Все большую популярность у злоумышленников приобретают целевые атаки (APT), когда конкретно выбранная жертва попадает под многоуровневую атаку команды киберпреступников. Такие случаи в России уже были и нанесли огромный ущерб.
Примером целевой атаки может служить и «дело об упавшем банкомате», о котором рассказал представитель ЛК Сергей Гордейчик. Целевая атака на банкоматы одного из банков проводилась через магистраль MPLS телеком-подрядчика, доступ к которой злоумышленники получили методом социальной инженерии. Изучив открытые источники информации, злоумышленники выяснили, какие банки подключены к магистрали, и, используя незащищенные маршрутизаторы на периметре банка, получили доступ к контроллеру домена сети банкоматов. После этого они организовали сбор данных о карточках клиентов, воспользовавшихся банкоматами атакованной сети.
Инцидентов с карточками клиентов самого банка не было, поэтому не было и поводов для беспокойства у службы ИБ этого банка. Но банкоматами пользовались и клиенты, имеющие карточки других банков. Вот с них впоследствии и снимались деньги.
Киберпреступность все время совершенствуется и изобретает все более сложные схемы. Она перешла на промышленный уровень с узкой специализацией и разделением труда. Одни делают и продают зловреды, другие находят и продают на черном рынке доступ к системам предприятий, третьи проводят атаки, четвертые осуществляют их монетизацию. Целевых атак мало, всего один процент, но на эти атаки, по данным ЛК, приходится 90% нанесенного ущерба.
С этим надо что-то делать, и ЛК предложила свой вариант решения проблемы. Она выпустила специализированную платформу для обнаружения целевых атак Kaspersky Anti Targeted Attack Platform (KATA Platform).
Олег Глебов, руководитель направления развития решений компании по противодействию целевым атакам и передовым угрозам, рассказал, что к созданию этого продукта приступили два года назад, а в разрабатываемые технологии вложили весь накопленный компанией опыт. В том числе и опыт расследования целевой атаки на саму ЛК.
KATA Platform выявляет целевые атаки и сложные угрозы, которые не способны распознать традиционные защитные решения. Платформа делает это так, как это делают сами сотрудники ЛК, то есть на основе знания угроз и международного опыта противодействия им, с распознаванием нетипичной активности, с использованием проверенной годами «песочницы», с многоуровневым контролем ИТ-среды.
KATA Platform выявляет целенаправленные атаки и любые подозрения на вредоносную активность благодаря комплексу сенсоров, постоянно отслеживающих ситуацию внутри защищаемой ИТ-инфраструктуры. Решение анализирует данные, получаемые с различных узлов корпоративной сети. В частности, сенсоры обрабатывают информацию о веб-трафике, об активностях в электронной почте и на конечных устройствах.
Чтобы понять, насколько опасна подозрительная активность, собранные данные перенаправляются в так называемую «песочницу» — изолированную виртуальную среду, внутри которой изучается поведение потенциально вредоносных объектов. Окончательное же решение о попытке целевого проникновения в сеть компании выносится при помощи специального анализатора целевой атаки, который использует технологии машинного обучения и способен сопоставлять различные аналитические данные.
Защита от целевых атак — это не купил коробку с программой защиты, поставил и забыл. Целевая атака — это процесс. И защита от них — тоже непрерывный процесс, требующий тренингов по расследованию атак и реагированию на инциденты. Нужно проводить мониторинг ботнетов, анализировать отчеты о проведенных и планируемых целевых атаках, проводить анализ вредоносного ПО. А также проводить регулярную самооценку — тесты на проникновение и оценку уровня защищенности своей ИТ-системы. И не забывать об обучении сотрудников компании навыкам безопасной работы в сети.
Вице-президент по корпоративным продажам и развитию бизнеса ЛК Вениамин Левцов отметил, что в KATA Platform в рамках годовой подписки из компании все время поступают новые данные, необходимые для эффективного обнаружения все время меняющихся целевых атак. Это различные виды обновлений и настроек, новые эвристики, правила и шаблоны поведения.
Кроме того ЛК предлагает дополнить технологии, используемые в KATA Platform, своими тренингами по кибербезопасности, аналитическими отчетами, отчетами об угрозах класса APT и различными экспертными сервисами, которые предлагает компания. Это откроет предприятиям доступ к передовым наработкам и знаниям из области кибербезопасности и поможет быстрее реагировать на новые угрозы.
Платформа ориентирована на крупный бизнес. В силу своей модульной структуры она полностью совместима с любыми ИТ-инфраструктурами. Решение работает с огромным объемом данных и требует установки у клиента не менее двух серверов.
KATA Platform поможет выявлять таргетированные атаки и любые подозрения на вредоносную активность в корпоративной сети организации еще до того, как злоумышленники сумеют нанести реальный ущерб. Платформа не «серебряная пуля» и не «лекарство от всех болезней», но в комплексе с традиционными средствами защиты может значительно повысить уровень ИБ предприятия.
Автор статьи — к.т.н., член Ассоциации руководителей служб информационной безопасности.