Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (47)
  • добавить в избранное
    Добавить в закладки

Целевые атаки и где они обитают

Прочитали: 4096 Комментариев: 8 Рейтинг: 25

5 июля 2021

Сложно найти в мире IT более зловещий и в тоже время более мифологизированный термин, чем целевые атаки. Каждая APT-атака, ставшая достоянием общественности, немедленно превращается в информационный повод и активно обсуждается как в профессиональной среде, так и за ее пределами. Но что же это такое на самом деле? Давайте разбираться вместе! В сегодняшнем выпуске мы расскажем о целевых атаках подробнее, разберем, с чего они начинаются и как можно от них защититься.

Изначально термин APT (Advanced persistent threat) применялся к киберугрозам военно-политического характера, целями которых становились объекты критической инфраструктуры, органы государственной власти и военные ведомства. В наши дни в СМИ и популярной литературе это понятие трактуют более широко и применяют ко всем атакам, связанным с целенаправленным воздействием на информационные системы конкретной организации.

Это порождает некоторую путаницу: ведь если в случае с классическими APT-атаками основным мотивом атакующих была кража ценной информации или выведение из строя объекта инфраструктуры, то теперь все чаще говорят о кибератаках, мотив которых — извлечение материальной выгоды. Это может быть похищение денег, коммерческих секретов или заражение компьютеров компании шифровальщиком с последующим требованием выкупа. И действительно, атаки энкодеров в последнее время (случай с Colonial Pipeline тому подтверждение) по уровню подготовки уже сравнимы с APT.

Но вернемся к таргетированным атакам в традиционном понимании. Главная их опасность кроется в том, что атакующий не действует наобум, а выстраивает индивидуальную стратегию нападения, выискивая бреши в защите на основе заранее полученных разведданных, которые могут включать не только сведения о технических аспектах функционирования организации, но и информацию об активности её сотрудников, например, о времени, когда все они отправляются на обеденный перерыв. Для целевой атаки создаются уникальные программные инструменты, учитывающие особенности инфраструктуры и применяемых средств защиты. Подготовка к атаке и ее реализация могут занимать годы. Все это время атакующие будут шаг за шагом продвигаться вглубь атакуемой системы, изучая ее строение и механизмы работы.

#drweb

Принцип работы большинства известных систем противодействия APT-атакам основан на идее мониторинга ситуации внутри защищенного периметра организации и выявлении возможных признаков целевой атаки. Таковыми могут выступать различные аномалии в работе пользователей и сетевой инфраструктуры. Подобные решения могут пополнить арсенал полезных инструментов обеспечения ИБ — но лишь в том случае, если в компании выстроена четкая эшелонированная и многокомпонентная система обороны, включающая средства обеспечения безопасности рабочих станций и серверов, анализаторы файлов, поступающих извне, контроль электронной почты и сетевого трафика, а также тщательно настроенные политики безопасности. И, конечно же, не стоит думать, что специализированная система позволит сделать организацию неуязвимой для злоумышленников — как ни крути, в информационной безопасности не существует «серебряной пули».

С чего начинается атака? С рядового пользователя!

Анализ инцидентов показывает, что большинство атак начинается не с обнаружения «дыры» в защите корпоративного сервера, а с компрометации рабочей станции одного из сотрудников. Причин такой компрометации может быть великое множество: неустранённые вовремя уязвимости нулевого дня, неправильно настроенные привилегии пользователя; электронное письмо с вредоносной программой или ссылкой на фишинговый сайт; вставленная в рабочий компьютер флешка, а то и вовсе бумажка с логином и паролем, попавшая на фото, выложенное сотрудником в социальных сетях.

Скомпрометированный компьютер обеспечивает злоумышленникам точку входа во внутренний периметр организации. При этом необходимо понимать, что таргетированная атака – это не обязательно захват всей инфраструктуры компании, нередко её ключевой целью является всего лишь один сервер, а то и вовсе рабочая станция, содержащая нужную информацию или обеспечивающая контроль за производственными процессами. При этом манипуляции, совершаемые со скомпрометированной машины, могут не вызвать подозрений у специализированных систем противодействия АРТ-атакам, если они вписываются в привычные паттерны поведения пользователей.

Из этого рождается тезис: безопасность организации зависит от безопасности конечного устройства каждого сотрудника. Этот тезис становится еще более актуальным в условиях удаленной работы, когда сотрудники выведены за пределы защищенного периметра и используют VPN-соединение для доступа к инфраструктуре компании.

#drweb

Защита каждого рабочего места

И вот тут мы уходим от специализированных систем защиты от целевых атак к средствам обеспечения безопасности конечных пользователей, главным из которых являются антивирус. Именно он становится первым рубежом обороны на пути атакующих.

Ключевым требованием к использованию антивируса для защиты от целенаправленных атак является необходимость наличия у него широких возможностей несигнатурного детектирования вредоносной активности. Говоря простым языком, антивирус должен быть способен выявлять незнакомые ему виды и сборки вредоносного ПО, обнаруживая аномальную активность на атакуемой рабочей станции и немедленно пресекая её.

Dr.Web является одним из пионеров внедрения несигнатурных методов обнаружения вредоносной активности и неоднократно на практике демонстрировал их эффективность. Достаточно вспомнить хотя бы нашумевшую эпидемию червя-шифровальщика WannaCry, в ходе которой Dr.Web показал себя во всей красе, не допустив заражения тысяч компьютеров новой, никому не знакомой и чрезвычайно опасной вредоносной программой.

Антивирусное решение для бизнеса Dr.Web Enterprise Security Suite обеспечивает комплексную защиту всех узлов корпоративной сети и конечных устройств пользователей, включая их личные компьютеры и мобильные устройства, используемые для работы, и позволяет выстроить централизованное управление политиками безопасности, сигнализируя о выявленных инцидентах. Вы можете интегрировать Dr.Web Enterprise Security Suite в имеющуюся инфраструктуру, а можете сделать её ядром системы безопасности, позволяющим осуществлять мониторинг вредоносной активности, обнаруживая и перекрывая возможные каналы компрометации вашей информационной инфраструктуры.

В одних случаях это позволит полностью пресечь атаку, в других – выиграть время, необходимое на её анализ и выработку стратегии защиты. Самое главное – в отсутствии защиты рабочих станций конечных пользователей вся ваша оборона может в один миг, словно карета Золушки, превратиться в тыкву, вне зависимости от того, используете вы специализированные решения для защиты от атак.

#корпоративная_безопасность #антивирус #ВКИ #вредоносное_ПО #вымогательство #названия

Антивирусная правДА! рекомендует

  1. Не пренебрегайте защитой устройств конечных пользователей: всего одна незащищенная рабочая станция может поставить под угрозу безопасность всей компании.
  2. Не позволяйте пользователям самостоятельно контролировать параметры защиты рабочей станции – все изменения должны проводиться централизованно в соответствии с политиками безопасности. И уж конечно пользователь не должен иметь возможность самостоятельно отключить антивирусное ПО.
  3. Обеспечьте контроль за инцидентами на рабочих станциях сотрудников. В Dr.Web Enterprise Security Suite сведения обо всех аномалиях и обнаруженных вредоносных программах попадают в Центр управления. Любой выявленный инцидент должен быть тщательно изучен и проанализирован.

Читайте выпуски проекта «Антивирусная правДА!» и повышайте свою информационную грамотность вместе с нами!

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей