В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Эта статья является продолжением цикла публикаций, посвященных природе таргетированных атак, их особенностям и методам противодействия им. Ознакомиться с первыми двумя частями материала можно в предыдущих номерах журнала Information Security 2016:
Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения:
Возникает вопрос о возможных способах противодействия такой операции. В третьей части публикации мы предложим комплексный подход, который призван помочь в решении этой непростой задачи.
Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.
Комплексная стратегия включает 4 важных элемента системы защиты, которые описаны далее (см. рис.). Мы приводим их в порядке, которому по нашему опыту на практике следуют компании по мере роста зрелости их систем.
Главная цель – не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер – хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию или запуск какого-то процесса в инфраструктуре, и обучение.
Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, "классика" может оказать посильную помощь. Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (Black & Whitelisting) приложений.
Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия, – воспроизводится вероятная конфигурация МЭ, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, использующая решения от различных производителей, регулярно обновляемая, проходящая Health-check хотя бы раз в год, – остается важным участком обороны, в ряде случаев позволяющим остановить саму попытку атаки.
Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим:
• Таргетированная атака Car-banak, направленная на финансовые учреждения, кумулятивный приблизительный ущерб от которой составил 1 миллиард долларов. Многие из пораженных банков не имели сегментации внутренней сети, сеть управления банкоматами была доступна из корпоративной сети, чем воспользовались киберпреступники.
Использование сетевых экранов для сегментации сети и межсегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании.
• Таргетированная атака Hell-sing, направленная на шпионаж в правительственных структурах, использовала в своем развитии целенаправленный фишинг – распространение писем с вложением, в котором находился запароленный архив. Это позволяло надежно обходить традиционные средства защиты, основанные на проверке вложений. Внутри архива содержались PDF-файлы с вложенным бэкдором.
Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус), тем самым усложнив организацию целевой вредоносной рассылки.
Важно отметить что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус, хоть и относится к превентивной группе, но обладает рядом подобных технологий, относящихся к категории Machine Learning, или самостоятельного обучения.
Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патч-менеджмента, как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.
Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа в инфраструктуру. Минимизация пробелов в знаниях по информационной безопасности позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека без применения технических средств и для чего используется целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение.
Для того, чтобы приносить реальную пользу в отражении атак, такое обучение "кибергигиене" должно охватывать важнейшие области знаний, представления о которых должен иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности:
Итак, эффективное сочетание классических превентивных решений защиты вместе с обученным основам кибербезопасности персоналом усложняют задачу атакующему. Но что делать, если атаке удалось "зацепиться" в сети и начать развитие? Увы, практически всегда организации в какой-то момент понимают, что предотвратить и исключить атаку полностью почти невозможно.
Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий:
Первым условием является профессиональное обучение расследованию целевых атак – специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу.
Курс затрагивает следующие аспекты:
По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.
Развитие ИБ подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных ИT-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий – менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and Event Management) – по управлению событиями информационной безопасности, которая призвана решать следующие задачи:
За последние 15 лет SIEM получил широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки (настройки), описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером.
Недостатком SIEM является обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно просто устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и их векторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно.
Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку: например о действующих командных центрах ботнетов или фишинговых сайтах.
Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM:
Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить 3 источника оперативных данных об угрозах:
За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят из аналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий.
Поток данных содержит:
Ввиду непрерывности процесса описания новых угроз лучшим способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation – простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид под конкретное решение благодаря использованию парсера (программы для считывания и обработки текстовых данных).
Фактически поток данных (Data Feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются в имеющихся средствах защиты, например SIEM.
Поток данных является неотъемлемой частью любого SOC (Security Operational Center, ситуационный центр управления безопасностью).
Что может содержать в себе поток данных:
Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы.
Приведем наглядный пример: на базе обнаруженного командного центра ботнет-сети ниже вы видите строки, содержащиеся в полученном JSON-пакете:
После того как информация из полученного JSON-пакета при помощи парсера будет добавлена в SIEM, любое обращение на домен "botnetccurl.com" из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Что тем самым позволит обнаружить возможные инфицированные машины внутри компании.
Помимо потоков данных, на рынке существует возможность получать детализированные отчеты.
Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SOC и командой аналитиков.
APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными и состоят из нескольких типов файлов:
Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы1.
Последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения Malware (PC), драйвером бурного роста выступили решения класса "Интернет вещей" (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к Интернету и обладают достаточным запасом производительности.
Почему стоит обращать внимание на активность ботнет-сетей в разрезе профилактики таргетированной атаки?
Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком).
Также через ботнет-сети часто осуществляют DDoS-атаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса.
Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания:
• В 2011 г. кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке, в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.
• В 2015 г. таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберпреступники применили масштабную DDoS-атаку на внешние Web-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.
Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.
Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах:
Каким образом осуществляется мониторинг активности ботнет-сетей?
Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбохостами.
Результаты анализа попадают в отчет, который содержит следующую информацию:
Услуга по анализу активности ботнет-сетей является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.
Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладающие средствами сбора информации о событиях на разных уровнях инфраструктуры: как на внешнем контуре (Web, Е-mail, основной Gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.). Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак.
Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты:
Рассмотрим подробней применяемые технологии в системах обнаружения целевой атаки.
Технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница – это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения.
Пример работы анализатора аномалий:
Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя различные техники обхода (Sandbox Evasion).
Приведем пример нескольких Sandbox Evasion-техник, когда объект не проявит свою активность:
Поэтому важной особенностью современной песочницы является ее способность противостоять техникам обхода (Anti-Evasion). Пример Anti-Evasion-техник:
Технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность.
Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности.
Этапы реагирования включают:
Пример работы анализатора аномалий:
Внедрение специализированных систем обнаружения таргетированной атаки позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.
В случае подозрения аномальной активности внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого – обнаружение следов таргетированной атаки и выработка рекомендаций по их устранению.
Более детально о перечне работ в рамках такого сервиса:
Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.
Третьим элементом стратегии является "реагирование". Основная цель заключается в реакции на инцидент ИБ, следуя набору принятых процедур, направленных на минимизацию ущерба и устранению последствий.
Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы.
Этапы реагирования включают:
В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования в случае APT имеет свою специфику. Нужно принять факт, что если компания является целью для атаки, то рано или поздно атакующий пробьется в инфраструктуру тем или иным образом. Исходя из этого, необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб.
Для наглядности рассмотрим пример. Допустим, атакующий нашел уязвимость в ИT-инфраструктуре компании и получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети, чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и, в конце концов, выгружать корпоративные данные на внешние ресурсы. И если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных.
Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделав его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это, он может также вычистить следы атаки.
После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить векторы проникновения и распространения. На этом этапе важно понимать, что если в процессе анализа будут обнаружены не все компоненты и следы компрометации, есть риск, что атакующий сможет остаться в системе, впоследствии изменить свое поведение и еще долго продолжать свою деятельность.
Поэтому важно формализовать все полученные в результате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак и необходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.
Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные векторы угроз для оперативного устранения брешей в системе безопасности. Этап прогнозирования помогает справиться с данной задачей и включает в себя определенный набор услуг.
В ходе теста моделируется вторая фаза таргетированной атаки "Проникновение", в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.
На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в инфраструктуре, указав на возможные векторы угроз.
Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch Management), обеспечивающий своевременное обновление программных продуктов.
Чтобы получить точную оценку угроз для выполнения каждого из этих тестов, рекомендуется привлекать высококвалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.
Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, без взаимодействия с внутренней инфраструктурой компании.
Длительность предоставления сервиса равна одному кварталу, что позволяет определить:
Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы.
В следующей статье, завершающей материал, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016