-
добавить в избранное
Целевые атаки и где они обитают
5 июля 2021
Сложно найти в мире IT более зловещий и в тоже время более мифологизированный термин, чем целевые атаки. Каждая APT-атака, ставшая достоянием общественности, немедленно превращается в информационный повод и активно обсуждается как в профессиональной среде, так и за ее пределами. Но что же это такое на самом деле? Давайте разбираться вместе! В сегодняшнем выпуске мы расскажем о целевых атаках подробнее, разберем, с чего они начинаются и как можно от них защититься.
Изначально термин APT (Advanced persistent threat) применялся к киберугрозам военно-политического характера, целями которых становились объекты критической инфраструктуры, органы государственной власти и военные ведомства. В наши дни в СМИ и популярной литературе это понятие трактуют более широко и применяют ко всем атакам, связанным с целенаправленным воздействием на информационные системы конкретной организации.
Это порождает некоторую путаницу: ведь если в случае с классическими APT-атаками основным мотивом атакующих была кража ценной информации или выведение из строя объекта инфраструктуры, то теперь все чаще говорят о кибератаках, мотив которых — извлечение материальной выгоды. Это может быть похищение денег, коммерческих секретов или заражение компьютеров компании шифровальщиком с последующим требованием выкупа. И действительно, атаки энкодеров в последнее время (случай с Colonial Pipeline тому подтверждение) по уровню подготовки уже сравнимы с APT.
Но вернемся к таргетированным атакам в традиционном понимании. Главная их опасность кроется в том, что атакующий не действует наобум, а выстраивает индивидуальную стратегию нападения, выискивая бреши в защите на основе заранее полученных разведданных, которые могут включать не только сведения о технических аспектах функционирования организации, но и информацию об активности её сотрудников, например, о времени, когда все они отправляются на обеденный перерыв. Для целевой атаки создаются уникальные программные инструменты, учитывающие особенности инфраструктуры и применяемых средств защиты. Подготовка к атаке и ее реализация могут занимать годы. Все это время атакующие будут шаг за шагом продвигаться вглубь атакуемой системы, изучая ее строение и механизмы работы.
Принцип работы большинства известных систем противодействия APT-атакам основан на идее мониторинга ситуации внутри защищенного периметра организации и выявлении возможных признаков целевой атаки. Таковыми могут выступать различные аномалии в работе пользователей и сетевой инфраструктуры. Подобные решения могут пополнить арсенал полезных инструментов обеспечения ИБ — но лишь в том случае, если в компании выстроена четкая эшелонированная и многокомпонентная система обороны, включающая средства обеспечения безопасности рабочих станций и серверов, анализаторы файлов, поступающих извне, контроль электронной почты и сетевого трафика, а также тщательно настроенные политики безопасности. И, конечно же, не стоит думать, что специализированная система позволит сделать организацию неуязвимой для злоумышленников — как ни крути, в информационной безопасности не существует «серебряной пули».
С чего начинается атака? С рядового пользователя!
Анализ инцидентов показывает, что большинство атак начинается не с обнаружения «дыры» в защите корпоративного сервера, а с компрометации рабочей станции одного из сотрудников. Причин такой компрометации может быть великое множество: неустранённые вовремя уязвимости нулевого дня, неправильно настроенные привилегии пользователя; электронное письмо с вредоносной программой или ссылкой на фишинговый сайт; вставленная в рабочий компьютер флешка, а то и вовсе бумажка с логином и паролем, попавшая на фото, выложенное сотрудником в социальных сетях.
Скомпрометированный компьютер обеспечивает злоумышленникам точку входа во внутренний периметр организации. При этом необходимо понимать, что таргетированная атака – это не обязательно захват всей инфраструктуры компании, нередко её ключевой целью является всего лишь один сервер, а то и вовсе рабочая станция, содержащая нужную информацию или обеспечивающая контроль за производственными процессами. При этом манипуляции, совершаемые со скомпрометированной машины, могут не вызвать подозрений у специализированных систем противодействия АРТ-атакам, если они вписываются в привычные паттерны поведения пользователей.
Из этого рождается тезис: безопасность организации зависит от безопасности конечного устройства каждого сотрудника. Этот тезис становится еще более актуальным в условиях удаленной работы, когда сотрудники выведены за пределы защищенного периметра и используют VPN-соединение для доступа к инфраструктуре компании.
Защита каждого рабочего места
И вот тут мы уходим от специализированных систем защиты от целевых атак к средствам обеспечения безопасности конечных пользователей, главным из которых являются антивирус. Именно он становится первым рубежом обороны на пути атакующих.
Ключевым требованием к использованию антивируса для защиты от целенаправленных атак является необходимость наличия у него широких возможностей несигнатурного детектирования вредоносной активности. Говоря простым языком, антивирус должен быть способен выявлять незнакомые ему виды и сборки вредоносного ПО, обнаруживая аномальную активность на атакуемой рабочей станции и немедленно пресекая её.
Dr.Web является одним из пионеров внедрения несигнатурных методов обнаружения вредоносной активности и неоднократно на практике демонстрировал их эффективность. Достаточно вспомнить хотя бы нашумевшую эпидемию червя-шифровальщика WannaCry, в ходе которой Dr.Web показал себя во всей красе, не допустив заражения тысяч компьютеров новой, никому не знакомой и чрезвычайно опасной вредоносной программой.
Антивирусное решение для бизнеса Dr.Web Enterprise Security Suite обеспечивает комплексную защиту всех узлов корпоративной сети и конечных устройств пользователей, включая их личные компьютеры и мобильные устройства, используемые для работы, и позволяет выстроить централизованное управление политиками безопасности, сигнализируя о выявленных инцидентах. Вы можете интегрировать Dr.Web Enterprise Security Suite в имеющуюся инфраструктуру, а можете сделать её ядром системы безопасности, позволяющим осуществлять мониторинг вредоносной активности, обнаруживая и перекрывая возможные каналы компрометации вашей информационной инфраструктуры.
В одних случаях это позволит полностью пресечь атаку, в других – выиграть время, необходимое на её анализ и выработку стратегии защиты. Самое главное – в отсутствии защиты рабочих станций конечных пользователей вся ваша оборона может в один миг, словно карета Золушки, превратиться в тыкву, вне зависимости от того, используете вы специализированные решения для защиты от атак.
#корпоративная_безопасность #антивирус #ВКИ #вредоносное_ПО #вымогательство #названия
Антивирусная правДА! рекомендует
- Не пренебрегайте защитой устройств конечных пользователей: всего одна незащищенная рабочая станция может поставить под угрозу безопасность всей компании.
- Не позволяйте пользователям самостоятельно контролировать параметры защиты рабочей станции – все изменения должны проводиться централизованно в соответствии с политиками безопасности. И уж конечно пользователь не должен иметь возможность самостоятельно отключить антивирусное ПО.
- Обеспечьте контроль за инцидентами на рабочих станциях сотрудников. В Dr.Web Enterprise Security Suite сведения обо всех аномалиях и обнаруженных вредоносных программах попадают в Центр управления. Любой выявленный инцидент должен быть тщательно изучен и проанализирован.
Читайте выпуски проекта «Антивирусная правДА!» и повышайте свою информационную грамотность вместе с нами!
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Alex
12:40:19 2021-11-13
Вот это было бы здорово!
GREEN
11:19:04 2021-08-12
tigra
20:21:35 2021-07-22
achemolganskiy
06:11:59 2021-07-10
Геральт
22:05:03 2021-07-06
anatol
19:33:44 2021-07-06
Serg07
23:17:45 2021-07-05
Slava90
17:23:23 2021-07-05
Alexander
09:24:23 2021-07-05
А защита... так, куда же без неё?... Вселяет уверенность проверенная временем надёжность Dr.Web Security Space и другой продукции "Доктор Веб". Это - по факту уже известного. Но более важно то, что этой компании не свойственно "почивать на лаврах". Она обладает воистину сказочным стратегическим умением "идти туда, не знамо куда, и находить то, не знамо что". Интуиция в разработке несигнатурных методов обнаружения вредоносной активности в компании "Доктор Веб" развита до необычайности! Спасибо.