The monster of advanced threat and targeted attack – Монстр передовых угроз и целенаправленных атак

в 19:53, , рубрики: antiapt, информационная безопасность, передовые угрозы, сложные угрозы, средства защиты, целевая атака, целенаправленная атака

Дорогое Хабрсообщество, приветствую!

Сегодня подача материала будет достаточно неоднозначной, мне трудно предугадать вашу реакцию, но несмотря на это, я постараюсь донести основную мысль своей статьи, переложив сложное на понятное и тем самым донести суть того, что порой невозможно выразить словами, используя принятый в тематике словарь терминов. Сделаю я это через аналогию, ассоциации, визуализацию и юмор. Любезно напоминаю, что сегодня пятница и я желаю всем хороших выходных!

Немного воды

Применение аналогии, в-первую очередь, это возможность перенести различные сложные понятия, анализ которых вызывает трудности понимания к более простым для восприятия, из других понятных областей. А во-вторых, этот метод достаточно интересен и дает возможность посмотреть на разные сложные вещи с совсем другой стороны.

Суть волны

Даже в такой консервативной среде, как Информационная Безопасность, нет ничего проще, чем на примере чего-то более осязаемого и понятного наглядно показать суть чего-то более сложного. Поэтому я рискну рассказать вам сегодня про спрута, одного из совершеннейших морских обитателей, с уникальнейшим оборудованием на «борту», с его изощрённым способами нападения на жертву и используемыми оборонительными приемами. Почему спрута нелегко обнаружить? Почему спруту сложно противостоять?

На очень наглядной, на мой взгляд, аналогии с морским хищником, покажу, какими инструментами и как могут пользоваться самые подготовленные кибергруппировки в своих целенаправленных атаках и почему традиционных средств защиты недостаточно для борьбы с такими хищниками, как спрут.

И, начистоту, мне уже самой давно хотелось разобраться в деталях, почему же криминальные, хакерские и прочие группировки так любят ассоциировать себя с этим морским хищником.

А вам интересно? Тогда присаживайтесь поудобней, начинаем! Уверена, что вы будете удивлены реальным способностям спрута, его физиологическим особенностям, умением приспосабливаться и обороняться.

Итак…

Спрут — морской хищник отряда беспозвоночных, умное животные, обладает самым развитым мозгом среди беспозвоночных, хорошо обучается, понимает и запоминает окружающую среду. Учёных до сих пор поражает боевой арсенал моллюска. Похоже, ни одно живое существо на планете не имеет столько великолепных приспособлений:

  • У спрутов 8 мощных щупалец, благодаря которым он легко овладевает добычей. У спрута иногда может вырастать и больше восьми конечностей. Все щупальца снабжены когтями и имеют от одного до трёх рядов присосок;
  • На каждом щупальце расположено до десяти тысяч вкусовых рецепторов, определяющих съедобность или несъедобность предмета;
  • Спрут — хитрое существо, в качестве отвлекающего маневра может отбрасывать свои щупальца, если возникает такая необходимость. Оторванное щупальце в течение определённого времени продолжает двигаться и реагировать на тактильные стимулы, что служит дополнительным отвлекающим фактором для продолжения атаки с другой стороны или исчезновения;
  • Спруты обладают свойством регенерации, то есть оторванное или отброшенное специально щупальце через некоторое время отрастает вновь;
  • У спрутов мощный клюв, расположенный в основании щупалец, с помощью своего орудия-клюва они раскалывают панцирь жертвы и достигают тела;
  • Спрут самое ядовитое морское животное. Укус помогает спруту справляться с очень крупной добычей, обездвиживая с помощью парализующего яда;
  • Спрут видит в полной темноте за счёт инфракрасного зрения и обладает в целом зрением лучше, чем у орла;
  • Спруты способны воспринимать звук, в том числе инфразвук;
  • Спрут — быстрый пловец, с реактивным двигателем (набирает в мантию воду и выстреливает воду через воронку наружу), подобный принцип передвижения редко встречается у живых существ. 50 км/ч – обычная скорость, могут развивать до 70 км/ч;
  • Спруты умеют часами лежать на суше и даже гулять по берегу. Для пеших прогулок по суше они носят с собой воду (в специальном отделении тела);
  • У всех спрутов прекрасно развитые острые челюсти, в глотке имеется терка (радула), которая перетирает пищу;
  • Тело спрута оборудовано прожекторами. Отдельные участки кожи светятся, освещая спруту путь среди ночи или на большой глубине, где царит вечная тьма;
  • Тело спрута мягкое и эластичное, что позволяет проникать через отверстия и щели гораздо меньшие обычных размеров их тела или изощрённо прятаться в самых укромных местах;
  • Окраска спрута меняется мгновенно по необходимости (однотонный окрас или мозаика пятен), поэтому его очень трудно различить на общем фоне;
  • Чернильная бомба/облако – чудо-оружие, одно из самых удивительных приспособлений спрута для дезориентации и уничтожения зрения цели/противника. Спрут всегда заправлен чернилами, в которых содержатся наркотические вещества. Использует чернила, когда нужно уйти незамеченным или выиграть время, чтобы напасть с другой стороны.

Теперь, я уверена, что вы знаете гораздо больше о спрутовых и по ходу прочтения описания сопоставили приобретенные знания о хищнике с особенностями построения целенаправленной атаки. Настала пора познакомиться с главным персонажем моей небольшой визуализированной истории.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 1

ИСТОРИЯ ПЕРВАЯ. Успешная для атакующего – провальная для обороняющегося

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 2

Целенаправленная атака, в наше время, быстрорастущими темпами становится главной киберугрозой для бизнеса. Это тщательно спланированный, длительный процесс несанкционированной активности в инфраструктуре конкретной организации, c целью получения определенной выгоды, запланированной киберпреступной группировкой. Чаще всего основными этапами целенаправленной атаки являются: подготовка, проникновение, распространение, достижение цели и сокрытие следов.

Подготовка включает в себя определение цели, сбор максимального количества информации о ней, изучение инфраструктуры и используемых на ней решений, выявление уязвимых мест в системе безопасности и планирование стратегии проведения атаки с учетом собранных данных.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 3

Далее идет проработка методики и подбор средств к проникновению с максимально возможной адаптацией к применяемым на инфраструктуре цели средствам периметровой защиты, что позволяет злоумышленникам максимально незаметно проникнуть в инфраструктуру.
Киберпрофессионалы имеют в распоряжении неограниченное количество времени для разработки вредоносного ПО, отладки вредоносных программ, к рассмотрению вариантов применения социальной инженерии, попыток кражи учетных записей, др., а также разработки последовательности этапов атаки.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 4

Использование организацией только традиционных средств периметровой защиты, становится уже недостаточно для противодействия сложным угрозам уровня APT (Advanced Persistent Threat). Нужно понимать, что многовекторное вторжение, направленное на различные уровни инфраструктуры, с использованием различных средств проникновения, а также нацеленных на обход существующих на инфраструктуре систем защиты невозможно остановить, заблокировав лишь один из запланированных векторов комплексной целевой атаки.

Почему уже недостаточно традиционных средств защиты?
Из-за специфики самих целенаправленных атак:

  • используемые средства защиты, с целью их обхода, детально изучаются;
  • используются уязвимости нулевого дня, скомпроментированные учетные записи;
  • используется вредоносное ПО или специально созданное уникальное ПО;
  • используются в атаках доверенные, но скомпрометированные объекты, не создающие негативный фон;
  • применяется мультивекторный подход к проникновению в инфраструктуру;
  • применяется социальная инженерия и данные, полученные от инсайдеров.

Из-за присущих традиционным средствам защиты технологических ограничений:

  • решения направлены только на обнаружение и блокирование распространённых (несложные) угроз, уже известные уязвимости или неизвестные, но построенные на ранее известных методах;
  • нет функциональности встроенного сопоставления и корреляции найденных детектов в единую цепочку событий;
  • не поддерживается функциональность выявления отклонений в нормальных активностях и нет анализа работы легитимных программ и пр.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 5

Целенаправленная атака может преследовать самые разные цели: хищение денежных средств, коммерческой тайны, персональных данных, нарушение бизнес-процессов, ослабление конкурентного преимущества, шантаж и вымогательство, кража интеллектуальной собственности и пр.

После достижения цели злоумышленником следует сокрытие следов, а также, при необходимости, оставление точек возврата в инфраструктуру.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 6

ИСТОРИЯ ВТОРАЯ. Успешная для обороняющегося – провальная для атакующего

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 7

Для эффективной защиты от целенаправленных атак и APT-угроз организациям необходимо задуматься об использовании специализированных решений по противодействию целенаправленным атакам и передовым угрозам уровня APT и применения комплексной стратегии к защите в целом.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 8

Преимуществом будет является, если специализированные решения будут взаимодействовать с собственными инструментами превентивных мер, при наличии или с превентивными технологиями сторонних производителей, которые чаще всего уже присутствуют на инфраструктуре организаций, тем самым сохраняя ранее вложенные в них инвестиции. Наличие превентивных технологий по обнаружению и автоматической блокировке массовых распространённых угроз и явно вредоносных объектов помогает исключить необходимость в разборе большого количества мелких нерелевантных сложным атакам инцидентов, тем самым повышает эффективность работы специализированных решений, направленных на выявление угроз уровня APT.

Специализированные средства, в свою очередь, после обнаружения более сложных угроз, могут отправлять вердикты в традиционные средства защиты. Тем самым предоставляют двухстороннее взаимодействие и действительно комплексный подход к противодействию передовым угрозам.
При необходимости соответствия строгим требованиям по обработке критичных данных, решения должны поддерживать работу в изолированном режиме без потери качества обнаружения, т.е. должны поддерживать локальную репутационную базу угроз и предоставлять оперативно уникальные сведения о новейших угрозах, без передачи данных за пределы корпоративного контура. При выборе специализированного решения на территории РФ необходимо учитывать наличие сертификатов ФСТЭК, ФСБ, наличие решения в реестре отечественного ПО, а также соответствие решения требованиям внешних и внутренних регуляторов и нацеленность на соответствие рекомендациям законодательства, например, N 187-ФЗ и ГосСОПКА.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 9

В зависимости от ИБ зрелости каждой конкретной организации и наличия в компании необходимых ресурсов, производители специализированных решений по защите от передовых угроз должны предоставлять в каждом конкретном случае необходимые компаниям экспертные сервисы и профессиональные услуги, начиная с оказания поддержки в развертывании, настройки и обновления продуктов заканчивая предоставлением своих опытных экспертов для анализ вредоносного ПО и расследования инцидентов.

Проведения тестирования на проникновение, анализа защищенности приложений, в также:

  • сервисы по активному поиску угроз и цифровой криминалистики
  • предоставление подписки на портал аналитических отчетов об угрозах
  • круглосуточную службу анализа событий ИБ и реагирования на инциденты и пр.

The monster of advanced threat and targeted attack - Монстр передовых угроз и целенаправленных атак - 10

Автор: ZXWN

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js