Целенаправленные атаки или Advanced Persistent Threat (APT) являются сложной постоянной угрозой, рассчитанной не на внезапный удар по ИТ-системам, а на продолжительный захват. Долгое время вы даже не будете знать, что у вас в инфраструктуре обитают хакеры. Они готовят подобные атаки несколько месяцев. Все продумывается до мелочей: способы первичного проникновения в инфраструктуру, заметание следов и пр.

Зачем и для кого?

Чаще всего компании задумываются об установке защиты от целевых атак после какой-либо реальной атаки или похищения данных. Например, после известных атак WannaCry, Bad Rabbit, Petya люди стали недоверительно относится к антивирусам и файрволам и искать новые решения.

Больше всего заинтересованы защитой от целевых атак организации, связанные с денежными потоками. Например, банки – лакомый кусочек для киберпреступников. Часто такие атаки осуществляются и в промышленных компаниях, где успешная атака может означать полную остановку производства или выход из строя какого-либо оборудования. Нередко поступают запросы на такого рода защиту от государственных компаний, которые обрабатывают важные данные, а также от небольших компаний.

Что происходит до ATP?

До того момента, как компания решается на внедрение решений ATP, в ее инфраструктуре уже имеются некоторые элементы защиты. Возможно, антивирус, межсетевой экран, прокси. Это может быть и комбинированный набор TMG, который содержит и файрвол, и прокси. Но такие системы соответствовали ландшафту угроз 5-летней давности. А время, как и злоумышленники, не стоит на месте. 

Файрволы делят на простые и next-gen. Next-gen уже содержат в себе систему для борьбы с ATP, а старые – не имеют такой возможности из-за того, что на момент создания не стояло такой задачи.

И появился новый класс решений анти-ATP. Существуют они в разном виде и внедряются исходя из требований заказчиков.

Каналы проникновения

Именно почта является самым популярным каналом проникновения вредоносного ПО. Есть 2 способа проникновения:

1. Файл напрямую отправляется на почту адресату;
2. Во входящем сообщении содержится вредоносная ссылка.

На втором месте по популярности находится интернет-трафик, на третьем – съемные носители.

Как выглядит ущерб на примере?

• Кража денежных средств, хищение данных, вывод из строя оборудования. В 2017 году в России была совершена первая атака на платежную систему SWIFT. Компания смогла вывести несколько десятков миллионов рублей у одного из российских банков. 
• Вывод из строя промышленных объектов. Например, на Украине в прошлом году была выведена из строя энергетическая система. 

Злоумышленники не всегда атакуют компанию. Это может быть и контрагент, с которым вы работаете. Через доверенную организацию туда проще попасть. Так или иначе ломают вас, но цель – не вы. 

В компании RSA (разработка средств защиты информации) целью атаки был контрагент, который занимался авиастроением. То, что авиастроительная компания понесла крупные убытки – факт, а RSA понесла репутационный ущерб, который сложно перевести в деньги.

ATP в системах защиты

Проверка на вредоносность не должна идти первым в линии защиты. Сначала это могут быть межсетевое экранирование, анти-фишинг, анти-спам, которые внедрены в прокси-сервера, почтовую систему, обнаружение вторжения на сетевом уровне, и только после прохождения файлом этих барьеров идет песочница – крайняя мера защиты. На этом этапе необходимо понимать, что оперативная проверка файла потребует больших ресурсов и дополнительных затрат. И чтобы их сократить потребуется максимально эффективно использовать существующие средства защиты.

Песочница

С технической точки зрения все это работает следующим образом. Файлы, которые получены на почту, проходят и появляются на конечной рабочей станции. Если файл не опознан, он помещается в песочницу. Это сервер или комплект серверов в виртуальной среде, где работают настоящие ОС (зачастую Windows), которые используются на конечных рабочих станциях. На таких ОС стоит офисный набор ПО, ПО для просмотра PDF-файлов, деловой переписки, и там же происходит реальный запуск на реальных машинах файла, который может представлять угрозу. 

Искусственный интеллект и облачная проверка

Могут ли средства защиты от целевых атак существовать в облаке или интегрироваться с SOc, EAM? Да, такая интеграция помогает при расследовании инцидентов. 

В связи с такими системами часто упоминают искусственный интеллект и машинное обучение. Эти технологии собирают и обрабатывают статистические данные, поведенческую модель вредоносных файлов. Этот вопрос остается на стороне поставщика решений. Многие из них заявляют, что такие системы у них внедрены для того, чтобы оперативно принимать решения о том, вредоносен этот файл или нет. Это вопрос облачного анализа этих файлов.