Контакты
Подписка
МЕНЮ
Контакты
Подписка

Активная защита как метод противодействия продвинутым киберугрозам

Активная защита как метод противодействия продвинутым киберугрозам

В рубрику "Таргетированные атаки" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Активная защита как метод противодействия продвинутым киберугрозам

Не секрет, что киберпреступники постоянно модифицируют свои инструменты и совершенствуют используемые подходы для повышения эффективности кибератак. Сегодня история с APT (Advanced Persistent Threat) и целевыми атаками является наиболее устрашающей для большинства компаний.
Андрей Абашев
Старший менеджер EY

APT обычно приписывают следующие характеристики:

  • за атакой стоит группа высокопрофессиональных программистов;
  • атака является растянутой во времени;
  • многоэтапность выполнения атаки;
  • используются сложные механизмы противодействия средствам защиты;
  • используются неизвестные или малораспространенные механизмы сокрытия присутствия злоумышленника;
  • возможно использование неизвестных уязвимостей, для которых нет доступных изменений.
Активная защита предусматривает своевременный анализ угроз в совокупности с планированием и принятием мер противодействия конкретным сценариям реализации подобных угроз. Активная защита означает не отказ от традиционных функций службы ИБ, а их совершенствование в рамках существующей системы управления информационной безопасностью


Сложность противодействия подобным угрозам связана именно c описанными выше характеристиками. В таблице приведены примеры того, какие методы и подходы используются злоумышленниками при проведении атак при обходе традиционных средств защиты.

Эффективное противодействие

Прежде чем ответить на данный вопрос, необходимо ввести еще один термин – Kill Chain. Если кратко – это цепочка действий, необходимых к выполнению киберпреступником для достижения поставленной цели.

Если поверхностно рассмотреть жизненный цикл подобной атаки, то последовательность действий злоумышленника следующая:

  • сбор данных о цели кибератаки;
  • начальная эксплуатация/заражение;
  • выполнение команд;
  • повышение привилегий;
  • вывод данных/вредоносные действия.

Таким образом, для противодействия такому роду атак необходимы инструменты, позволяющие выявить и, по возможности, остановить активность киберпреступника. Так как Kill Chain – это цепочка действий, то вмешательство на любом из этапов реализации APT способно остановить ход атаки (Break the Kill Chain).

Чем раньше произойдет разрыв цепочки, тем более проактивным становится механизм защиты. Если используемые механизмы защиты способны эффективно противодействовать на всех этапах реализации целевой атаки – значит, система противодействия выстроена с использованием концепции эшелонированной защиты.


Сама по себе активная защита предусматривает своевременный анализ угроз в совокупности с планированием и принятием мер противодействия конкретным сценариям реализации подобных угроз. Активная защита означает не отказ от традиционных функций службы ИБ, а их совершенствование в рамках существующей системы управления информационной безопасностью.

Для эффективного построения системы сотрудники службы ИБ должны удостовериться в том, что они имеют четкое представление о тех активах, которые являются наиболее вероятными целями потенциальной атаки.


На следующем этапе специалисты в области ИБ должны получить представление о нормальном состоянии сети. Определение и понимание базового состояния важно для повышения эффективности службы информационной безопасности, так как активная защита предполагает последующее его применение для анализа аномальной активности, отклонений от базового состояния и поиска/идентификации злоумышленников. Ранее упоминалось, что действия киберпреступников не попадают в категорию общеизвестных, так как методы и механизмы заражения постоянно совершенствуются, а в ходе атаки маскируются. Тем не менее, при наличии модели нормального поведения в сети существует возможность распознать подобную вредоносную активность.

Компоненты активной защиты

Основу для ее реализации закладывает киберразведка (Cyber Threat Intelligence, CTI). Результаты этой аналитической деятельности определяют контекст и направление остальной работы. Так, например, своевременно выполненный анализ используемых киберпреступниками подходов и инструментов, сценариев их действий позволяет превентивно разработать свои сценарии действий на случай реальной атаки.

Суть анализа аномалий сводится к выявлению артефактов и отклонений от базового состояния на определенных участках и узлах сети, включая выявление отклонений в сетевом трафике. При том, что организация может располагать масштабной и эффективной системой средств мониторинга безопасности сетевых сегментов и конечных устройств

Помимо известных тактик, собирается и сопоставляется с моделью актуальных злоумышленников такая информация, как:

  • диапазоны IP-адресов, с которых производятся атаки;
  • метаданные вредоносного ПО;
  • аппаратное или программное обеспечение, чаще всего используемое злоумышленниками;
  • аппаратное или программное обеспечение, которое чаще всего подвергается атакам злоумышленников;
  • типичные диапазоны времени проведения атак.

В отношении каждого защищаемого актива специалисты по безопасности также определяют:

  • аппаратное или программное обеспечение, используемое для доступа к чувствительным данным и бизнес-процессам;
  • версионность и график установки патчей для определенного аппаратного и программного обеспечения;
  • сведения о предыдущих атаках;
  • подробную информацию об учетных записях и уровнях доступа к ресурсу.

Собранная информация подкрепляется данными о текущих событиях в отрасли, в которой функционирует организация. Указанные данные позволяют определить, кто совершает атаки на подобные организации и с какими целями. Бизнес-партнеры по отрасли – прекрасный источник для получения самой актуальной информации о последних тактиках, процедурах и инструментах, используемых злоумышленниками.

Другими немаловажными компонентами активной защиты являются:

Превентивное исследование сети

Превентивное исследование сети является набором активностей, связанных как с идентификацией различного рода уязвимостей, так и c отработкой сценариев возможной атаки на информационные активы с анализом эффективности принятых мер противодействия. Данные активности помогают организации понять, насколько она в действительности уязвима перед конкретными нарушителями в случае реализации того или иного сценария атаки. Как правило, данные активности более сложны, нежели простое сканирование на уязвимости. Данные активности могут включать проведение ложных атак и моделирование действий злоумышленника. Так, например, в рамках подобных мероприятий может быть продолжительная проверка имеющихся средств мониторинга безопасности на предмет возможности выявить использование конкретного примера вредоносного программного обеспечения в сети.

Анализ аномалий

Суть анализа аномалий сводится к выявлению артефактов и отклонений от базового состояния на определенных участках и узлах сети, включая выявление отклонений в сетевом трафике. При том, что организация может располагать масштабной и эффективной системой средств мониторинга безопасности сетевых сегментов и конечных устройств, существует множество видов вредоносной деятельности, которые не поддаются обнаружению автоматизированными средствами, однако легко определяются при анализе аномалий в сетевой активности.


Способность к обнаружению аномальной деятельности является одним из ключевых факторов успешной реализации программы активной защиты. Аномальной считается любая активность, которая является странной, выходящей за определение "нормальной" или не относящейся к контексту, в котором она обнаружена. Контекст включает пользователя, осуществляющего активные действия, время, в которое это происходит, частоту, с которой это повторяется, и прочие параметры. Кроме поиска аномалий в текущих потоках событий, специалистам ИБ следует изучить исторические данные. Момент начала осуществления вредоносных действий всегда предшествует моменту их выявления специалистами по безопасности: значит, чтобы удостовериться в том, что несанкционированный доступ еще не был осуществлен, необходимо искать его следы в данных за предыдущие периоды времени.

Ловушки и провокаци

Данные инструменты направлены на создание условий, при которых скрытый злоумышленник вынужден совершать действия, которые приведут к его обнаружению. Получив доступ к сети с привилегированными правами и установив стабильное присутствие, взломщик вряд ли начнет совершать явные вредоносные действия.

Преимущества активной защиты

• Для команды специалистов ИБ программа активной защиты помогает разработать четкий набор мероприятий по улучшению системы безопасности на основании полученных данных о киберугрозах и анализа результатов мониторинга, а затем связать их с конкретными целями. Так, команда специалистов разрабатывает меры противодействия угрозам, выискивает скрытых нарушителей, получающих доступ к сети, и точечно усиливает защиту на основании актуальных отчетов о поведении реальных взломщиков.

Способность к обнаружению аномальной деятельности является одним из ключевых факторов успешной реализации программы активной защиты. Аномальной считается любая активность, которая является странной, выходящей за определение "нормальной" или не относящейся к контексту, в котором она обнаружена.

• Для руководства преимущество активной защиты заключается в возможности распределять ресурсы с использованием более практичных индикаторов эффективности кибербезопасности. Вместо таких показателей, как количество примененных патчей или закрытых заявок, об эффективности деятельности можно судить, например, по увеличению числа выявленных и остановленных целевых атак на организацию или по сокращению времени, требуемого для обнаружения и устранения последствий проникновений.

Интеллектуальная собственность и данные, обрабатываемые в ключевых бизнес-системах сегодняшних организаций, характеризуются существенной стоимостью в денежном выражении. Поэтому руководители компаний ожидают, что проводимые в организации программы безопасности обеспечивают надежную защиту данных и способны предотвратить кибератаки. Программа активной защиты способна значительно повысить эффективность мер по обеспечению безопасности благодаря целенаправленному планированию, четкой стратегии и следованию принципу противодействия нарушителям. Активная защита помогает упорядочить существующие в организации операции по обеспечению безопасности, объединяя их в единое целое и тем самым способствуя снижению числа успешных целевых атак, а также сокращению времени, которое взломщики могут проводить в сети до момента их устранения.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2016

Приобрести этот номер или подписаться

Статьи про теме