Анатомия таргетированной атаки. Часть 3. Способы профилактики и противодействия

 ВЕНИАМИН ЛЕВЦОВ, вице-президент, глава корпоративного дивизиона «Лаборатории Касперского»

 НИКОЛАЙ ДЕМИДОВ, технический эксперт «Лаборатории Касперского»

Анатомия таргетированной атаки
Часть 3. Способы профилактики и противодействия

Эта статья является продолжением цикла публикаций, посвященных природе таргетированных атак, их особенностям и методам противодействия им

Ознакомиться с первыми двумя частями материала можно, пройдя по указанным ниже ссылкам:

• часть первая [1] посвящена истории происхождения целевых атак, детальное описание первой подготовительной фазы – http://samag.ru/archive/article/3170;
• часть вторая [2] посвящена описанию развития атаки по ее фазам – http://samag.ru/archive/article/3170.

APT (Advanced persistent threat) – комбинации утилит, вредоносного ПО, механизмов использования уязвимостей «нулевого дня» и других компонентов, специально разработанных для реализации атаки.

Целенаправленная или таргетированная атака – это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом).

Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения:

• адресность;
• скрытность;
• продолжительность;
• использование разнородных инструментов и методов;
• изменчивость вектора атаки, ее инструментария по мере развития;
• наличие центра управления атакой – преступной группы, в которой есть и профессиональные ИТ-эксперты.

Возникает вопрос о возможных способах противодействия такой операции. В третьей части публикации мы предложим комплексный подход, который призван помочь в решении этой непростой задачи.

Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.

Стратегия противодействия целевым атакам

Комплексная стратегия включает четыре важных элемента системы защиты, которые описаны далее. Мы приводим их в порядке, которому по нашему опыту на практике следуют компании по мере роста зрелости их систем:

• А. Предотвращение. Целью является недопущение начала и развития атаки.
• Б. Обнаружение. Исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину.
• В. Реагирование. В случае подтверждения факта атаки определяются последствия и шаги по их устранению.
• Г. Прогнозирование. Цель – реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки.

Рисунок 1. Стратегия противодействия целевым атакам

Предотвращение таргетированной атаки

Главная цель – не допустить запуска неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер – хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию илизапуск какого-то процесса в инфраструктуре, и обучение.

Технические средства

Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, «классика» может оказать посильную помощь. Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (black & whitelisting) приложений.

Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия – воспроизводится вероятная конфигурация межсетевого экрана, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, которая использует решения от различных производителей, регулярно обновляемая, проходящая health-check хотя бы раз в год, остается важным участком обороны, который в ряде случаев может остановить саму попытку атаки.

Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим:

• Таргетированная атака Carbanak, направленная на финансовые учреждения, кумулятивный приблизительный ущерб от которой составил 1 млрд долларов. Многие из пораженных банков не имели сегментации внутренней сети, сеть управления банкоматами была доступна из корпоративной сети, чем воспользовались киберпреступники. Использование сетевых экранов для сегментации сети и межсегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании.
• Таргетированная атака Hellsing, направленная на шпионаж в правительственных структурах, использовала в своем развитии целенаправленный фишинг – распространение писем с вложением, запароленным архивом. Это позволяло надежно обходить традиционные средства защиты, основанные на проверке вложений. Внутри архива содержались PDF-файлы с вложенным бэкдором. Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус) и тем самым усложнит организацию целевой вредоносной рассылки.

Важно отметить, что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус, хоть и относится к превентивной группе, но обладает рядом подобных технологий изкатегории machine learning или самостоятельного обучения.

Одной из таких технологий в составе продуктов «Лаборатории Касперского» является Automatic Exploit Prevention (AEP) по защите от эксплуатации уязвимостей в приложениях. Она основывается на глубоком анализе процесса работы ПО, относящегося к группе риска (повышенного внимания хакеров), а также окружения операционной системы в целом. Технология анализа поведения выявит попытку эксплуатации уязвимости, так как она проанализирует непосредственный процесс его работы.

Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патч-менеджемента, как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.

Обучение в целях повышения грамотности в области ИБ

Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа винфраструктуру. Минимизация пробелов в знаниях по ИБ позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека без применения технических средств и для чего используется целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение.

Для того чтобы приносить реальную пользу в отражении атак, такое обучение «кибергигиене» должно охватывать важнейшие области знаний, представления о которых обязан иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности:

• назначение антивируса и контроля приложений;
• уведомления систем безопасности – реакция на них;
• понимание проблемы утечки данных;
• риски при использовании мобильных устройств;
• угрозы при работе с электронной почтой и интернетом;
• социальные сети и риски работы в них;
• методы социальной инженерии;
• развитие бдительности;
• политика ИБ и как ее можно нарушить.

Эффективное сочетание классических превентивных решений защиты вместе с обученным основам кибербезопасности персоналом усложняют задачу атакующему. Но что делать, если атаке удалось «зацепиться» в сети и начать развитие? Увы, практически всегда организации понимают, что предотвратить и исключить атаку полностью невозможно.

Детектирование

Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:

• Тренинги и иные способы повышения экспертизы. Специалисты ИБ имеют достаточно глубокие представления о природе и особенностях таргетированных атак, постоянно повышают уровень своих знаний, в чем организация ихвсячески должна поддерживать.
• SIEM как автоматизация обработки событий ИБ.
• Внешние источники информации об угрозах, или Threat Intelligence. Поставки актуальной информации об угрозах в виде фидов (потоков данных), списков IoC, отчетов.
• Системы с динамическим анализом исполнения. Специализированные средства выявления признаков таргетированной атаки.
• Сервисы по выявлению атак с проведением регулярных проверок.

Обеспечение экспертизы

Первым условием является профессиональное обучение расследованию целевых атак – специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу. Курс затрагивает следующие аспекты:

• что такое инциденты ИБ и их категоризация;
• как проводить сбор свидетельств инцидента;
• изучение прикладной науки – «криминалистика компьютерных преступлений (Digital Forensics)»;
• как применять специализированные инструменты.

По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.

Автоматизация обработки событий безопасности

Развитие информационной безопасности подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных ИТ-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий – менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and event management) по управлению событиями ИБ, которая призвана решать следующие задачи:

• сбор, объединение, хранение событий, получаемых от различных источников;
• оперативное обнаружение нарушений политик ИБ;
• автоматическое оповещение и управление инцидентами;
• формирование базы знаний по инцидентам;
• предоставление отчетности для аналитиков.

За последние 15 лет SIEM получил широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером.

Недостаток SIEM – обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и ихвекторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно.

Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку, например о действующих командных центрах ботнетов или фишинговых сайтах.

Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM:

• Учетная запись сотрудника Иванова была использована на его рабочей машине в рабочие часы. В то же время пропускная система не имела записей о приходе сотрудника на работу (карточка не активирована), следовательно, коррелятор, сопоставив оба события, создаст инцидент ИБ.
• Три неправильные попытки входа в день с определенного хоста на протяжении определенного периода.
• Множественные RDP-соединения с рабочей машины, где ранее удаленный доступ не использовался.
• Всплеск сетевого трафика между различными узлами в нерабочие часы.

Threat Intelligence – данные об актуальных угрозах ИБ

Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить три источника оперативных данных об угрозах:

• Потоки данных (Threat Data Feeds).
• Отчеты, содержащие детали конкретных целевых атак или механизмов, задействованных для их реализации.
• Мониторинг активности ботнет-сетей.

Потоки данных (Threat Data Feeds)

За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят изаналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий. Например, «Лаборатория Касперского» детектирует и описывает свыше 315 000 уникальных угроз в день, большая часть которых попадает в поток данных.

Ввиду непрерывности процесса описания новых угроз лучшим способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation – простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид, под конкретное решение благодаря использованию парсера (программы для считывания и обработки текстовых данных).

Фактически поток данных (data feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются вимеющихся средствах защиты, например SIEM.

Поток данных является неотъемлемой частью любого SOC (Security operational center, ситуационный центр управления безопасностью).

Что может содержать в себе поток данных:

• набор URL-адресов, соответствующих наиболее зловредным ссылкам и веб-сайтам;
• IP-репутация – градация IP-адресов по уровню безопасности;
• набор файловых хешей, охватывающий вредоносные программы;
• активность ботнет-сетей (вредоносные объекты, командные центры).

Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы.

Приведем наглядный пример – на базе обнаруженного командного центра ботнет-сети, ниже вы видите строки, содержащиеся в полученном JSON-пакете:

• Уникальный идентификатор записи – «id»:«143348».
• Ссылка на домен центра управления «mask»: «botnetccurl.com».
• Тип записи (применяется для сопоставления правил в корреляторе) «type»:«1».
• Первый раз, когда был замечен «first_seen»:«08.04.2014 16:45».
• Последний раз, когда был замечен «last_seen»:«12.02.2015 13:56».
• Популярность (насколько распространен, наивысшая популярность 5) «popularity»: «5».
• Наименование угрозы «threat»:«CnC.Win32.ZBot».

После того как информация из полученного JSON-пакета с помощью парсера будет добавлена в SIEM, любое обращение на домен botnetccurl.com из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Это позволит обнаружить возможные инфицированные машины внутри компании.

Отчеты об APT

Помимо потоков данных, на рынке существует возможность получать детализированные отчеты.

Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SoC и командой аналитиков.

APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными исостоят из нескольких типов файлов:

• IOC – индикатор компрометации, описание вредоносных объектов.
• YARA – набор детектирующих правил.
• Детальный отчет, содержащий анализ (фазы развития) атаки.

Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы.

Например, подобные публичные отчеты можно найти на www.securelist.ru.

Анализ активности ботнет-сетей

Последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения malware (PC), драйвером бурного роста выступили решения класса «Интернет вещей» (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к интернету иобладают достаточным запасом производительности.

Почему стоит обращать внимание на активность ботнет-сетей в разрезе профилактики таргетированной атаки?

Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком).

Также через ботнет-сети часто осуществляют DDoS-атаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса.

Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания:

• В 2011 году кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке, в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.
• В 2015 году таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберпреступники применили масштабную DDoS-атаку на внешние веб-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.

Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.

Мониторинг ботнет-сетей

Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах:

• В составе потока данных (data feed), предоставляя комплексную информацию по всем известным ботнет-сетям со всего мира.
• Детальный отчет, информирующий компанию перед началом попытки реализации атаки на корпоративные ресурсы.

Каким образом осуществляется мониторинг активности ботнет-сетей? Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбо-хостами.

Результаты анализа попадают в отчет, который содержит следующую информацию:

• тип ботнета – классификация;
• IP-адреса командных центров;
• географическое распределение образцов ПО;
• тип атаки – информация о целях и используемом ПО;
• сведения об использованных алгоритмах атаки (инъекции веб-кода);
• MD5 – хеши вредоносного ПО.

Услуга по анализу активности ботнет-сетей является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.

Внедрение специализированных систем обнаружения таргетированных атак

Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладающие средствами сбора информации о событиях на разных уровнях инфраструктуры как на внешнем контуре (веб, e-mail, основной gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.).

Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак.

Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты:

• сетевые/почтовые сенсоры, позволяющие осуществлять сбор информации с различных контрольных точек;
• сенсоры рабочих станций, позволяющие увеличить охват и детализацию анализируемой информации;
• компонент динамического анализа объектов;
• центр по анализу аномалий – создание типовых шаблонов поведения и контроль отклонений от них;
• облачный репутационный сервис – обновляемая в реальном времени база знаний об угрозах, в том числе и по компонентам таргетированных атак.

Основные технологии обнаружения следов таргетированной атаки

Рассмотрим подробнее применяемые технологии в системах обнаружения целевой атаки.

Динамический анализ объектов (песочница) – технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница – это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения.

Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя различные техники обхода (Sandbox Evasion).

Приведем пример нескольких Sandbox Evasion-техник, когда объект не проявит свою активность:

• Разрешение экрана не более чем 800x600. Обычный пользователь не будет использовать такое разрешение в работе.
• Наличие установленных программ (определенный инвентарь). Например, любые установленные средства, которые свидетельствуют о наличии виртуальной среды.
• Отсутствие действий при демонстрации диалогового окна. Нет реакции, следовательно, за машиной никто не работает.

Поэтому важной особенностью современной песочницы является ее способность противостоять техникам обхода (Anti-Evasion).

Пример Anti-Evasion техник:

• Эмуляция работы пользователя (движения мышью, работа на клавиатуре).
• Распознание диалоговых окон, автоматическое действие.
• Выполнение прокрутки документа на вторую страницу (scroll).
• Настройка окружения, максимально похожего на реального пользователя.

Анализ аномалий – технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность.

Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.

Пример работы анализатора аномалий:

• Нетипичное сканирование сети, осуществленное с рабочей станции секретаря.
• Использование программ удаленного доступа в нерабочие часы либо в определенное повторяющееся время.
• Загрузка в сеть большого объема данных.

Внедрение специализированных систем обнаружения таргетированной атаки позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.

Сервис по выявлению таргетированной атаки

В случае подозрения на аномальную активность внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого – обнаружение следов таргетированной атаки и выработка рекомендаций по ихустранению.

Более детально о перечне работ в рамках такого сервиса:

• Анализ ландшафта угроз, применимо к конкретной компании.
• Использование специализированных средств для обнаружения следов компрометации.
• Анализ исходящих сетевых соединений для обнаружения возможных соединений с командными центрами киберпреступников.
• Использование открытых источников (OSINT).
• Сбор улик.
• Анализ улик и реконструкция инцидента (хронология и логика).
• Анализ вредоносного ПО, использованного в атаке (в случае его обнаружения).
• Обнаружение вероятной компрометации других систем в окружении.
• Предоставление рекомендаций по дальнейшим шагам исправления.

Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.

Реагирование

Третьим элементом стратегии является реагирование. Основная цель заключается в реакции на инцидент информационной безопасности, опирающейся на набор принятых процедур, направленных на минимизацию ущерба и устранение последствий.

Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы.

Этапы реагирования включают:

• идентификацию;
• сдерживание;
• лечение;
• восстановление;
• выводы и профилактику.

В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования в случае APT имеет свою специфику. Нужно принять тот факт, что, поскольку компания является целью для атаки, рано или поздно атакующий пробьется в инфраструктуру тем или иным образом. Исходя из этого необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб.

Для наглядности рассмотрим пример. Допустим, атакующий нашел уязвимость в ИТ-инфраструктуре компании и получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети, чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и в конце концов выгружать корпоративные данные на внешние ресурсы. И, если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных.

Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделав его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это, он может также вычистить следы атаки.

После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить векторы проникновения и распространения. На этом этапе важно понимать, что если в процессе анализа будут обнаружены не всекомпоненты и следы компрометации, то есть риск, что атакующий сможет остаться в системе, впоследствии изменить поведение и еще долго продолжать свою деятельность.

Поэтому важно формализовать все полученные в результате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак инеобходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.

Прогнозирование

Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные векторы угроз дляоперативного устранения брешей в системе безопасности.

Этап прогнозирования помогает справиться с данной задачей и включает в себя следующий набор услуг:

Тест на проникновение (Penetration test). В ходе теста моделируется вторая фаза таргетированной атаки «Проникновение», в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.

Оценка уровня защищенности (Security assessment). На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в исследуемой инфраструктуре, указав на возможные векторы угроз.

Своевременная оценка уязвимостей (Vulnerability assessment). Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch management), обеспечивающий своевременное обновление программных продуктов.

Чтобы получить точную оценку угроз для выполнения каждого из этих тестов, рекомендуется привлекать высококвалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.

Аналитический отчет об угрозах информационной безопасности (Threat Intelligence Report). Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, безвзаимодействия с внутренней инфраструктурой компании.

Длительность предоставления сервиса равна одному кварталу, что позволяет определить:

• актуальные угрозы;
• факты компрометации информационных систем;
• наличие потенциальных уязвимостей;
• наличие действующего вредоносного ПО.

Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы.

В следующей статье, завершающей цикл, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений.

1. Левцов В., Демидов Н. Анатомия таргетированной атаки. Часть 1. //«Системный администратор», №4, 2016 г. – С. 3639 (http://samag.ru/archive/article/3170).
2. Левцов В., Демидов Н. Анатомия таргетированной атаки. Часть 2. Развитие атаки. //«Системный администратор», №5, 2016 г. – С. 16-21 (http://samag.ru/archive/article/3188).

Комментарии могут оставлять только зарегистрированные пользователи