилактики. Хочется пожелать всем нам как можно реже сталкиваться с подобным злом и быть всегда готовыми к отражению атаки!

www.kaspersky.ru

Обзор решения Kaspersky Threat Management and Defense по защите от передовых угроз и целенаправленных атак

В 2018 г. вышла новая версия платформы по обнаружению и противодействию целенаправленным атакам от «Лаборатории Касперского» Kaspersky Anti Targeted Attack (KATA), интегрированная с новым продуктом по обнаружению и реагированию на передовые угрозы на рабочих местах Kaspersky Endpoint Detection and Response (KEDR). Вместе они составляют основу комплексного решения Kaspersky Threat Management and Defense (KTMD). В статье расскажем о концепции применения KTMD и о том, чем полезно его внедрение, а также объясним, в чем преимущества решения в свете актуального сейчас законодательства о КИИ и ГосСОПКА.

Введение

«Лаборатория Касперского» известна во всем мире не только как производитель антивирусных решений, но еще и как глобальный центр компетенций по исследованию комплексных угроз и сложных целенаправленных атак. Так, специалисты компании сыграли важную роль в обнаружении и аналитике самых знаменитых из них, в том числе: Stuxnet, RedOctober, Flame, Duqu, Carbanak. Поэтому совершенно логичным выглядит появление собственных разработок, ориентированных на обнаружение целенаправленных атак. Первым пазлом в картине стала платформа Kaspersky Anti Targeted Attack (KATA), выведенная на рынок в 2016 году. Затем уже в 2018 году был представлен Kaspersky Endpoint Detection and Response (KEDR), вместе c KATA составивший технологическую основу единой платформы, которая с применением ряда профессиональных сервисов «Лаборатории Касперского» в зависимости от потребности каждой конкретной организации и образует комплексное решение Kaspersky Threat Management and Defense (KTMD).

Современные способы проведения атак, в том числе с применением техник APT, представляют собой одну из наибольших опасностей для компаний. В основе адаптивной стратегии обеспечения безопасности, предлагаемой «Лабораторией Касперского», лежит циклическое выполнение действий в четырех основных областях: предотвращение, обнаружение, реагирование и прогнозирование. Именно такой подход вендор и имплементирует в своем решении KTMD на базе KATA и KEDR.

Рисунок 1. Стратегия обеспечения безопасности предприятия от «Лаборатории Касперского»

Платформа Kaspersky Anti Targeted Attack позволяет автоматизировать процесс сбора данных, сократить ручное обнаружение угроз и автоматизировать процесс анализа найденных инцидентов, используя новейшие технологии, глобальную аналитику и возможность корреляции событий на базе машинного обучения. За счет полного контроля и проверки сетевого трафика «на лету» KATA дает полное представление о том, что происходит в масштабах даже географически распределенной корпоративной IT-инфраструктуры.

Главным свойством Kaspersky Endpoint Detection and Response является ориентация на проактивное выявление проникающих в организацию новых угроз непосредственно на конечных рабочих станциях и серверах путем анализа событий в так называемой «серой зоне» (элементы инфраструктуры или процессы, которые однозначно не отнесены к доверенным или вредоносным), где могут располагаться новые, ранее не идентифицированные заражения.

KATA и KEDR могут лицензироваться по-разному — как единая платформа или же поставляться по отдельности. Оба продукта в рамках общей концепции и задач имеют унифицированный интерфейс управления, единый центр анализа, обработки инцидентов и корреляция событий, а также базу вердиктов и песочницу. Все это позволяет эффективно использовать преимущества от внедрения обоих решений и максимально оперативно реагировать на возникающие инциденты информационной безопасности.

Важно отметить, что KATA и KEDR в составе решения KTMD не замещают традиционные продукты по защите конечных рабочих станций, серверов и почтовых шлюзов, а дополняют их, образуя единую систему противодействия сложным угрозам путем мониторинга, поиска новых угроз и моментального реагирования на них.

Как работает платформа Kaspersky Anti Targeted Attack

Kaspersky Anti Targeted Attack (KATA) — это платформа, которая является частью адаптивного, интегрированного подхода к корпоративной безопасности, предлагаемого «Лабораторией Касперского». Платформа осуществляет мониторинг сетевого трафика в режиме реального времени, проводит анализ поведения подозрительных объектов в песочнице и позволяет проактивно защищать элементы инфраструктуры (сеть, рабочие места, глобальная среда), предоставляя подробную картину того, что происходит в масштабе всего предприятия. KATA обнаруживает комплексные угрозы практически в режиме реального времени и помогает в расследовании произошедших инцидентов информационной безопасности.

Рисунок 2. Функциональные компоненты Kaspersky Anti Targeted Attack Platform

KATA автоматически агрегирует данные со всей инфраструктуры организации за счет проверки сетевого трафика в режиме реального времени, что дает полное представление о том, что происходит в масштабах даже географически распределенной корпоративной сети. Сбор данных может осуществляется по протоколам SPAN, ICAP, POP3S или SMTP, также объекты для проведения анализа могут извлекаться как из сторонних систем, так и из иных продуктов «Лаборатории Касперского» (Kaspersky Security Mail Gateway — KSMG, Kaspersky security for Linux Mail Server — KLMS, в Kaspersky Security для бизнеса — KES). 

Непосредственно для выявления признаков заражений в полученных данных в KATA используется комплекс  взаимодополняющих технологий: поиск аномалий в сетевом трафике с помощью сформулированных IDS правил экспертами «Лаборатории Касперского» по анализу угроз, ориентированных на обнаружение следов сложных атак в сети, Antimalware engine (Антивирусный движок), Sandbox (Песочница), Threat intelligence services (Интеграция с глобальной базой знаний об угрозах), Targeted attack analyzer (Анализатор целенаправленных атак), YARA engine (Механизм обработки специализированных YARA-правил), Risk score engine (Модуль аналитики безопасности исполняемых под Android APK-пакетов).

Для корреляции инцидентов, поиска индикаторов компрометации и обнаружения самых сложных и запутанных целевых атак KATA объединяет данные c сети и конечных точек, а также использует передовую песочницу и проводит глубокий анализ угроз с применением технологий машинного обучения. Собирая общую картину инцидента из разрозненных данных, платформа формирует детальное представление обо всей цепочке спланированной злоумышленниками атаки. Это позволяет обнаруживать угрозы на самых ранних этапах и комплексно реагировать на инциденты любой сложности.

Стоит отдельно отметить используемую в KATA песочницу, позволяющую в автоматическом режиме параллельно запускать и изучать потенциально опасные объекты внутри изолированных виртуальных машин  и тем самым оценивать новые угрозы. Песочница создавалась и совершенствовалась параллельно с  непрерывным процессом разработки линейки решений «Лаборатории Касперского», которая продолжительное время (свыше десяти лет), была и есть внутренним инструментом по глубокому анализу угроз внутри исследовательского центра «Лаборатории Касперского».

KATA успешно взаимодействует и интегрируется с уже существующими системами на предприятиях, позволяя отправлять данные о событиях взлома или утечки — в SIEM-систему, а также дополнять периметровые средства защиты новым контекстом и вердиктами по обнаруженным угрозам. Эти вердикты, например, могут направляться в межсетевые экраны (FW/NGFW), в почтовые шлюзы (SEG, в том числе и в Kaspersky Secure Mail Gateway — KSMG) и в решения по защите рабочих мест (EPP, в том числе и в Kaspersky Security для бизнеса).  

Как работает Kaspersky Endpoint Detection and Response

Решение Kaspersky Endpoint Detection and Response (KEDR) позволяет обнаруживать инциденты безопасности, локализовать их на рабочем месте таким образом, чтобы можно было удаленно контролировать сетевой трафик и выполнение процессов, проводить расследования и восстанавливать рабочие места в том состоянии, в каком они были до заражения.

Рисунок 3. Возможности Kaspersky Endpoint Detection and Response

В противовес традиционным защитным средствам, которые зачастую сводятся к полной очистке системы и восстановлению из резервных образов, KEDR содержит обширный набор автоматизированных мер, позволяющих выстраивать комплексный подход к реакции на сложные угрозы.

Рисунок 4. Схема работы Kaspersky Endpoint Detection and Response

В KEDR реализован быстрый поиск по централизованной базе угроз и индикаторов компрометации (IoC). Это позволяет добавить проактивности в действия службы ИБ, так как вместо пассивного ожидания уведомлений специалисты могут самостоятельно искать и блокировать угрозы, проверяя конечные устройства на аномалии и нарушения безопасности.

Разработанная для всего решения KTMD собственная единая подсистема машинного обучения внедрена и доступна в KEDR (равно как и в KATA). Она представляет собой анализатор целевых атак (Targeted Attack Analyzer), который позволяет строить поведенческие паттерны и выявлять отклонения в работе конечных машин и процессов. Благодаря этому можно обнаружить потенциальное вторжение или уже развивающуюся атаку. Кроме того, данный модуль предоставляет возможность соотносить вердикты от разных технологий анализа с ретроспективой и данными, поступающими в режиме реального времени, что дает больше фактов в копилку принятия решений о вредоносности той или иной активности.

KEDR, в зависимости от потребностей конкретного заказчика, может включать в себя и описанную в предыдущем разделе уникальную песочницу (такую же, как в KATA) собственной разработки, которая позволяет автоматически забирать объекты с рабочих станций для глубокого анализа, при этом не передавая сведений за пределы периметра корпоративной среды.

Решение KEDR и КАТА совместимо с широким спектром сторонних средств безопасности, оно способно обогащать дополнительной аналитикой центр управления информационной безопасности организации с целью принятия более релевантных и оперативных решений. Например, при построении собственного центра управления и реагирования на угрозы информационной безопасности (SOC) логичным выглядит использование описанных возможностей для помощи в корреляции событий и отслеживании подозрительной активности на рабочих местах. А в случае интеграции с другими защитными решениями класса EPP, например, EDR позволяет проводить дополнительные проверки уведомлений о потенциальных инцидентах.

Взаимодействие Kaspersky Anti Targeted Attack и Kaspersky Endpoint Detection and Response

Работа с KATA и KEDR осуществляется через удобный, интуитивно понятный браузерный интерфейс, в котором специалисты службы безопасности могут полностью управлять всем циклом управления угрозами и принятия ответных мер: обнаружение, расследование, противодействие, уведомления и подготовка отчетов.

Рисунок 5. Интерфейс Kaspersky Anti Targeted Attack и Kaspersky Endpoint Detection and Response

Платформа KATA/KEDR может также быть интегрирована и автоматически обмениваться вердиктами с другими защитными решениями «Лаборатории Касперского». Kaspersky Private Security Network, Kaspersky Secure Mail Gateway, Kaspersky Security для бизнеса с целью установления связей на всех уровнях, что позволит применять своевременные меры реагирования сразу после обнаружения инцидента и обеспечить комплексную защиту от сложных угроз и целевых атак.

Рисунок 6. Синергия технологий и сервисов «Лаборатории Касперского» внутри Kaspersky Threat Management and Defense

Как было отмечено ранее, KEDR может поставляться как вместе с KATA, так и отдельно от него. Причем благодаря единому интерфейсу управления впоследствии легко докупить одну из двух недостающих лицензий и сразу же получить полный набор функций объединенных решений и пользоваться всеми преимуществами единой интегрированной платформы по противодействию передовым угрозам и целенаправленным атакам, охватывая как уровень сети, так и рабочие места и серверы.

Предлагаемые сервисы «Лаборатории Касперского»

В дополнение к KATA и KEDR и для достижения максимальной эффективности их применения «Лаборатория Касперского» предлагает следующие экспертные сервисы и профессиональные услуги:

  • Kaspersky Managed Protection (KMP) —  круглосуточный сервис мониторинга, анализа событий ИБ и выявления инцидентов (система аутсорсингового SOC, ориентированная на анализ сложносоставных инцидентов и ручной поиск угроз (Threat Hunting));
  • сервисы по цифровой криминалистике, анализу вредоносных программ и реагированию на инциденты (Kaspersky Incident Response);
  • предоставление потоков данных об угрозах (Threat Data Feeds), аналитических отчетов об APT и других атаках (Threat Intellegence Reports), а также онлайн-доступа к полной базе знаний «Лаборатории Касперского» об угрозах, доверенных объектах и различных взаимосвязях между ними.

В рамках оказания сервиса KMP эксперты «Лаборатории Касперского» осуществляют мониторинг работы установленных на предприятии продуктов Kaspersky Security для бизнеса, KATA и KEDR для выявления активных атак. Это достигается, в частности, за счет проактивного сбора данных сетевой и системной активности. 

Полученные данные обогащаются информацией из глобальной репутационной базы знаний Kaspersky Security Network — KSN, накопленной за все время деятельности «Лабораторией Касперского», что позволяет выявлять самые современные тактики и техники злоумышленников. При этом, когда в компании внедрены особые корпоративные политики и действуют повышенные требования к передаче любых данных за пределы периметра корпоративной инфраструктуры, предусмотрена возможность развернуть локальное исполнение KSN — Kaspersky Private Security Network (KPSN), которая содержит такие же актуальные сведения об угрозах информационной безопасности в мире, но не отсылает никаких сведений из организации в облако.

Таким образом, применение решений KATA и KEDR вместе с набором предлагаемых «Лабораторией Касперского» сервисов помогает построить в организации действительно полную и по-настоящему работоспособную комплексную систему по противодействию сложным угрозам и целенаправленным атакам.

Кроме того, специалисты «Лаборатории Касперского» в рамках оказания сопутствующих услуг готовы не только помогать с расследованием инцидентов в компании, готовить аналитические справки и отчеты разного уровня по всевозможным направлениям и проводить соответствующее обучение по следующим темам:

  • Тренинг по работе с системами. 
  • Анализ и обратная разработка вредоносных программ. 
  • Цифровая криминалистика.
  • Реагирование на инциденты.
  • Написание и использование YARA-правил и другие.

Выводы

Опыт последних лет доказывает, что для противостояния современным угрозам безопасности, а тем более сложным целенаправленным атакам, классических средств защиты вроде антивируса и межсетевого экрана может становится уже недостаточно. Согласно исследованию «Лаборатории Касперского», IT-риски крупных компаний, затраты на ликвидацию последствий и восстановление систем уже через неделю после инцидента увеличиваются в среднем на 200%.

Важно отметить, что реализованные в решении Kaspersky Threat Management and Defense технологии направлены на соответствие федерального закона № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации». Так, например, решение Kaspersky Anti Targeted Attack сертифицировано ФСТЭК России на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля и технических условий. Знаковым событием в рамках процессов, связанных с ГосСОПКА, стало получение в феврале 2018 года сертификата ФСБ на соответствие требованиям к средствам обнаружения компьютерных атак класса В, что позволит заказчикам «Лаборатории Касперского» легитимно внедрять решения согласно законодательству о КИИ.

Именно поэтому стратегия «Лаборатории Касперского» по созданию единого интегрированного решения по мониторингу и управлению угрозами Kaspersky Threat Management and Defense на базе своих решений Kaspersky Anti Targeted Attack, Kaspersky Endpoint Detection and Response и сопутствующих сервисов является логичным ответом на современные вызовы кибербезопасности, а с технологической точки зрения такого рода продвинутые комплексные решения уже задают тренды рынку информационной безопасности. Так, у описанного решения на текущий момент уже более 150 пилотных внедрений на отечественных предприятиях. Кроме того, благодаря глобальному вектору развития «Лаборатории Касперского» платформа успешно продается не только в России, но и во многих других странах присутствия вендора.

Уже совсем скоро мы намерены детально ознакомиться с продуктами KATA и KEDR, протестировать их работу на практике. Следите за нашими публикациями.

www.anti-malware.ru

Обзор решений по защите от таргетированных атак

20 октября 2016 Jet Info №8-9, ноябрь 2016 г., Обзор решений по защите от целевых кибератак Автор: Александр Русецкий

Когда речь заходит о проекте внедрения «песочницы», заказчик обычно просит прислать сравнение решений. И тут возникают закономерные вопросы:

  • По каким критериям сравнивать?
  • На что обратить внимание?
  • Какие аспекты выделить?

Если использовать сравнения вендоров, то любое из них, как правило, направлено на продвижение именно своего решения. Естественно, идеальный вариант – провести параллельное тестирование нескольких продуктов. Но, к сожалению, по ряду причин (наличие одновременно нескольких видов тестового оборудования у вендоров, согласование схем подключения и т.д.) часто это затруднительно или невозможно.

Несколько месяцев назад, когда у очередного заказчика возник нестандартный вопрос по «песочницам», у нас появилась идея: а не создать ли обзор решений данного класса? Для оперативной помощи. На основе собственного опыта и опыта коллег. Мы решили отметить именно те моменты и критерии, которые помогут сделать правильный выбор для конкретного заказчика.

Задача оказалась совсем не тривиальной. С одной стороны, отметить именно те нюансы, на которые стоит заострить внимание, а с другой – составить объективный обзор, не выделяя конкретного вендора.

В настоящий обзор включены следующие решения: FireEye, Trend Micro Deep Discovery, Check Point SandBlast, Kaspersky Anti Targeted Attack Platform (KATA).

Основные критерии приведены в табл. 1. Обзор был составлен на базе часто задаваемых вопросов от наших заказчиков. В него вошли и архитектурные особенности и функциональные нюансы. Уровень обнаружения вредоносного программного обеспечения (ВПО) различных типов в рамках данного обзора не анализировался.

Таблица 1. Обзор решений класса «песочницы»

Критерий

FireEye

Trend Micro Deep Discovery

Check Point SandBlast

Kaspersky Anti Targeted Attack Platform (KATA)

Варианты исполнения

1.

Вариант исполнения решения

Hardware Appliance

(в RoadMap – сенсоры с поддержкой VMware)

Virtual Appliance (компонент DDI c поддержкой VMware и KVM)

Hardware Appliance

Hardware Appliance

Облачный сервис (при наличии шлюза Check Point Next Generation Threat Prevention (NGTP)/Next Generation Threat Extraction (NGTX))*

Защита облачной почты (SandBlast Cloud)

*C Q4 2016 поддерживается интеграция только с NGTX

Software (разворачивается на аппаратной или виртуальной платформах (поддержкаVMware)

В зависимости от инфраструктуры одни заказчики используют аппаратные решения, другие – виртуальные платформы. Есть и те, кто работает с облачным сервисом (файлы передаются на анализ в облако).

Каждый из этих вариантов имеет свои плюсы и минусы. Например, для аппаратных устройств, функционирующих в режиме блокировки, необходимо предусмотреть их отказоустойчивость. Кроме этого, при превышении пороговых значений (по трафику, по количеству анализируемых писем и т.д.) необходим переход на более старшую по производительности модель, что потребует дополнительных инвестиций. Для виртуальных устройств нужна поддержка виртуализации на аппаратном уровне. При работе с облачным сервисом тоже не все так просто. Многие заказчики принципиально не готовы отправлять файлы куда-то на анализ. Но при этом стоимость решения в этом случае будет на порядок ниже.

2.

Основные варианты интеграции

web

Мониторинг:

TAP

SPAN

Блокировка:

Inline

Мониторинг

TAP

SPAN

Мониторинг

TAP

SPAN

Блокировка

Inline

MTA

Мониторинг

SPAN

ICAP (односторонний)

Блокировка будет доступна в 2017 г. через интеграцию с Kaspersky Secure Web Gateway (KSWG)

email

Мониторинг

BCC

SPAN

Блокировка

MTA

Мониторинг

BCC

SPAN

Блокировка

MTA

Мониторинг

BCC

SMTP будет в версии от сентября 2016 г.

SMTP from SPAN (планируется в начале 2017 г.)

Блокировка  будет доступна в сентябре 2016 года через интеграцию с Kaspersky Secure Mail Gateway (KSMG)

С точки зрения анализа web-трафика, можно использовать режимы мониторинга (получение данных со SPAN-порта) или блокировки (установка Inline). В первом случае анализу подвергается копия трафика. При необходимости осуществляются автоматическая отправка TCP Reset, а также интеграция со сторонним сетевым оборудованием безопасности, например через SIEM. Во втором случае происходит не только обнаружение угроз и аномалий, но их немедленная блокировка.

Для анализа почтового трафика также можно использовать несколько режимов: мониторинг (BCC/SPAN) или блокировка (MTA). В режиме мониторинга анализируются копии электронных писем, отправляемых шлюзом MTA/Anti-spam. В режиме блокировки происходит установка решения «в разрыв» после существующего MTA/Anti-spam перед внешними корпоративными почтовыми серверами. Письма задерживаются на проверку, после прохождения проверки они либо пропускаются, либо отправляются в карантин.

Обычно для пилотного внедрения мы советуем использовать режимы мониторинга web-трафика и почты, так как они не оказывают влияния на существующую инфраструктуру заказчика, и, как следствие, заказчику значительно проще согласовать данный проект.

3.

Архитектура решения

Основные компоненты

NX – анализ web-трафика

EX – анализ почты

CM – система мониторинга и управления

HX – защита рабочих станций

DDI – анализ web-трафика

DDEI – анализ почты

Control Manager – централизованное управление

Office Scan, EndPoint Sensor- защита рабочих станций

SandBlast – анализ web-трафика, почты, проверка SSL трафика)

SandBlast Agent –защита рабочих станций

Сетевые сенсоры для сбора данных из трафика, прокси и почтовых серверов

Сенсоры для рабочих станций (совместимые легкие агенты)

Central Node – центр анализа

Sandbox – «песочница»

Дополнительные компоненты

FX – защита файловых серверов

AX – анализ и проведение расследований

PX – захват трафика

DDAn – внешняя «песочница»

InterScan Web Security – Secure Web Gateway для сбора данных и блокировки несанкционированных соединений

Рекомендуется использовать Check Point Security Gateway (NGTP/NGTX)

Kaspersky Private Security Network (KPSN) – локальная база репутаций для изолированных сетей (приватная инсталляция решений)

Kaspersky EndPoint Security (KES) – в сентябре 2016 г. опционально будет выполнять роль сенсора рабочих станций

KSMG для сбора данных и блокировки вредоносной активности в почте

KSWG для сбора данных и блокировки несанкционированных соединений

KEDR-агент (доступен с 2017 г.) для активного реагирования на рабочих местах и глубокого расследования инцидентов

Deception – дополнительные сенсоры несанкционированной активности внутри сети (next gen honeypot)

Threat Lookup – онлайн-интерфейс доступа к Threat Intelligence в рамках выявляемых инцидентов KATA

С точки зрения компонентов, есть возможность выбрать одно устройство для работы с web- и почтовым трафиком или несколько устройств для защиты этих каналов. Кроме этого, есть набор дополнительных компонентов, с помощью которых можно решить ряд специфических задач.

 

Покрытие каналов распространения угроз

4.

HTTP

Да

Да

Да

Да

5.

HTTPS

Требуется интеграция:

Стороннее решение (например, A10, F5 и др.)

Требуется интеграция:

Стороннее решение (например, A10, F5 и др.)

ICAP (Trend Micro InterScan Web Security и др.)

Да

Требуется интеграция:

Стороннее решение (например, A10, F5 и др.)

ICAP

Также стоит обратить внимание на необходимость работы с SSL-трафиком – его объемы постоянно растут. Поэтому требуются расшифровка и анализ на скрытые угрозы. Для этого одни решения предлагают интеграцию со сторонними продуктами, другие сами могут просматривать SSL.

6.

Web-приложения (соцсети, прочие)

Да

Да

Да

Да

7.

Мессенджеры

Да

Да

Да

Нет

8.

USB

Требуется наличие компонентов:

HX (только alerts, в RoadMap – protection)

Требуется интеграция:

сторонние решения (например, DeviceLock и др.)

Требуется наличие компонентов:

TrendMicro OfficeScan

Endpoint Sensor

Требуется наличие компонентов:

SandBlast Agent

Требуется наличие компонентов:

Cенсоры рабочих мест

В RoadMap:

интеграция с KES (сентябрь 2016 г.)

отсылка файлов в «песочницу» с рабочих мест посредством EDR-агента (2017 г.)

9.

SMTP

Да

Да

Да

Да

10.

FTP

Да

Да

Да

(через NGTP/NGTX)

Да

11.

DNS

Да

Да

Да

(через NGTP/NGTX)

Да

12.

IMAP

Да

Да

Да

(через NGTP/NGTX)

Нет

(В RoadMap: при возможности отправки копии писем)

13.

POP3

Да

Да

Да

Да

14.

CIFS

Да

Да

Да

Нет

15.

Дополнительные протоколы

Нет

Да

(около 75)

Нет

Нет

Стандартные протоколы (HTTP, SMTP, FTP, DNS, POP3) поддерживаются всеми вендорами. С одной стороны, этого может быть достаточно. Большинство атак осуществляется именно через них. Однако, если заказчик считает актуальным отслеживание угроз, осуществляемых через специфические протоколы, то имеет смысл обратить внимание и на это.

 

Средства анализа

16.

Тип эмулируемого подозрительного контента в «песочнице»

Отдельные файлы

Скрипты

Макросы

Проверка архивов с паролем, указанным в теле письма

Проверка web-ссылок в теле письма

Проверка укороченных ссылок в теле письма

Проверка web-ссылок в теле письма

В RoadMap:

проверка укороченных ссылок в теле письма

проверка архивов с паролем, указанным в письме

Проверка незапароленных архивов в теле письма

В RoadMap на Q4 2016:

проверка web-ссылок в теле письма

проверка архивов с паролем, указанным в теле письма

проверка архивов с паролем, по библиотеке распространенных паролей

Копия трафика

Мобильные приложения

С одной стороны, большинство заказчиков считают, что достаточно анализировать отдельные файлы для выявление атак zero-day. Но с другой, некоторые используют комплексный подход в анализе трафика для выявления наличия угроз и аномалий.

17.

Настройка/кастомизация «песочниц»

Нет

(образы преднастроены производителем, поддержка мультиверсионности ПО)

Да

(возможно создание своих собственных образов)

По запросу

По запросу

Одни заказчики хотят воссоздать абсолютно идентичную среду, что используется на предприятии (с конкретной ОС, набором ПО и т.д.), чтобы максимально приблизить эмулируемую среду к реальной. Другие утверждают, что стандартные образы позволяют выявлять аномалии ничуть не хуже. Кроме того, поддерживать кастомизированный образ «песочницы» в актуальном состоянии зачастую затруднительно.

18.

Используемые технологии эмуляции

Собственная платформа MVX

VirtualBox

Собственная платформа

KVM

19.

Система сокрытия работы в виртуальной среде (AntiVM evasion protection)

Да

(собственная технология)

Да

(за счет гибкой настройки образов VM,

API Hooking используется для перехвата запросов вредоносных приложений и возврата ложных значений относительно среды работы

Да

(собственная технология)

CPU-Level detection. Она позволяет детектировать эксплойты до того, как они используют методы обнаружения и обхода «песочниц»

Да

(собственная технология)

Производители по-разному подходят к созданию своих «песочниц»: одни используют собственные платформы, другие – существующие. В первом случае «песочницы» не имеют стандартных признаков виртуализации, свойственных современным гипервизорам. Во втором эти решения приобретают некоторые признаки виртуальных машин. Данный факт может фиксировать ВПО для обхода «песочницы». Для противодействия этому предусмотрена защита.

20.

Поддерживаемые ОС

Windows XP

Windows 7

Mac OS X

(модельный ряд ограничен)

Windows 10 (RoadMap)

Android (облако)

IOS (облако)

Windows 8

Windows 8.1

Windows Server 2003

Windows Server 2008

Windows 10 (RoadMap)

Windows 8.1

Windows 10 (RoadMap)

Android VM (в конце 2016 г.)

Windows 8,8.1,10 – в 2017 г.

Для проверки действий ВПО можно выбрать «песочницы» на основе разных ОС. Все вендоры поддерживают Windows XP и 7, что удовлетворяет потребности большинства заказчиков. Есть возможность выбрать решения с поддержкой серверных платформ, мобильных ОС.

21.

Поддерживаемые языки в ОС

Английский

Русский

Английский

Русский

Английский

Английский

(в RoadMap – Русский)

Некоторое ВПО не запускается на системах, обладающих определенными признаками. Например, если мы говорим о разработке целевых атак под российские компании, одним из возможных критериев, влияющим на поведение вредоносного ПО, будет русскоязычная ОС.

22.

Лицензии на Windows/Office в составе решения

Да

Нет

Да

Нет

23.

Возможность масштабирования по производительности

Да

Да

(кластеризацию поддерживает только дополнительный компонент DDAn)

Да

Нет

(в RoadMap – кластеризация «песочниц» – сентябрь 2016 г.)

Часть вендоров в составе решения уже предлагают лицензии на Windows/Office, для других – необходимо подгружать собственные. Заказчик может выбрать приемлемый для него вариант.

Если заказчику необходима большая производительность для анализа ВПО, это обеспечивается кластеризацией «песочниц».

 

Кастомизация процесса анализа

24.

Самостоятельная настройка критериев для анализа файлов/трафика в «песочнице»

Да

(YARA-правила)

Да

(порядка 4000 правил и их регулярное обновление/пополнение)

Нет

(в Threat Emulation возможно задать только типы файлов, отправляемых в «песочницы», а также защищаемые сети и исключения)

Ограниченно

(большинство логики поставляется автоматически исследователями компании в виде обновлений, они не требуют трудозатрат на наполнение ими системы от пользователей решения)

Некоторым заказчикам достаточно стандартных правил, по умолчанию встроенных в тот или иной продукт. Другие предпочитают самостоятельно настраивать решение. Для этого используют, в том числе, YARA-правила, необходимые для опознания и классификации ВПО при поиске индикаторов компрометации (IoC).

25.

Принудительное определение файлов как вредоносных в ручном режиме

Да

(YARA-правила или false negative методом исключения)

Да

(YARA-правила или

интеграция с Appllication Control посредством использования «черных» списков файлов)

Нет

Да

(YARA-правила)

В RoadMap «черные»/«белые» списки (сентябрь 2016 г.)

Все производители используют в своих решениях различные скоринговые модели анализа контента, которые позволяют выявлять вредоносное содержимое. Иными словами, в процессе анализа за каждое подозрительное действие начисляются штрафные очки. Если суммарный штраф превышает пороговое значение, то файл классифицируется как вредоносный.  Однако не все из производителей дают возможность самостоятельной до настройки этих моделей.

26.

Принудительная передача файлов на анализ в ручном режиме

Да

(требуется наличие дополнительных компонентов)

FireEye AX с возможностью дополнительного анализа через Yara и AutoIT или FireEye FX, через сканирование заданных файловых ресурсов

Да

(встроенная опция web-интерфейса с прямой отправкой файлов для анализа через компонент DDAn: отдельные файлы, архивы zip/rar, ссылки на файлы)

Да

(файл можно отправить на анализ на web-ресурс или на проверку непосредственно в устройство, используя CLI)

Да

Создание почтового аккаунта для ручного анализа файлов в «песочнице»

В RoadMap ручная отсылка файла на анализ в облачную «песочницу» отсылка файла на анализ через web-интерфейс

«Песочницы» поддерживают возможность вручную отправлять файлы на проверку, но делают это по-разному.

 

Методы обнаружения

     

27.

Анализ сетевого трафика на предмет аномалий, выявления бот-сетей

Да

Да

Да

Да

28.

Наличие агентского ПО

Да

(дополнительный компонент HX)

Да

(дополнительные компоненты Office Scan, Endpoint sensor)

Да

(дополнительный компонент SandBlast Agent)

Ограниченно (обнаружение).

Легкие агенты собирают информацию о процессах и сетевой активности.

В случае использования KESB (for Business) решения автоматически обмениваются вердиктами через KSN (Kaspersky Security Network)

В 2017 г. выйдет новая версия агента для карантинизации, реагирования и расследования

29.

Возможность изоляции скомпрометированной рабочей станции

Да

(требуется наличие дополнительного компонента-HX)

Нет

(в RoadMap включение функционала в Endpoint Sensor)

Да

(требуется наличие дополнительного компонента SandBlast Agent)

Нет

(в RoadMap: на 2017 г. с выходом агента EDR)

Один из векторов распространения угроз – рабочие станции. Для более глубокого анализа активности ВПО на конечных узлах и их защиты вендоры предлагают установку специальных агентов. При этом часть решений имеют возможность изоляции скомпрометированной рабочей станции для предотвращения дальнейшего распространения угрозы по сети.

30.

Поддерживаемые типы файлов для анализа

Исполняемые типы файлов

Офисные документы

Архивы

Скрипты

Аудио/видео-форматы

Графические

Мобильные приложения

Мобильные приложения

В RoadMap другие типы файлов

В RoadMap другие типы файлов

Данные решения поддерживают большое количество типов файлов, отправляемых в «песочницу» для анализа. Есть возможность выбрать стандартные расширения, установленные по умолчанию, а также добавить дополнительные.

31.

Противодействие «режиму сна»

Да

(ускорение системного времени, имитация работы пользователя)

Ограничено

(выявление)

Да

(ускорение системного времени, имитация работы пользователя)

Да

Часть злоумышленников, пытаясь обойти «песочницу», использует вариант с задержкой атаки по времени и действию пользователя. Для противодействия этому так называемому «режиму сна» вендоры предлагают свои технологии.

32.

Блокирование трафика, содержащего ВПО

Да

(в режиме Inline)

Да (почта в режиме Inline)

Требуется интеграция (web)

DDI может отправлять команду TCP RST для сброса сессии сторонним шлюзам, включая Palo Alto Networks, Blue Coat, Check Point Software Technologies и др.

Да

(в режиме Inline или при наличии NGTP/NGTX)

Нет

(в RoadMap в 2017 г.)

При установке «песочницы» в режиме Inline можно предотвратить попадание ВПО в сеть в режиме реального времени.

33.

С какими правами запускаются файлы в песочнице?

Admin

Файлы в «песочнице» запускаются с правами администратора, для того чтобы избежать срабатывания механизмов защиты, например, UAC. В противном случае при эмуляции действия ВПО остались бы незафиксированными и, как следствие, незамеченными.

При подготовке нашего обзора мы рассматривали разные критерии: начиная от варианта исполнения решений и заканчивая наличием лицензий Windows/ Office в составе продуктов. Мы постарались сделать акцент на наиболее важных, на наш взгляд, моментах. Перед тем как переходить к выбору решения мы советуем сначала решить, что вы ожидаете от конкретного продукта.

Данный обзор актуален на момент публикации. Мы целенаправленно не выделяли конкретного вендора. Любое решение не стоит на месте и продолжает развиваться дальше: появляются новые функции, технологии и нюансы. Наш обзор и в дальнейшем будет расширяться и дополняться.

Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.

www.jetinfo.ru

Защита конечных точек от целевых атак с помощью CyberArk Endpoint Privilege Manager

Как организовать защиту конечных точек от направленных атак и шифровальщиков, если они физически находятся в локальной сети или в облаке, как повысить уровень информационной безопасности информационных систем предприятий и избежать рисков без снижения производительности работы пользователей и администраторов? На примере CyberArk Endpoint Privilege Manager рассмотрим, как именно осуществляется защита конечных точек от целевых атак — с какими проблемами придется столкнуться и как их решить.

Введение

Специалисты в области информационной безопасности всё чаще обращают внимание на то, что злоумышленники почти всегда ищут возможности для эксплуатации уязвимостей конечных точек, и поэтому многие из них ставят защиту конечных точек во главу угла при реализации своих программ по информационной безопасности. Для многих организаций защита привилегированных учетных записей крутится вокруг передачи прав. Но на деле, как правило, передача прав часто производится по принципу «всё или ничего» — это означает, что пользователи внутри организаций обычно или имеют полные администраторские права, или не имеют администраторских прав вовсе. В результате бизнес-пользователи и ИТ-администраторы часто получают больше прав, чем им необходимо, создавая при этом большую и часто эксплуатируемую брешь в защите. Проблема заключается в том, что процесс удаления администраторских прав в целях снижения рисков организации непрост. На рынке в связи с этим появляются инструменты для того, чтобы решать соответствующие проблемы при внедрении сбалансированного, многоуровневого контроля над правами и привилегиями.

Когда атака обходит ваш периметр и защиту конечных точек, вы полагаетесь на то, что технологии обнаружения среагируют быстро и постараются предотвратить ее распространение. Злоумышленники крадут параметры доступа, чтобы получить достаточные права и продвигаться вперед через вашу сеть в попытках найти ценную информацию. Ужесточение защиты прав на конечных точках уменьшает возможности злоумышленника при атаке, это фундаментальная часть вашей программы безопасности, которая защищает настольные компьютеры, ноутбуки и сервера, в результате чего снижается риск появления брешей и потенциального ущерба бизнесу. Однако недостатком этого подхода является потенциальное отрицательное воздействие на продуктивность пользователей, он повышает накладные расходы, а также траты на службу поддержки пользователей компьютеров.

Перечислим основные проблемы, которые возникают на этом пути.

Рисунок 1. Место CyberArk Endpoint Privilege Manager в структуре защиты конечных точек предприятия

Проблемы при построении защиты конечных точек

Проблема 1. Ландшафт угроз постоянно изменяется

В попытках обойти систему информационной безопасности организаций киберпреступники постоянно изменяют тактику. В настоящее время большинство профессионалов в области информационной безопасности понимают, что наличие брешей неизбежно. Злоумышленник будет обходить существующие системы безопасности и перемещаться по сети, совершая кражу параметров доступа и повышая права, пока не найдет конфиденциальную  информацию для  кражи или шифрования с целью получения выкупа. Определение типа угрозы и мгновенный ответ на нее сейчас являются важнейшими компонентами любой системы безопасности.

Проблема 2. Привилегированные учетные записи являются важным вектором атаки

Учетные записи с правами локального администратора являются популярным вектором атаки, т. к. они существуют на каждой конечной точке и сервере внутри окружения. А индивидуальные пользовательские учетные записи — на тех же самых машинах, — которые имеют права администратора, только увеличивают возможности атакующего.

Проблема 3. Сложно найти баланс между защитой и продуктивностью

Несмотря на то, что считается хорошей практикой отбирать административные права у бизнес-пользователей, многие организации на самом деле не спешат проводить такие изменения. Без всех административных прав у бизнес-пользователей могут возникать проблемы с выполнением некоторых задач или запуском определенных приложений, которые им требуются для выполнения повседневных ролей.

Например, пользователю может потребоваться использовать приложение для рабочих нужд, которое для запуска требует определенные права. Или пользователю могут потребоваться определенные права для установки или обновления авторизованного доверенного приложения. Если полностью отобрать административные права у этих пользователей, они будут вынуждены звонить в поддержку каждый раз, когда им требуются такие права всего лишь для того, чтобы иметь возможность выполнять ежедневную работу.

Проблема 4. Слишком малые права могут привести к «ползучести» прав и возрастанию рисков

Когда организации решаются отобрать все административные права у бизнес-пользователей, ИТ-отдел будет периодически возвращать эти права обратно, чтобы пользователи могли совершать определенные действия. Например, многие устаревшие или сделанные самостоятельно «на коленке» приложения, используемые в ИТ-окружениях, требуют права для запуска, как требуют их и многие коммерческие узкоспециализированные приложения. ИТ-отделы должны выдавать права локального администратора этим пользователям для запуска таких приложений.

Так как эти права были возвращены, они редко снова отбираются, и со временем это может приводить к тому, что в организациях почти все пользователи имеют права локальных администраторов. Эта «ползучесть» прав повторно открывает лазейки в безопасности, связанные с чрезмерными административными правами, и снова делает организации, которые обычно думают, что хорошо защищены, более уязвимыми к угрозам.

Проблема 5. Слишком много прав могут увеличить риск вреда от инсайдеров и сложных угроз

В дополнение к компромиссу продуктивности, связанному с ограничением прав бизнес-пользователей, многие организации также не спешат ограничивать права ИТ-администраторов на серверах Windows. При идеальных настройках системные администраторы, владельцы приложений и администраторы базы данных имеют каждый свой набор разрешений на каждом сервере, к которому у них есть доступ. На практике это разделение зон ответственности может быть сложно организовать, и у администраторов остается существенно больше прав, чем им действительно необходимо для работы.

Без политики прав на основе ролей для разделения зон ответственности ИТ-администраторов чувствительные системы могут быть легко повреждены неопытными пользователями, им может быть причинен ущерб инсайдерами-злоумышленниками или они могут быть скомпрометированы опытными киберпреступниками, которые получают неавторизованный доступ к привилегированным учетным записям.

Проблема 6. На каждой машине всегда будет учетная запись «Администратор»

Так уж вышло, что на всех конечных точках и серверах есть пользователь Администратор, root или другая учетная запись того же уровня, которая позволяет любому пользователю обладать администраторскими правами над машиной. Даже если вы удалите администраторские права у индивидуальной учетной записи пользователя, полноценные учетные записи с именем Администратор все еще остаются. «Плохие» политики управления паролями для таких учетных записей могут привести при использовании одинаковых паролей на многих системах, что облегчает задачу для злоумышленников, скомпрометировавших одну систему, передвигаться по всему окружению — повышая права, совершая кражу данных и нанося вред системам на своем пути.

Проблема 7. Несмотря на ограниченные права некоторые вредоносные программы все еще могут проникнуть

Ограничивая права до уровня тех, которые абсолютно необходимы, организации могут ограничить вероятную поверхность атак и заблокировать вредоносные приложения, которые пытаются использовать права для установки вредоносных программ или принести вред машине. Проблема в том, что не всем вредоносным приложениям требуются права для запуска, и по мере того, как злоумышленники все больше узнают об обходе защитных механизмов, организации становятся все более уязвимыми к таким типам вредоносных программ.

Практика показывает, что большинство сложных атак начинаются с отправки электронных писем в адрес непривилегированных бизнес-пользователей, а кампания всего из 10 электронных писем обычно дает свои плоды в более чем 90 % случаев, когда по крайней мере один человек становится жертвой преступника. В таких пуш-атаках могут использоваться весьма изощренные вредоносные программы, и т. к. они находятся внутри сети, они могут компрометировать машины, совершать кражи данных, захватывать параметры доступа или наносить вред системам, совершенно не используя никаких администраторских прав.

Проблема 8. Сложно достоверно отследить, какие приложения находятся в окружении, и понять, какие из них хорошие, а какие плохие

Согласно исследованию конечных точек сотрудников, проведенному компанией CyberArk, достаточно часто можно найти более 20 тыс. различных приложений на одном предприятии, что говорит о том, что вредоносные программы могут легко укрыться от глаз, потому ИТ-отделы просто не обладают достаточным временем, чтобы вручную все анализировать. В таких масштабах определить, какое приложение хорошее, плохое или неизвестное — задача, которая представляется невозможной для решения или же будет стоить баснословных денег. Еще больше усложняет дело то, что кроме очевидно необходимых и очевидно подозрительных приложений существуют десятки таких, для которых все не очевидно, и администраторы просто не обладают достаточным временем для того, чтобы справиться с процессом разнесения приложений по категориям. Это приводит к тому, что традиционная технология белого списка, которая входит в функциональность многих продуктов для защиты конечных точек, де-факто становится устаревшей.

Рекомендации организациям по разработке системы многоуровневой безопасности и усилению защиты конечных точек

Для того чтобы достичь оптимального баланса между безопасностью и удобством использования, организации должны рассмотреть вариант адаптации интегрированного управления правами и решения для контроля приложений, который будет в себя включать следующие возможности:

Автоматическое создание прав и политик контроля над приложениями, основанных на доверии.

Автоматическое определение того, какие приложения являются доверенными на предприятии, какие права требуются каждому из этих приложений, и создание политик, основанных на этих правилах доверия для сохранения ценного времени и усилий ИТ-специалистов.

Бесшовное повышение прав бизнес-пользователей в случае необходимости.

Удаление прав локального администратора у бизнес-пользователей, но включение бесшовного повышения прав, основанных на политике, для того чтобы пользователи оставались продуктивными без увеличения поверхности атак.

Принудительные политики гранулированных минимальных прав для администраторов Windows.

Гранулированный контроль того, какие команды и задачи может выполнять каждый ИТ-администратор на основе своей роли для эффективного разделения зон ответственности и уменьшения риска вреда от потенциальных инсайдеров и сложных угроз.

Контроль над тем, какие приложения могут запускаться в ИТ-окружении.

Включение возможности доверенным приложениям бесшовно запускаться в окружении и при этом автоматическая блокировка вредоносных программ и ограничение прав для неизвестных приложений, а также опциональная принудительная политика белого списка в случае необходимости.

Запрет злоумышленнику на побочные действия и повышение прав.

Автоматическое определение и блокировка попыток кражи паролей/хешей и прочих атрибутов учетных записей, которые могут позволить злоумышленнику повысить права во время перемещения по сети в поисках чувствительной информации.

Перейдем к рассмотрению возможностей одного из представленных на рынке инструментов, в которых предлагается функциональность, обозначенная выше.

Как CyberArk Endpoint Privilege Manager помогает защищать конечные точки от направленных атак

CyberArk Endpoint Privilege Manager помогает убрать барьеры, мешающие назначить минимально необходимые права и позволить организациям блокировать атаки на конечных точках, уменьшая риск кражи или шифрования информации ради требования выкупа. Комбинация управления правами, контроля приложений и целевая защита от кражи параметров доступа останавливает вредоносные атаки на конечных точках. Неизвестные приложения запускаются в ограниченном режиме, чтобы противодействовать угрозам, а защита от кражи паролей и хешей учетных записей препятствует таким попыткам. Эти критически важные технологии защиты разворачиваются в виде единого агента, чтобы усилить защиту всех рабочих станций, ноутбуков и серверов.

Рисунок 2. Веб-консоль управления CyberArk Endpoint Privilege Manager

 

CyberArk Endpoint Privilege Manager также позволяет специалистам по информационной безопасности создавать гранулированные политики назначения минимальных прав для ИТ-администраторов, помогая организациям эффективно разделить обязанности по работе с Windows-серверами.

Увязывая эти инструменты контроля прав, данное решение также предоставляет контроль приложений для управления запуском приложений на конечных точках и серверах.

Что позволяет делать организациям CyberArkEndpointPrivilegeManager?

Автоматическое создание политик на основе бизнес-требований позволяет создавать контроль приложений и политики повышения привилегий на основе таких доверенных источников, как System Center Configuration Manager, дистрибьюторы программного обеспечения, программы обновления, URL-адреса и других параметров. Шаблоны политик обеспечивают быстрое внедрение для специальных типов серверов, таких как Microsoft SQL Server, позволяя сэкономить время и исключить временные задержки при реализации политик защиты привилегий для всех пользовательских ролей.

Назначение гранулированных политик минимальных прав для Windows-администраторов позволяет специалистам по информационной безопасности контролировать, какие команды и задачи может выполнять каждый ИТ-администратор Windows-серверов на основе его роли.

Безопасное управление локальным администратором заключается в том, чтобы использовать CyberArk Enterprise Password Vault для управления паролями учетных записей локального администратора на конечных точках, что будет гарантировать необходимую сложность, уникальность паролей и безопасное хранение этих учетных записей.

У бизнес-пользователей удалены права локального администратора, поэтому CyberArk Endpoint Privilege Manager позволяет поднимать уровень прав на основе политики, если этого требуют доверенные приложения. Этот процесс происходит непрерывно и автоматически, т. е. незаметно для пользователей.

Усиление CyberArk Endpoint Privilege Manager с помощью Application Risk Analysis позволяет быстро определить риск, связанный с определением любой политики на основе поведения приложений и позволяет пресекать запуск в окружении вредоносных приложений.

Кража паролей и прочих атрибутов доступа играет важную роль в любой атаке. Усиленная защита в виде определения и блокировки попыток украсть атрибуты учетной записи помогает организации пресечь подобные действия для учетных записей, используемых при доступе к Windows-ресурсам и прочим ресурсам, учетные записи от которых хранятся в популярных веб-браузерах, приложениях и т. д.

Реализована защита от мошенничества из коробки на базе OOTB-политики для защиты от мошеннических программ, которая включает полноценный контроль за минимально необходимыми правами, протестированный на сотнях тысяч образцов вредоносных программ.

CyberArk Endpoint Privilege Manager позволяет безопасно работать с неизвестными приложениями в режиме ограничения прав приложений. Неизвестные приложения, которые не находятся в доверенных и неизвестны как вредоносные, могут запускаться в ограниченном режиме, что не позволяет им получать доступ к корпоративным ресурсам, чувствительным данным и к интернету.

В CyberArk Endpoint Privilege Manager реализована интеграция с инструментами определения угроз для анализа неизвестных приложений. В частности, имеется возможность отправлять неизвестные приложения в решения Check Point, FireEye и Palo Alto Networks, в которых реализован автоматический анализ файлов на наличие угроз.

Использование агента на каждой защищаемой машине позволяет CyberArk Endpoint Privilege Manager немедленно локализовать все расположения приложения в окружении, а также его происхождение.

CyberArk Endpoint Privilege Manager поставляется для установки непосредственно в локальной сети предприятия, так и в качестве облачной услуги. Это позволяет масштабировать данный продукт, варьируя параметры стоимости, удобства использования и следования политикам безопасности предприятия, а также локальному законодательству.

Рисунок 3. Схема работы CyberArk Endpoint Privilege Manager при установке решения в локальной сети предприятия

Рисунок 4. Схема работы CyberArk Endpoint Privilege Manager при поставке в качестве облачной услуги

Среди основных преимуществ использования CyberArk Endpoint Privilege Manager на предприятии можно отметить следующие:

  • Предоставление защиты на наиболее критичном этапе, т. е. на этапе, когда атака уже обошла традиционный периметр и все средства защиты и стоит задача обеспечить контроль прав на конечных точках.
  • Эффективная комбинация технологий для защиты, блокировки и остановки атак на конечных точках, что снижает потенциальный ущерб для бизнеса.
  • Решение позволяет при приложении незначительных усилий выстроить политику безопасности с минимальным влиянием на бизнес-процессы.
  • Решение позволяет запрещать пользователям устанавливать несанкционированные приложения и те приложения, которые вызывают нестабильную работу рабочих станций и приводят к увеличению нагрузки на техподдержку.
  • Удаление у бизнес-пользователей прав локального администратора не приводит к снижению продуктивности их работы и увеличению количества звонков в поддержку.
  • Относительно быстрое развертывание с автоматическим созданием политики, шаблоны OOTB-политики снижают нагрузку на службу поддержки, а автономный агент позволяет обеспечивать поддержку в условиях отделения безопасных сетей от небезопасных.
  • Решение препятствует распространению вредоносных программ по сети предприятия, снижая время и сложность восстановления.

CyberArk Endpoint Privilege Manager защищает конечные точки, работающие под управлением Windows и macOS, при этом поддерживается распознавание и категоризация всех популярных типов дистрибутивов, приложений, скриптов и других исполняемых объектов. Правила для регулируемых объектов могут быть составлены на основе множества различных параметров, например, доверенный издатель или доверенная система доставки приложений.

Решение CyberArk Endpoint Privilege Manager используется для различных задач, связанных с контролем привилегий приложений и привилегий пользователей при работе с приложениями на конечных целевых системах.

Один из кейсов использования решения CyberArk Endpoint Privilege Manager — это внедрение продукта в IT-компании, которая имеет более 100 офисов в различных странах и предоставляет услуги и техническую поддержку своим клиентам по всему миру.

В компании разнообразная ИТ-среда, более 85% пользователей имеют административные права на своих рабочих станциях и это является высокой угрозой для безопасности инфраструктуры. Чтобы уменьшать поверхность атаки, компания была вынуждена изменить политику безопасности и удалить административные права бизнес-пользователей на конечных точках. Вместо этого была принята новая политика безопасности с применением политик наименьших привилегий для конечных пользователей, что должно было уменьшить поверхность атаки как со стороны пользователей, так и со стороны зловредных программ, которые могут попасть на конечную точку.

Компании было важно определять конкретные приложения, которые должны иметь повышенные привилегии при работе, не предоставляя одинаковых привилегий для всех приложений, а также ограничить пользователей в использовании приложений.

С помощью CyberArk Endpoint Privilege Manager было обнаружено, какие конечные пользователи совместно использовали приложения для обмена файлами на корпоративных компьютерах, что явно нарушало политики безопасности. После этого приложение было заблокировано. Кроме того, ИТ-компания может в автоматическом режиме записывать и сохранять видео работы пользователя с определенным приложением или политикой и вести журналы аудита действий администратора. Это помогает соблюдать требования по политике безопасности и совместного использования клиентов.

Благодаря мгновенному оповещению о нарушениях политик работы с приложениями администраторы безопасности имеют возможность реагировать в режиме реального времени на нарушения и решать проблемы, при этом компания и администраторы экономят время и деньги.

Данный способ ограничения привилегий в приложениях с помощью решения CyberArk Endpoint Privilege Manager является наиболее эффективным и экономически выгодным для любой ИТ-компании.

Решение CyberArk Endpoint Privilege Manager также имеет примеры использования в сфере защиты банкоматов, работающих под Windows, от различного рода атак с использованием вредоносных программ, в том числе от шифровальщиков, которые могут попасть на банкоматы, нанося финансовый и репутационный ущерб банку. Используя модуль EPM, возможно настроить политики таким образом, что только разрешенные приложения и службы будут взаимодействовать между собой, тем самым блокируя любые вредоносные действия и возможность злоумышленников влиять на банкоматы при помощи софта.

Дополнительно необходимо защищать те сервера во внутренней сети банка, которые управляют банкоматами и которые дают команды и подтверждают операции по выдаче ими денег. При запуске вредоноса на сервере возникает возможность кражи денег с использованием поддельных банковских карт. Контроль приложений на сервере уменьшит площадь атаки на банкоматы.

Система с использованием EPM будет иметь единую консоль, через которую можно контролировать работающие приложения на банкоматах и серверах, давать разрешение на запуск того или иного программного обеспечения, видеть атаки в режиме реального времени и противодействовать.

Выводы

CyberArk Endpoint Privilege Manager, являющийся частью CyberArk Privileged Account Security Solution, представляет собой полноценное решение, разработанное для проактивной защиты против серьезных атак, которые эксплуатируют административные привилегии для получения доступа к «сердцу» предприятия, кражи конфиденциальных данных и повреждения критически важных систем.

Решение помогает организациям снизить поверхность атаки, исключая использование без необходимости прав локального администратора и усиливая защиту привилегированных учетных записей. Продукты, входящие в данное решение, могут управляться независимо или комбинированно для интегрированной защиты привилегированных учетных записей.

Продукты класса CyberArk Endpoint Privilege Manager в настоящее время являются необходимым новым звеном в защите информационных сетей предприятий.

www.anti-malware.ru

Обзор решений по защите от целевых кибератак

29 сентября 2016 Jet Info №8-9, Автор: Юрий Черкас

Не смотря на споры вокруг того, как же называются современные атаки: APT, таргетированные, целевые атаки или атаки zero-day, суть не меняется. Современные вредоносы и способы их доставки используют техники, которые позволяют достаточно легко обойти традиционные средства защиты: FW, IPS, web и email шлюзы, антивирусы. Их неуловимость достигается за счет того, что они очень умело маскируются под легитимные файлы и средства защиты просто не могут детектировать их в общем потоке. Ярким примером является заражение криптолокерами.

Механизмы защиты от кибератак

Сегодняшняя ситуация на рынке защиты от кибератак напоминает с детства знакомые строчки В. Маяковского: «Все работы хороши, выбирай на вкус». Огромное количество ИБ-производителей заявляют, что их продукты позволяют эффективно бороться с таргетированными атаками и атаками zero-day. Причем разговор идет о продуктах самых различных классов:

  • SIEM,
  • «песочницы»,
  • Security Analytics,
  • средства защиты конечных станций,
  • мониторинг сетевой активности на базе NetFlow,
  • контроль привилегированных пользователей,
  • сетевые средства защиты периметра (NGFW и NGIPS),
  • web- и email-шлюзы.

При таком обилии решений достаточно непросто сложить систематизированную картину и понять, какое именно решение наиболее оптимально подходит для решения конкретных задач или для закрытия того или иного канала атак. По этой причине зачастую складывается ошибочное мнение о том, как эффективно противостоять современным атакам.

В действительности же Gartner еще в 2013 году систематизировал все механизмы защиты от современных целенаправленных атак и выделил 5 стилей:

Рисунок 1. Классификация Gartner

Эта диаграмма, на мой взгляд, позволяет наиболее наглядно получить представление об имеющихся механизмах защиты и понять, какой из них на каком уровне следует применять.

Как видно из диаграммы, все механизмы защиты с точки зрения времени их использования делятся на 2 группы:

  1. средства выявления атак в режиме реального времени (или близко к реальному времени);
  2. средства расследования, которые используются уже после проведения атаки.

На сегодняшний день наибольшее внимание уделяется первой группе решений, поэтому предлагаю рассмотреть именно эту группу. Повышенный интерес именно к этой группе закономерен. Ведь прежде чем приступить к расследованию, нужно сначала обнаружить вредонос. По этой причине приоритет на стороне средств выявления атак, которые рассматриваются как первый шаг при построении системы защиты от современных атак.

Как мы видим, решения этой группы, в свою очередь, могут применяться на 3 различных уровнях:

  1. анализ сетевого трафика;
  2. анализ контента (например, файлов);
  3. анализ поведения рабочих станций.

При этом надо понимать, что есть решения, которые покрывают своим функционалом сразу несколько уровней, но обо все по порядку.

Анализ сетевого трафика

Под анализом сетевого трафика часто понимают использование традиционных средств сетевой безопасности, например, FW или IPS. Безусловно, данный класс решений смотрит на профиль трафика и анализирует его по сигнатурам, а в ряде случаев даже выполняется его эвристический анализ.

Однако есть несколько нюансов, которые не позволяют говорить об эффективности этих решений:

  • в большинстве случаев FW и IPS установлены на периметре и не анализируют трафик внутри сети;
  • как правило, традиционные средства сетевой защиты не строят статистическую модель профиля трафика, и соответственно, не могут определять отклонения от это модели.

Обе эти особенности как раз учитывают решения класса Network Behavior Analyses (NBA).

Данные решения «смотрят» копию всего сетевого трафика, как внутреннего, так и внешнего. При этом важной особенностью является возможность автоматической дедупликации потоков, что позволяет строить реальную модель трафика. Почему это важно легко понять на примере, когда на IPS или FW направляется несколько span-портов. Анализ нескольких span-портов на стандартных FW и IPS (например, до и после web-proxy) приводит к тому, что один и тот же трафик рассматривается как несколько независимых потоков. В результате мы видим объем и характеристики трафика, не соответствующие действительности.

Другой особенностью является наличие движка, который строит статистическую модель поведения сети. Здесь можно провести аналогию с Web Application Firewall, который сначала изучает поведение и структуру приложения, а потом уже на основе построенный модели строит политики безопасности.

Типовая архитектура этих решений выглядит следующим образом:

Рисунок 2. Типовая архитектура NBA-решенийКак видно из схемы решения NBA могут работать как непосредственно с NetFlow, если сетевое оборудование может генерировать его, так и с копией трафика. Во втором случае используются специальные зонды или коллекторы, которые получив копию трафика на его основе могут генерировать NetFlow или, например, IPFIX, который несет в себе больше метаданных о трафике.

Все данные о потоках агрегируются на специализированных сенсорах, где уже можно работать с этой информацией: анализировать статистику, строить модели нормального поведения, задавать пороговые значения и т.д. Принципы работы этих решений схожи и изображены на рисунке:

Рисунок 3. Принцип функционирования NBA-решений

Важно отметить, что многие решения NBA также имеют функционал по сбору (захвату) «сырого» трафика. Естественно, что постоянная запись трафика потребует колоссальных объемов систем хранения, поэтому существует возможность начинать запись в случае срабатывания настраиваемых триггеров (например, в случае превышения порогового значения). Именно этот функционал наряду с мониторингом состояния и поведения сети позволяет проводить расследования инцидентов.

И если раньше анализ сети на базе NetFlow в основном был востребован ИТ-службами, то в последнее время мы наблюдаем возрастающий интерес к данной технологии со стороны служб ИБ. Основными игроками на российском рынке в этом классе нам видятся Cisco Cyber Threat Defense (ранее известный как Lancope), Arbor Spectrum (описанию этой технологии в данном номере посвящена отдельная статься) и Flowmon (ранее известный под чешским брендом Inveatech). Если говорить о месте этих продуктов в противодействии современным атакам, то они полностью покрывают уровень сети.

Рисунок 4. Место NBA в классификации Gartner

Анализ контента

Анализ контента, пожалуй, является наиболее востребованным на сегодняшний день функционалом. Связано это, на мой взгляд, с объективными причинами. Если на уровне сети и рабочих станций уже используются различные средства защиты и мониторинга, то вот средства, которые бы позволяли эмулировать запуск файлов, в составе ИТ-инфраструктуры, как правило, отсутствуют. Обычно решения этого класса принято называть «песочницами», хотя понятие контента все же несколько шире, чем просто файлы.

Песочницы имитируют рабочие станции организации. Получаемые из интернета файлы запускаются в этих песочницах, и проводится их анализ. Если запускаемый файл влечет за собой деструктивное воздействие, то он определяется как вредоносный.

Рисунок 5. Принцип функционирования песочницы

Особенности архитектуры

Соответствующих решений на российском рынке сегодня представлено не малое количество. Можно условно разделить все решения на 2 группы:

  1. отдельные специализированные решения (FireEye, TrendMicro Deep Discovery, Kaspersky Anti Targeted Attack Platform);
  2. продукты, интегрируемые с другими решениями портфеля производителя, в частности: McAfee (Intel Security) Advanced Threat Defense, PaloAlto WildFire, BlueCoat Malware Analysis Appliance, CheckPoint SandBlast, Fortinet FortiSandbox.

Отдельно нужно отметить наличие облачных сервисов у производителей средств сетевой безопасности, в частности CheckPoint, PaloAlto и Fortinet. Данный вариант не пользуется особенной популярностью ввиду того, что инспектируемые файлы покидают пределы компании, однако может послужить неплохой альтернативой для проверки файлов, скачиваемых из интернет.

Выбор конкретного решения существенно зависит от того, какие средства уже используются в инфраструктуре. Так, например, если на защите периметра сети уже установлен CheckPoint, Fortinet или PaloAlto, то весьма логичным будет приобретение и установка SandBlast, FortiSandbox и WildFire, соответственно. Если же цель в построении платформонезависимого решения, то имеет смысл присмотреться и к первой группе продуктов.

Особенности интеграции

Что касается особенностей интеграции, то здесь все не однозначно. Если говорить о продуктах, интегрируемые с другими решениями портфеля производителя, то при наличии шлюза интеграция по сути является бесшовной. Достаточно просто обеспечить сетевую связность песочницы со шлюзом. При этом важно отметить, что все современные NGFW и Web Gateway умеют раскрывать SSL «из коробки», поэтому вопросов инспекции файлов, передаваемых по протоколу https не возникает. Совсем другая картина обстоит с продуктами первой группы. В этом случае необходимо проработать вопрос направления web и почтового трафика на устройства анализа. При этом для https-трафика отдельное внимание нужно уделить его расшифровке. На сегодняшний день для этих целей потребуются дополнительные устройства, которые бы выполняли функцию SSL Interception (например, специализированные устроства A10, F5 или Web Gateway).

Функциональные особенности

Вне зависимости от производителя важно понимать, что песочница является неотъемлемой и основной частью системы защиты от современных атак. Именно песочница выполняет динамический анализ контента. При этом основная задача песочницы – это выявление признаков вредоносной активности файлов, а не их блокировка. Именно поэтому ряд продуктов работает исключительно с копией трафика и не поддерживает режим inline.

C точки зрения анализируемого контента все песочницы можно разделить на 2 группы:

  • анализ только файлов определенного типа;
  • расширенная имитация действий пользователя (например, переход по ссылке, полученной по email).

С учтем того, что атаки могут быть многоступенчатыми наличие функций расширенной имитации действий пользователя повышают качество детектирования, однако на сегодняшний день не все производители поддерживают такую возможность.

Довольно часто приходится слышать вопросы о возможностях блокировки вредоносной активности с помощью песочницы. В действительности, режим блокировки довольно безболезненно можно использовать только для почтового трафика, т.к. придержать письмо для анализа на 2-4 минуты не критично. Однако совсем другая ситуация с блокировкой web-трафика, анализ которого в режиме онлайн будет вносить заметные задержки в работу пользователей. Еще большая задержка будет наблюдаться в случае расшифровки https трафика. Именно поэтому в большинстве случаев inline режим для анализа web-трафика не используется.

Таким образом, говоря о песочнице, чаще всего мы имеем ввиду именно анализ контента.

Рисунок 6. Место песочниц в классификации GartnerФункция блокировки и устранения последствий заражения в этом случае возлагается на средства сетевой безопасности и на агентов, устанавливаемых на рабочие станции.

В данном случае FW и IPS смогут блокировать повторную попытку проникновения заражённого файла в сеть или его распространение внутри сети (естественно, если внутрисетевой трафик проходит через них). Блокировка осуществляется только в случае интеграции песочницы со шлюзами или при установке а режиме inline.

Поведенческий анализ рабочих станций

Исторически технологии противодействия APT-атакам фокусировались на непосредственно «песочницах» и устройствах анализа web и email трафика. Вместе с тем и мы, и производители постоянно слышали вопросы: А как устранить последствия заражения и как понять, какие рабочие станции ему подверглись? Логичным развитием antiAPT технологий стало смещение фокуса на разработку агентского ПО для установки на рабочие станции. В ряде случаев эти агенты совмещены с антивирусами, но есть и отдельное агентское ПО, которое является дополнением к антивирусу и никак не влияет на его работу. Все ведущие производители на сегодняшний день реализовали этот компонент в своем портфеле решений.

Обзору возможностей агентов различных производителей в нашем номере посвящена отдельная статья, поэтому не буду останавливаться подробно. Однако отдельно хочется отметить, что наиболее эффективное противодействие угрозам заключается как раз в связке песочницы с агентом для рабочих станций. Такое взаимодействие может осуществляться в двух направлениях:

  • от песочницы к конечным станциям;
  • от конечных станций к песочнице.

В первом случае песочница детектирует вредоносный файл и формирует признаки (маркеры) компрометации, к которым могут относиться, например, создаваемые вредоносом ключи реестра или процессы Windows. Далее с помощью агентов проводится опрос всех рабочих станций на предмет присутствия данных признаков компрометации. Таким образом, выявление зараженных хостов в сети происходит полностью автоматизировано. Более того, некоторые агенты имеют возможность изоляции зараженных хостов от сети (помещать их в так называемый карантин) путем отключения сетевых интерфейсов.

Второй направление актуально, когда вредоносное ПО попадает на рабочую станцию не по сети, а, например, с флэшки. В этом случае, агент может отправлять копию файла на проверку в песочницу. В зависимости от настроек агента это может выполняться как в фоновом режиме параллельно с запуском файла, так и в превентивном режиме, когда запуск файла будет невозможен до тех пор, пока песочница не пришлет в ответ положительный вердикт.

Таким образом, связка песочницы с агентами позволяет нам говорить уже о реализации сразу нескольких стилей защиты по классификации Gartner.

Рисунок 7. Место комбинации песочниц и агентов в классификации GartnerКак защищаться от целенаправленных атак?

Если говорить о подходе к реализации проекта, то технологических (продуктовых) направления всего два:

  1. Network Behavior Analyses (NBA).
  2. Payload Analysis + Endpoint Behavior Analysis.

Дело в том, что сегодня все производители песочниц в той или иной мере реализовали и защиту конечных станций. Это дает нам возможность говорить о том, что анализ контента и рабочих станций можно реализовать в рамках одного проекта с помощью продуктов одного производителя.

Это также подтверждает наш опыт тестирования подобных решений, когда в рамках пилотного проекта демонстрируются не только возможности самой песочницы и средств анализа, но и ее связка с агентами для рабочих станций.

Если говорить о стоимости таких проектов, то важно отметить возможность их поэтапной реализации. Здесь можно привести ряд примеров, основанных на нашем опыте:

Пример 1

В 1-ый год был приобретен апплаинс для защиты электронной почты, т.к. именно этот канал распространения угроз являлся наиболее критичным. В 2-ой год система защиты была дополнена устройством анализа web-трафика и системой централизованного управления. На 3-ий год запланирована закупка агентов для защиты рабочих станций.

Пример 2

В 1-ый год защита была реализована с помощью облачной подписки на NGFW. Правда, надо отметить, что в данном случае инспектировались только файлы, скачиваемые из Интернет, т.к. заказчик не решился отправлять в облако вложения электронной почты. Однако даже такое ограниченное использование позволило в течение года собрать достаточное количество аргументов в сторону необходимости расширения данного функционала. На 2-ой год была приобретена полноценная песочница, которая была нативно интегрирована с NGFW и позволила контролировать контент, передаваемый по электронной почте. В будущем планируется расширение функционала за счет приобретения агентов на рабочие станции.

Подводя итог, хотелось бы сказать, что тема защиты от APT перестала быть какой-то маркетинговой страшилкой, а имеет под собой весьма конкретные примеры заражений, с которыми уже столкнулись многие из наших заказчиков. Самым показательным является то, что каждый 3-ий запрос, связанный с безопасностью ИТ-инфраструктуры, направлен именно на противодействие APT-атакам.

www.jetinfo.ru


Смотрите также