В рубрику "Таргетированные атаки" | К списку рубрик | К списку авторов | К списку публикаций
APT обычно приписывают следующие характеристики:
Сложность противодействия подобным угрозам связана именно c описанными выше характеристиками. В таблице приведены примеры того, какие методы и подходы используются злоумышленниками при проведении атак при обходе традиционных средств защиты.
Прежде чем ответить на данный вопрос, необходимо ввести еще один термин – Kill Chain. Если кратко – это цепочка действий, необходимых к выполнению киберпреступником для достижения поставленной цели.
Если поверхностно рассмотреть жизненный цикл подобной атаки, то последовательность действий злоумышленника следующая:
Таким образом, для противодействия такому роду атак необходимы инструменты, позволяющие выявить и, по возможности, остановить активность киберпреступника. Так как Kill Chain – это цепочка действий, то вмешательство на любом из этапов реализации APT способно остановить ход атаки (Break the Kill Chain).
Чем раньше произойдет разрыв цепочки, тем более проактивным становится механизм защиты. Если используемые механизмы защиты способны эффективно противодействовать на всех этапах реализации целевой атаки – значит, система противодействия выстроена с использованием концепции эшелонированной защиты.
Сама по себе активная защита предусматривает своевременный анализ угроз в совокупности с планированием и принятием мер противодействия конкретным сценариям реализации подобных угроз. Активная защита означает не отказ от традиционных функций службы ИБ, а их совершенствование в рамках существующей системы управления информационной безопасностью.
Для эффективного построения системы сотрудники службы ИБ должны удостовериться в том, что они имеют четкое представление о тех активах, которые являются наиболее вероятными целями потенциальной атаки.
На следующем этапе специалисты в области ИБ должны получить представление о нормальном состоянии сети. Определение и понимание базового состояния важно для повышения эффективности службы информационной безопасности, так как активная защита предполагает последующее его применение для анализа аномальной активности, отклонений от базового состояния и поиска/идентификации злоумышленников. Ранее упоминалось, что действия киберпреступников не попадают в категорию общеизвестных, так как методы и механизмы заражения постоянно совершенствуются, а в ходе атаки маскируются. Тем не менее, при наличии модели нормального поведения в сети существует возможность распознать подобную вредоносную активность.
Основу для ее реализации закладывает киберразведка (Cyber Threat Intelligence, CTI). Результаты этой аналитической деятельности определяют контекст и направление остальной работы. Так, например, своевременно выполненный анализ используемых киберпреступниками подходов и инструментов, сценариев их действий позволяет превентивно разработать свои сценарии действий на случай реальной атаки.
Помимо известных тактик, собирается и сопоставляется с моделью актуальных злоумышленников такая информация, как:
В отношении каждого защищаемого актива специалисты по безопасности также определяют:
Собранная информация подкрепляется данными о текущих событиях в отрасли, в которой функционирует организация. Указанные данные позволяют определить, кто совершает атаки на подобные организации и с какими целями. Бизнес-партнеры по отрасли – прекрасный источник для получения самой актуальной информации о последних тактиках, процедурах и инструментах, используемых злоумышленниками.
Другими немаловажными компонентами активной защиты являются:
Превентивное исследование сети является набором активностей, связанных как с идентификацией различного рода уязвимостей, так и c отработкой сценариев возможной атаки на информационные активы с анализом эффективности принятых мер противодействия. Данные активности помогают организации понять, насколько она в действительности уязвима перед конкретными нарушителями в случае реализации того или иного сценария атаки. Как правило, данные активности более сложны, нежели простое сканирование на уязвимости. Данные активности могут включать проведение ложных атак и моделирование действий злоумышленника. Так, например, в рамках подобных мероприятий может быть продолжительная проверка имеющихся средств мониторинга безопасности на предмет возможности выявить использование конкретного примера вредоносного программного обеспечения в сети.
Суть анализа аномалий сводится к выявлению артефактов и отклонений от базового состояния на определенных участках и узлах сети, включая выявление отклонений в сетевом трафике. При том, что организация может располагать масштабной и эффективной системой средств мониторинга безопасности сетевых сегментов и конечных устройств, существует множество видов вредоносной деятельности, которые не поддаются обнаружению автоматизированными средствами, однако легко определяются при анализе аномалий в сетевой активности.
Способность к обнаружению аномальной деятельности является одним из ключевых факторов успешной реализации программы активной защиты. Аномальной считается любая активность, которая является странной, выходящей за определение "нормальной" или не относящейся к контексту, в котором она обнаружена. Контекст включает пользователя, осуществляющего активные действия, время, в которое это происходит, частоту, с которой это повторяется, и прочие параметры. Кроме поиска аномалий в текущих потоках событий, специалистам ИБ следует изучить исторические данные. Момент начала осуществления вредоносных действий всегда предшествует моменту их выявления специалистами по безопасности: значит, чтобы удостовериться в том, что несанкционированный доступ еще не был осуществлен, необходимо искать его следы в данных за предыдущие периоды времени.
Данные инструменты направлены на создание условий, при которых скрытый злоумышленник вынужден совершать действия, которые приведут к его обнаружению. Получив доступ к сети с привилегированными правами и установив стабильное присутствие, взломщик вряд ли начнет совершать явные вредоносные действия.
• Для команды специалистов ИБ программа активной защиты помогает разработать четкий набор мероприятий по улучшению системы безопасности на основании полученных данных о киберугрозах и анализа результатов мониторинга, а затем связать их с конкретными целями. Так, команда специалистов разрабатывает меры противодействия угрозам, выискивает скрытых нарушителей, получающих доступ к сети, и точечно усиливает защиту на основании актуальных отчетов о поведении реальных взломщиков.
• Для руководства преимущество активной защиты заключается в возможности распределять ресурсы с использованием более практичных индикаторов эффективности кибербезопасности. Вместо таких показателей, как количество примененных патчей или закрытых заявок, об эффективности деятельности можно судить, например, по увеличению числа выявленных и остановленных целевых атак на организацию или по сокращению времени, требуемого для обнаружения и устранения последствий проникновений.
Интеллектуальная собственность и данные, обрабатываемые в ключевых бизнес-системах сегодняшних организаций, характеризуются существенной стоимостью в денежном выражении. Поэтому руководители компаний ожидают, что проводимые в организации программы безопасности обеспечивают надежную защиту данных и способны предотвратить кибератаки. Программа активной защиты способна значительно повысить эффективность мер по обеспечению безопасности благодаря целенаправленному планированию, четкой стратегии и следованию принципу противодействия нарушителям. Активная защита помогает упорядочить существующие в организации операции по обеспечению безопасности, объединяя их в единое целое и тем самым способствуя снижению числа успешных целевых атак, а также сокращению времени, которое взломщики могут проводить в сети до момента их устранения.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2016