Сегодня для бизнеса наибольшую ценность имеет информация, а не материальные активы. Данные нередко называют нефтью для цифровой экономики. Как и любая ценность, информация представляет собой вожделенную добычу для злоумышленников и нуждается в качественной и надежной защите. Преступники стараются завладеть сведениями, используя как массовые, так и таргетированные (они же целевые) атаки. Если первые больше напоминают ковровые бомбардировки огромных территорий, то таргетированное нападение можно сравнить со сложной разведывательной операцией, которая планируется заранее с учетом всех деталей и особенностей ИТ-инфраструктуры и систем жертвы.
Атаки с индивидуальным подходом
Злоумышленники, проводящие целевые атаки, как правило, прекрасно подготовлены: им известен список сотрудников атакуемой компании, их штатное расписание, круг профессиональных обязанностей и т. д. В отличие от массовых атак, которые фиксируются практически сразу, целевая атака осуществляется в течение длительного времени, например, нескольких месяцев либо даже целого года и дольше. Эксперты «Лаборатории Касперского» утверждают, что длительность таргетированных атак составляет от 100 дней и выше. За это время преступники успевают не только проникнуть в сеть жертвы, но и прекрасно в ней освоиться, изучить особенности используемого оборудования и информационных систем. Еще одно отличие целевых атак от массовых заключается в том, что, если последние не требуют от злоумышленника каких-либо специальных знаний в области программирования, особенностей работы сетевого оборудования и протоколов и поэтому могут осуществляться любителями, среди которых немало школьников, купивших вредоносное ПО и желающих опробовать его «в деле», то для таргетированных атак применяется специально написанное для них программное обеспечение, которое учитывает специфику оборудования и систем защиты, используемых жертвой. Нередко для таких атак применяются еще неизвестные уязвимости нулевого дня и созданные специально для них эксплойты. Банды киберпреступников могут взломать ИБ-систему, но вместо того чтобы воспользоваться результатами взлома, они продадут доступ конкурентам жертвы, готовым заплатить за него немалые деньги. Поскольку себестоимость целевых атак достаточно высока, то и совершаются они исключительно из корыстных интересов. Целью атакующего не является глобальное нарушение работоспособности ИТ-систем и ресурсов жертвы. Его интересует другое — похищение данных из одной или нескольких систем, фальсификация или дискредитация информации и т. д. Зачастую мошенники забирают добычу, а пострадавший даже не подозревает о произошедшем, до тех пор пока не обнаружит свои конфиденциальные данные в открытом доступе либо, что еще хуже, в руках конкурентов. В настоящее время все большее распространение получает термин APT — Advanced Persistent Threat. Он включает в себя целый комплекс, состоящий из вредоносного ПО, методов социальной инженерии, уязвимостей нулевого дня, а также других компонентов, специально созданных для атаки на конкретную организацию. В дальнейшем, в случае удачи, злоумышленники могут использовать эти же средства, пусть с небольшими изменениями, и для атаки на другие потенциальные «объекты».
Слабое звено
Как злоумышленники проникают в корпоративную сеть, чтобы начать атаку? Здесь часто используются вполне стандартные методы, такие как фишинг, ссылки, распространяемые посредством электронной почты и мессенджеров. Однако поскольку атаки эти направлены на конкретные компании и даже на конкретных сотрудников, они подготовлены намного лучше, а потому стандартные средства защиты против них бессильны. Нередко применяется и старая добрая социальная инженерия, которая используется столько, сколько существует человечество, ведь именно человек самое слабое звено в любой системе защиты, а желание идти навстречу и помогать другим людям заложено в нас с детства. Атаки, основанные на социальной инженерии, намного дешевле и доступнее в осуществлении, но опасность от них не меньше.
Борьба снаряда и брони
Что касается методик противодействия целевым атакам, то классические антивирусные решения здесь не помогут. Необходимы средства, детектирующие аномалии в работе сети и отдельных компьютеров. Такие инструменты должны уметь распознавать атаки и автоматически предотвращать их, оповещая об этом пользователя и администратора информационной безопасности. В тех случаях, когда речь идет о еще неизвестных типах атаки, которые нельзя однозначно оценить как угрозу, инцидент отмечается как подозрительный, а информация о нем сохраняется для дальнейшего расследования. Средство обнаружения таргетированных атак является частью интегрированной системы защиты корпоративной ИТ-инфраструктуры и работает в тесной интеграции с другими ИБ-решениями, в первую очередь c SIEM. Сегодня разработчики особое внимание уделяют не только выявлению аномалий в функционировании сети и отдельных компьютеров, но и анализу общей картины событий, в частности за несколько месяцев. На основании этого и выносятся решения о принятии соответствующих мер.
Анализ, основанный на машинном обучении
Одно из таких решений —Kaspersky Anti Targeted Attack Platform (KATA), разработанная «Лабораторией Касперского». С помощью широкого набора аналитических возможностей, основанных на машинном обучении и алгоритмах искусственного интеллекта, KATA дает полное представление о том, что происходит в масштабах даже географически распределенной корпоративной ИТ-инфраструктуры. Возможности платформы позволяют провести глубокий детальный анализ угроз, в том числе и с помощью «песочницы». Наконец, KATA умеет обмениваться вердиктами и работать в единой среде со всеми корпоративными ИБ-системами «Лаборатории Касперского» и других производителей.
Цифровая трансформация бизнеса открывает целый океан новых возможностей для компаний. Корпоративная мобильность, облака, новые сервисы и платформы – все это должно быть надежно защищено, в том числе и от целевых атак злоумышленников. Для этого необходимы умные самообучающиеся системы, способные наблюдать, анализировать, сопоставлять данные и принимать на их основе верные решения.
Источник: Журнал IT-Manager № 06/2018