Контакты
Подписка
МЕНЮ
Контакты
Подписка

Анатомия таргетированной атаки. Часть 3

Анатомия таргетированной атаки. Часть 3

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Анатомия таргетированной атаки.Часть 3

Эта статья является продолжением цикла публикаций, посвященных природе таргетированных атак, их особенностям и методам противодействия им. Ознакомиться с первыми двумя частями материала можно в предыдущих номерах журнала Information Security 2016:

  • Часть первая, посвящена истории происхождения целевых атак, детальное описание первой подготовительной фазы http://www.itsec.ru/imag/insec-2-2016/38.
  • Часть вторая, посвящена описанию развития атаки следуя ее фазам, http://www.itsec.ru/imag/insec-3-2016/36.
Вениамин
Левцов
Вице-президент, глава корпоративного дивизиона “Лаборатории Касперского"
Николай
Демидов
Технический консультант по информационной безопасности “Лаборатории Касперского"
APT – (Advanced Persistent Threat) – комбинация утилит, вредоносного ПО, механизмов использования уязвимостей "нулевого дня" и др. компонентов, специально разработанных для реализации атаки.
Целенаправленная, или таргетированная, атака – это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не просто разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодолеть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом).

Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения:

  • адресность;
  • скрытность;
  • продолжительность;
  • использование разнородных инструментов и методов;
  • изменчивость вектора атаки, ее инструментария по мере развития;
  • наличие центра управления атакой – преступной группы, в составе которой есть и профессиональные ИT-эксперты.

Возникает вопрос о возможных способах противодействия такой операции. В третьей части публикации мы предложим комплексный подход, который призван помочь в решении этой непростой задачи.

Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.

Стратегия противодействия целевым атакам

Комплексная стратегия включает 4 важных элемента системы защиты, которые описаны далее (см. рис.). Мы приводим их в порядке, которому по нашему опыту на практике следуют компании по мере роста зрелости их систем.

  1. Предотвращение. Целью является недопущение начала и развития атаки.
  2. Обнаружение. Исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину.
  3. Реагирование. В случае подтверждения факта атаки определяются последствия и шаги по их устранению.
  4. Прогнозирование. Цель – реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки.

Предотвращение таргетированной атаки

Главная цель – не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер – хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию или запуск какого-то процесса в инфраструктуре, и обучение.

Технические средства

Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, "классика" может оказать посильную помощь. Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (Black & Whitelisting) приложений.

Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия, – воспроизводится вероятная конфигурация МЭ, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, использующая решения от различных производителей, регулярно обновляемая, проходящая Health-check хотя бы раз в год, – остается важным участком обороны, в ряде случаев позволяющим остановить саму попытку атаки.

Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим:

• Таргетированная атака Car-banak, направленная на финансовые учреждения, кумулятивный приблизительный ущерб от которой составил 1 миллиард долларов. Многие из пораженных банков не имели сегментации внутренней сети, сеть управления банкоматами была доступна из корпоративной сети, чем воспользовались киберпреступники.

Использование сетевых экранов для сегментации сети и межсегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании.

• Таргетированная атака Hell-sing, направленная на шпионаж в правительственных структурах, использовала в своем развитии целенаправленный фишинг – распространение писем с вложением, в котором находился запароленный архив. Это позволяло надежно обходить традиционные средства защиты, основанные на проверке вложений. Внутри архива содержались PDF-файлы с вложенным бэкдором.

Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус), тем самым усложнив организацию целевой вредоносной рассылки.

Важно отметить что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус, хоть и относится к превентивной группе, но обладает рядом подобных технологий, относящихся к категории Machine Learning, или самостоятельного обучения.

Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патч-менеджмента, как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.

Обучение в целях повышения грамотности в области ИБ

Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа в инфраструктуру. Минимизация пробелов в знаниях по информационной безопасности позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека без применения технических средств и для чего используется целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение.

Для того, чтобы приносить реальную пользу в отражении атак, такое обучение "кибергигиене" должно охватывать важнейшие области знаний, представления о которых должен иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности:

По данным проведенного "Лабораторией Касперского" опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.
  • назначение антивируса и контроля приложений;
  • уведомления систем безопасности – как на них реагировать;
  • понимание проблемы утечки данных;
  • риски при использовании мобильных устройств;
  • угрозы при работе с электронной почтой и Интернетом;
  • социальные сети и риски работы в них;
  • методы социальной инженерии;
  • развитие бдительности;
  • политика ИБ и как ее можно нарушить.

Итак, эффективное сочетание классических превентивных решений защиты вместе с обученным основам кибербезопасности персоналом усложняют задачу атакующему. Но что делать, если атаке удалось "зацепиться" в сети и начать развитие? Увы, практически всегда организации в какой-то момент понимают, что предотвратить и исключить атаку полностью почти невозможно.

Детектирование

Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:

  • Тренинги и иные способы повышения экспертизы. Специалисты ИБ имеют достаточно глубокие представления о природе и особенностях таргетированных атак, постоянно повышают уровень своих знаний – в чем организация их всячески должна поддерживать.
  • SIEM как автоматизация обработки событий безопасности.
  • Внешние источники информации об угрозах, или Threat Intelligence. Поставки актуальной информации об угрозах в виде фидов (потоков данных), списков IoC, отчетов.
  • Системы с динамическим анализом исполнения. Специализированные средства выявления признаков таргетированной атаки.
  • Сервисы по выявлению атак с проведением регулярных проверок.

Обеспечение экспертизы

Первым условием является профессиональное обучение расследованию целевых атак – специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу.

Курс затрагивает следующие аспекты:

  • Что такое инциденты информационной безопасности и их категоризация.
  • Как проводить сбор свидетельств инцидента.
  • Изучение прикладной науки – "криминалистика компьютерных преступлений (Digital Forensics)".
  • Как правильно применять специализированные инструменты.

По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.

Автоматизация обработки событий безопасности

Развитие ИБ подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных ИT-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий – менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and Event Management) – по управлению событиями информационной безопасности, которая призвана решать следующие задачи:

Из проведенного в 2015 г. "Лабораторией Касперского" исследования видно, что ключевыми рисками внутри компании по-прежнему остаются уязвимости в ПО (48% от общего числа опрошенных компаний) и незнание сотрудниками правил ИT-безопасности, приводящие к случайным утечкам данных (37% от общего числа опрошенных компаний). Эти две проблемы чаще других приводят к потере конфиденциальных данных.
  • сбор, объединение, хранение событий, получаемых от различных источников;
  • оперативное обнаружение нарушений политик ИБ;
  • автоматическое оповещение и управление инцидентами;
  • формирование базы знаний по инцидентам;
  • предоставление отчетности для аналитиков.

За последние 15 лет SIEM получил широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки (настройки), описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером.

Недостатком SIEM является обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно просто устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и их векторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно.

Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку: например о действующих командных центрах ботнетов или фишинговых сайтах.

Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM:

  • Учетная запись сотрудника Иванова была использована на его рабочей машине в рабочие часы. В то же время пропускная система не имела записей о приходе сотрудника на работу (карточка не активирована), следовательно, коррелятор, сопоставив оба события, создаст инцидент ИБ.
  • Три неправильные попытки входа в день с определенного хоста на протяжении определенного периода.
  • Множественные RDP-соединения с рабочей машины, где ранее удаленный доступ не использовался.
  • Всплеск сетевого трафика между различными узлами в нерабочие часы.

Threat Intelligence – данные об актуальных угрозах ИБ

Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить 3 источника оперативных данных об угрозах:

  • Потоки данных (Threat Data Feeds).
  • Отчеты, содержащие детали конкретных целевых атак или механизмов, задействованных для их реализации.
  • Мониторинг активности ботнет-сетей.

Потоки данных (Threat Data Feeds)

За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят из аналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий.

Поток данных содержит:

  • Набор URL-адресов, соответствующих наиболее зловредным ссылкам и Web-сайтам.
  • IP-репутация – градация IP-адресов по уровню безопасности.
  • Набор файловых хешей, охватывающий вредоносные программы.
  • Активность ботнет-сетей (вредоносные объекты, командные центры).

Ввиду непрерывности процесса описания новых угроз лучшим способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation – простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид под конкретное решение благодаря использованию парсера (программы для считывания и обработки текстовых данных).

Фактически поток данных (Data Feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются в имеющихся средствах защиты, например SIEM.

Поток данных является неотъемлемой частью любого SOC (Security Operational Center, ситуационный центр управления безопасностью).

Что может содержать в себе поток данных:

  • Набор URL-адресов, соответствующих наиболее зловредным ссылкам и Web-сайтам.
  • IP-репутация – градация IP-адресов по уровню безопасности.
  • Набор файловых хешей, охватывающий вредоносные программы.
  • Активность ботнет-сетей (вредоносные объекты, командные центры).

Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы.

Приведем наглядный пример: на базе обнаруженного командного центра ботнет-сети ниже вы видите строки, содержащиеся в полученном JSON-пакете:

По данным проведенного в 2015 г. "Лабораторией Касперского" исследования, 26% опрошенных компаний, подвергшихся DDoS-атакам, сообщили об утечке закрытой информации, что подтверждает применение DDoS-атаки как инструмента для отвлечения внимания.
  • Уникальный идентификатор записи - "id":"143348".
  • Ссылка на домен центра управления "mask": "botnetc-curl.com".
  • Тип записи (применяется для сопоставления правил в корреляторе) "type":"1".
  • Первый раз, когда был замечен "first_seen":"08.04.2014 16:45".
  • Последний раз, когда был замечен "last_seen":"12.02.2015 13:56".
  • Популярность (насколько распространен, наивысшая популярность 5) "popularity: "5".
  • Наименование угрозы "threat":"CnC.Win32.ZBot".

После того как информация из полученного JSON-пакета при помощи парсера будет добавлена в SIEM, любое обращение на домен "botnetccurl.com" из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Что тем самым позволит обнаружить возможные инфицированные машины внутри компании.

Отчеты об APT

Помимо потоков данных, на рынке существует возможность получать детализированные отчеты.

Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SOC и командой аналитиков.


APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными и состоят из нескольких типов файлов:

  • IOC – индикатор компрометации, описание вредоносных объектов.
  • YARA – набор детектирующих правил.
  • Детальный отчет, содержащий анализ (фазы развития) атаки.

Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы1.

Анализ активности ботнет-сетей

Последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения Malware (PC), драйвером бурного роста выступили решения класса "Интернет вещей" (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к Интернету и обладают достаточным запасом производительности.

Почему стоит обращать внимание на активность ботнет-сетей в разрезе профилактики таргетированной атаки?

В 2011 г. кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке, в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.

Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком).

Также через ботнет-сети часто осуществляют DDoS-атаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса.

Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания:

• В 2011 г. кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке, в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.

• В 2015 г. таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберпреступники применили масштабную DDoS-атаку на внешние Web-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.

Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.

Мониторинг ботнет-сетей

Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах:

  1. В составе потока данных (Data Feed), предоставляя комплексную информацию по всем известным ботнет-сетям со всего мира.
  2. Детальный отчет, информирующий компанию перед началом попытки реализации атаки на корпоративные ресурсы.

Каким образом осуществляется мониторинг активности ботнет-сетей?

Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбохостами.

Результаты анализа попадают в отчет, который содержит следующую информацию:

В 2015 г. таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберпреступники применили масштабную DDoS-атаку на внешние Web-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.
  • Тип ботнета – классификация.
  • IP-адреса командных центров.
  • Географическое распределение образцов ПО.
  • Тип атаки – информация о целях и используемом ПО.
  • Сведения об использованных алгоритмах атаки (инъекции Web-кода).
  • MD5 – хеши вредоносного ПО.

Услуга по анализу активности ботнет-сетей является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.

Внедрение специализированных систем обнаружения таргетированных атак

Согласно отчету "Лаборатории Касперского" 2016 г. самая длительная DDoS-атака в первом квартале 2016 г. длилась 8,2 дня, или 197 часов беспрерывно.

Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладающие средствами сбора информации о событиях на разных уровнях инфраструктуры: как на внешнем контуре (Web, Е-mail, основной Gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.). Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак.

Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты:

  • Сетевые/почтовые сенсоры, позволяющие осуществлять сбор информации с различных контрольных точек.
  • Сенсоры рабочих станций, позволяющие увеличить охват и детализацию анализируемой информации.
  • Компоненты динамического анализа объектов.
  • Центр по анализу аномалий – создание типовых шаблонов поведения и контроль отклонений от них.
  • Облачный репутационный сервис – обновляемая в реальном времени база знаний об угрозах, в том числе и по компонентам таргетированных атак.

Основные технологии обнаружения следов таргетированной атаки

Рассмотрим подробней применяемые технологии в системах обнаружения целевой атаки.

Динамический анализ объектов (песочница)

Технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница – это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения.

Пример работы анализатора аномалий:

  • Нетипичное сканирование сети, осуществленное с рабочей станции секретаря.
  • Использование программ удаленного доступа в нерабочие часы либо в определенное повторяющееся время.
  • Загрузка в сеть большого объема данных.

Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя различные техники обхода (Sandbox Evasion).

Приведем пример нескольких Sandbox Evasion-техник, когда объект не проявит свою активность:

  • Разрешение экрана не более чем 800x600. Обычный пользователь не будет использовать такое разрешение в работе.
  • Наличие установленных программ (определенный инвентарь). Например, любые установленные средства, которые свидетельствуют о наличии виртуальной среды.
  • Отсутствие действий при демонстрации диалогового окна. Нет реакции, следовательно, за машиной никто не работает.

Поэтому важной особенностью современной песочницы является ее способность противостоять техникам обхода (Anti-Evasion). Пример Anti-Evasion-техник:

  • Эмуляция работы пользователя (движения мышью, работа на клавиатуре).
  • Распознание диалоговых окон, автоматическое действие.
  • Выполнение прокрутки документа на вторую страницу (Scroll).
  • Настройка окружения, максимально похожего на реального пользователя.

Анализ аномалий

Технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность.

Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.

Этапы реагирования включают:

  • идентификацию;
  • сдерживание;
  • лечение;
  • восстановление;
  • выводы и профилактика.

Пример работы анализатора аномалий:

  • Нетипичное сканирование сети, осуществленное с рабочей станции секретаря.
  • Использование программ удаленного доступа в нерабочие часы либо в определенное повторяющееся время.
  • Загрузка в сеть большого объема данных.

Внедрение специализированных систем обнаружения таргетированной атаки позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.

 

Сервис по выявлению таргетированной атаки

В случае подозрения аномальной активности внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого – обнаружение следов таргетированной атаки и выработка рекомендаций по их устранению.

Более детально о перечне работ в рамках такого сервиса:

  • анализ ландшафта угроз применимо к конкретной компании;
  • использование специализированных средств для обнаружения следов компрометации;
  • анализ исходящих сетевых соединений для обнаружения возможных соединений с командными центрами киберпреступников;
  • использование открытых источников (OSINT);
  • сбор улик;
  • анализ улик и реконструкция инцидента (хронология и логика);
  • анализ вредоносного ПО, использованного в атаке (в случае его обнаружения);
  • обнаружение вероятной компрометации других систем в окружении;
  • предоставление рекомендаций по дальнейшим шагам исправления.

Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.

Реагирование

Третьим элементом стратегии является "реагирование". Основная цель заключается в реакции на инцидент ИБ, следуя набору принятых процедур, направленных на минимизацию ущерба и устранению последствий.

Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы.

Этапы реагирования включают:

Рекорд последних лет принадлежит предвыборному сайту Дональда Трампа, мощность DDoS-атаки на который составила 602 Гбит/с.
  • идентификацию;
  • сдерживание;
  • лечение;
  • восстановление;
  • выводы и профилактика.

В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования в случае APT имеет свою специфику. Нужно принять факт, что если компания является целью для атаки, то рано или поздно атакующий пробьется в инфраструктуру тем или иным образом. Исходя из этого, необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб.

Для наглядности рассмотрим пример. Допустим, атакующий нашел уязвимость в ИT-инфраструктуре компании и получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети, чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и, в конце концов, выгружать корпоративные данные на внешние ресурсы. И если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных.

Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделав его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это, он может также вычистить следы атаки.

После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить векторы проникновения и распространения. На этом этапе важно понимать, что если в процессе анализа будут обнаружены не все компоненты и следы компрометации, есть риск, что атакующий сможет остаться в системе, впоследствии изменить свое поведение и еще долго продолжать свою деятельность.

Поэтому важно формализовать все полученные в результате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак и необходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.

Прогнозирование

Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные векторы угроз для оперативного устранения брешей в системе безопасности. Этап прогнозирования помогает справиться с данной задачей и включает в себя определенный набор услуг.

Тест на проникновение (Penetration Test)

В ходе теста моделируется вторая фаза таргетированной атаки "Проникновение", в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.

Оценка уровня защищенности (Security Assessment)

Ботнет представляет собой совокупность компьютеров, зараженных вредоносным кодом и управляемых злоумышленником централизованно.

На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в инфраструктуре, указав на возможные векторы угроз.

Своевременная оценка уязвимостей (Vulnerability Assessment)

Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch Management), обеспечивающий своевременное обновление программных продуктов.

Чтобы получить точную оценку угроз для выполнения каждого из этих тестов, рекомендуется привлекать высококвалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.

Аналитический отчет об угрозах информационной безопасности (Threat Intelligence Report)

Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, без взаимодействия с внутренней инфраструктурой компании.

Нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделав его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это, он может также вычистить следы атаки.

Длительность предоставления сервиса равна одному кварталу, что позволяет определить:

  • актуальные угрозы;
  • факты компрометации информационных систем;
  • наличие потенциальных уязвимостей;
  • наличие действующего вредоносного ПО.

Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы.

В следующей статье, завершающей материал, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений.

___________________________________________
1 Подобные публичные отчеты можно найти на www.securelist.ru.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016
Посещений: 10567

Приобрести этот номер или подписаться
  Автор

Вениамин Левцов

Вениамин Левцов

Директор департамента развития LET A IT-company

Всего статей:  6

  Автор

Николай Демидов

Николай Демидов

Технический консультант по информационной безопасности “Лаборатории Касперского"

Всего статей:  4

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций