Злоумышленники используют различные инструменты для вторжения, наиболее известные способы – фишинговые атаки (вредоносные программы, которые проникают на компьютер зачастую с помощью социальной инженерии). Необходимо отметить, что подготовка к такому типу интернет-мошенничества занимает значительный промежуток времени, так как включает в себя подготовку вредоносных веб-сайтов, почтовых или мгновенных сообщений с использованием личных данных конкретного пользователя.
Несмотря на сложность реализации, такие атаки выгодны для хакерских групп, поэтому они являются распространенной формой киберпреступности. Только за последние полгода произошли утечки информации в 12 крупных компаниях и, как отмечает генеральный директор кибердетективного агентства Group-IB Илья Сачков, последствия были катастрофическими. Более того, и российские компании находятся в поле зрения преступников. В течение месяца только одна группировка кибертеррористов атаковала более 600 отечественных ресурсов.
Атаки могут проходить по стандартному сценарию, но, как подчеркивают специалисты Softline, такие действия будут наиболее успешны из-за применения специфического инструментария или уязвимостей нулевого дня. Знакомая ситуация: сотрудник получает письмо с интересным контентом и открывает его на рабочем компьютере. Пока он смотрит клип, в корпоративную инфраструктуру проникает вредоносная программа. В большинстве случаев антивирусы срабатывают и сразу выявляют попытку взлома системы.
Таргетированные атаки имеют существенные отличия, например, индивидуальный контент и персональный подход к рассылке сообщений. Источник, отправивший ссылку, не вызывает подозрений: хакеры отслеживают активность сотрудника заинтересовавшей их компании, выясняют круг его общения и отправляют вирус от лица его друга или коллеги.
Получатель без особых опасений открывает ссылку, а защитные системы не распознают вредоносную программу, которая непосредственно разработана с учетом характеристик инфраструктуры компании. Таким образом, обойдя периметр безопасности, программа загружает дополнительные модули, которые взламывают систему изнутри.
Разумеется, новые поколения традиционных средств защиты затрудняют действия хакеров и снижают вероятность успешных атак. Ландшафт угроз кардинально меняется, как и весь мир цифровых технологий. Угроз «нулевого дня» сегодня больше не существует.
Ведущие мировые вендоры по кибербезопасности для борьбы с таргетированными атаками рекомендуют использовать файрволы нового поколения Next Generation, которые включают как стандартный функционал брандмауэров – сетевая фильтрация, управление VPN и NAT, так и улучшенную фильтрацию сетевого трафика. Она позволяет распознать payload по сигнатурам известных вредоносных программ, таким образом, файрвол нового поколения позволяет предотвратить передачу по сети вирусов.
Такие рутинные действия в сфере ИБ, как создание единой политики безопасности, контроля сетевого трафика, анализа приложений, в условиях сложных хакерских активностей уже не кажутся избыточными. Мировые лидеры рынка информационной безопасности внедряют специализированные инструменты для предотвращения таргетированных кибератак.
Поэтому «Лаборатория Касперского» разработала целую платформу по борьбе с подобными угрозами – Kaspersky Anti Targeted Attack Platform. С помощью динамического анализа поступающих данных от сенсоров и получения актуальной информации о новых вторжениях эта платформа позволяет защитить систему в режиме реального времени.
Наряду с западными компаниями российские специалисты успешно «замещают» решения глобальных вендоров не только в РФ, но и по всему миру. Наиболее известным отечественным производителем антивирусных решений является «Лаборатория Касперского». Помимо «Лаборатории», на рынке ИБ также можно выделить ГК InfoWatch, которая создает программно-аппаратные комплексы для комплексной киберзащиты предприятий от большинства типов угроз - от таргетированных атак до DDoS.
Для успешной идентификации и отражения атак класса APT (Advanced Persistent Threats) необходим комплексный подход. Который включает такие компоненты как контроль сетевой активности, мониторинг работы приложений и файлов, а также анализ аномалий.
Поставив на мониторинг различные участки сети, вы сможете выявить нетипичную сетевую активность, такую как подключение с других ip-адресов или большой объем трафика, которая будет направлена в модуль анализа аномалий.
Так же происходит анализ поведения подозрительных объектов, для этого файл переносится в изолированную виртуальную «песочницу». Запуская их на копии ИТ-инфраструктуры компании, происходит эмуляция подозрительной активности объекта, на предмет создания новых файлов или изменения системного реестра.
В случае отклонения от типового поведения программы, компонент анализа аномалий сопоставляет его с другими нетипичными сигналами, например сетевыми и определяет, является ли активность целевой атакой.
Но без принятия проактивных мер, которые также называют кибер-контрразведкой, предотвращение таргетированных атак будет затруднительно. Для этого существуют простые в использовании инструменты.
Например, продукт Bot-Trek Intelligence от компании Group-IB позиционирует себя как «киберразведка по подписке». Панель настроек интуитивно понятна, а вся работа проходит в веб-интерфейсе, где можно отследить сводку о текущих угрозах – от попыток взлома инфраструктуры до хакерской активности в отношении партнеров и конкурентов до того, как компании будет нанесен реальный вред. Разумеется, за этой простотой использования стоит как опыт сотрудников Group-IB, так и их повседневная работа по выявлению, анализу и предотвращению атак.
Итак, как было показано выше, компании по информационной безопасности обладают необходимыми инструментами и опытом по предотвращению таргетированных атак. Такая деятельность требует крупных инвестиций со стороны заказчика, но потенциальные убытки от проникновения в корпоративную систему кратно превышают затраты на защитные действия.
Однако специалистам часто сталкиваются с трудностями, которые связаны не только с техническими аспектами, но и с менталитетом: зачастую руководство компаний-заказчиков не верит в возможность таргетированных атак и, как следствие, не рассматривает их как угрозу бизнесу.
Поэтому зачастую Softline предлагает провести тестирование на проникновение ИТ-инфраструктуры клиента. В ходе него безопасники анализируют уязвимости и проводят демонстрацию таргетированных атак. После того, как заказчикам наглядно демонстрируют информацию, представляющую коммерческую тайну - перехваченную переписку топ-менеджеров, украденные данные на тендер, руководство обычно пересматривает свою политику по ИБ и выделяет ресурсы на комплекс мероприятий по минимизации подобных рисков.