The monster of advanced threat and targeted attack – Монстр передовых угроз и целенаправленных атак

Дорогое Хабрсообщество, приветствую!

Сегодня подача материала будет достаточно неоднозначной, мне трудно предугадать вашу реакцию, но несмотря на это, я постараюсь донести основную мысль своей статьи, переложив сложное на понятное и тем самым донести суть того, что порой невозможно выразить словами, используя принятый в тематике словарь терминов. Сделаю я это через аналогию, ассоциации, визуализацию и юмор. Любезно напоминаю, что сегодня пятница и я желаю всем хороших выходных!

Немного воды

Применение аналогии, в-первую очередь, это возможность перенести различные сложные понятия, анализ которых вызывает трудности понимания к более простым для восприятия, из других понятных областей. А во-вторых, этот метод достаточно интересен и дает возможность посмотреть на разные сложные вещи с совсем другой стороны.

Суть волны

Даже в такой консервативной среде, как Информационная Безопасность, нет ничего проще, чем на примере чего-то более осязаемого и понятного наглядно показать суть чего-то более сложного. Поэтому я рискну рассказать вам сегодня про спрута, одного из совершеннейших морских обитателей, с уникальнейшим оборудованием на «борту», с его изощрённым способами нападения на жертву и используемыми оборонительными приемами. Почему спрута нелегко обнаружить? Почему спруту сложно противостоять?

На очень наглядной, на мой взгляд, аналогии с морским хищником, покажу, какими инструментами и как могут пользоваться самые подготовленные кибергруппировки в своих целенаправленных атаках и почему традиционных средств защиты недостаточно для борьбы с такими хищниками, как спрут.

И, начистоту, мне уже самой давно хотелось разобраться в деталях, почему же криминальные, хакерские и прочие группировки так любят ассоциировать себя с этим морским хищником.

А вам интересно? Тогда присаживайтесь поудобней, начинаем! Уверена, что вы будете удивлены реальным способностям спрута, его физиологическим особенностям, умением приспосабливаться и обороняться.

Итак…

Спрут — морской хищник отряда беспозвоночных, умное животные, обладает самым развитым мозгом ^[1] среди беспозвоночных, хорошо обучается, понимает и запоминает окружающую среду. Учёных до сих пор поражает боевой арсенал моллюска. Похоже, ни одно живое существо на планете не имеет столько великолепных приспособлений:

• У спрутов 8 мощных щупалец, благодаря которым он легко овладевает добычей. У спрута иногда может вырастать и больше восьми конечностей. Все щупальца снабжены когтями и имеют от одного до трёх рядов присосок;
• На каждом щупальце расположено до десяти тысяч вкусовых рецепторов, определяющих съедобность или несъедобность предмета;
• Спрут — хитрое существо, в качестве отвлекающего маневра может отбрасывать свои щупальца, если возникает такая необходимость. Оторванное щупальце в течение определённого времени продолжает двигаться и реагировать на тактильные стимулы, что служит дополнительным отвлекающим фактором для продолжения атаки с другой стороны или исчезновения;
• Спруты обладают свойством регенерации, то есть оторванное или отброшенное специально щупальце через некоторое время отрастает вновь;
• У спрутов мощный клюв, расположенный в основании щупалец, с помощью своего орудия-клюва они раскалывают панцирь жертвы и достигают тела;
• Спрут самое ядовитое морское животное. Укус помогает спруту справляться с очень крупной добычей, обездвиживая с помощью парализующего яда;
• Спрут видит в полной темноте за счёт инфракрасного зрения и обладает в целом зрением лучше, чем у орла;
• Спруты способны воспринимать звук, в том числе инфразвук;
• Спрут — быстрый пловец, с реактивным двигателем (набирает в мантию воду и выстреливает воду через воронку наружу), подобный принцип передвижения редко встречается у живых существ. 50 км/ч – обычная скорость, могут развивать до 70 км/ч;
• Спруты умеют часами лежать на суше и даже гулять по берегу. Для пеших прогулок по суше они носят с собой воду (в специальном отделении тела);
• У всех спрутов прекрасно развитые острые челюсти, в глотке имеется терка (радула), которая перетирает пищу;
• Тело спрута оборудовано прожекторами. Отдельные участки кожи светятся, освещая спруту путь среди ночи или на большой глубине, где царит вечная тьма;
• Тело спрута мягкое и эластичное, что позволяет проникать через отверстия и щели гораздо меньшие обычных размеров их тела или изощрённо прятаться в самых укромных местах;
• Окраска спрута меняется мгновенно по необходимости (однотонный окрас или мозаика пятен), поэтому его очень трудно различить на общем фоне;
• Чернильная бомба/облако – чудо-оружие, одно из самых удивительных приспособлений спрута для дезориентации и уничтожения зрения цели/противника. Спрут всегда заправлен чернилами, в которых содержатся наркотические вещества. Использует чернила, когда нужно уйти незамеченным или выиграть время, чтобы напасть с другой стороны.

Теперь, я уверена, что вы знаете гораздо больше о спрутовых и по ходу прочтения описания сопоставили приобретенные знания о хищнике с особенностями построения целенаправленной атаки. Настала пора познакомиться с главным персонажем моей небольшой визуализированной истории.

ИСТОРИЯ ПЕРВАЯ. Успешная для атакующего – провальная для обороняющегося

Целенаправленная атака, в наше время, быстрорастущими темпами становится главной киберугрозой для бизнеса. Это тщательно спланированный, длительный процесс несанкционированной активности в инфраструктуре конкретной организации, c целью получения определенной выгоды, запланированной киберпреступной группировкой. Чаще всего основными этапами целенаправленной атаки являются: подготовка, проникновение, распространение, достижение цели и сокрытие следов.

Подготовка включает в себя определение цели, сбор максимального количества информации о ней, изучение инфраструктуры и используемых на ней решений, выявление уязвимых мест в системе безопасности и планирование стратегии проведения атаки с учетом собранных данных.

Далее идет проработка методики и подбор средств к проникновению с максимально возможной адаптацией к применяемым на инфраструктуре цели средствам периметровой защиты, что позволяет злоумышленникам максимально незаметно проникнуть в инфраструктуру.
Киберпрофессионалы имеют в распоряжении неограниченное количество времени для разработки вредоносного ПО, отладки вредоносных программ, к рассмотрению вариантов применения социальной инженерии, попыток кражи учетных записей, др., а также разработки последовательности этапов атаки.

Использование организацией только традиционных средств периметровой защиты, становится уже недостаточно для противодействия сложным угрозам уровня APT (Advanced Persistent Threat). Нужно понимать, что многовекторное вторжение, направленное на различные уровни инфраструктуры, с использованием различных средств проникновения, а также нацеленных на обход существующих на инфраструктуре систем защиты невозможно остановить, заблокировав лишь один из запланированных векторов комплексной целевой атаки.

Почему уже недостаточно традиционных средств защиты?
Из-за специфики самих целенаправленных атак:

• используемые средства защиты, с целью их обхода, детально изучаются;
• используются уязвимости нулевого дня, скомпроментированные учетные записи;
• используется вредоносное ПО или специально созданное уникальное ПО;
• используются в атаках доверенные, но скомпрометированные объекты, не создающие негативный фон;
• применяется мультивекторный подход к проникновению в инфраструктуру;
• применяется социальная инженерия и данные, полученные от инсайдеров.

Из-за присущих традиционным средствам защиты технологических ограничений:

• решения направлены только на обнаружение и блокирование распространённых (несложные) угроз, уже известные уязвимости или неизвестные, но построенные на ранее известных методах;
• нет функциональности встроенного сопоставления и корреляции найденных детектов в единую цепочку событий;
• не поддерживается функциональность выявления отклонений в нормальных активностях и нет анализа работы легитимных программ и пр.

Целенаправленная атака может преследовать самые разные цели: хищение денежных средств, коммерческой тайны, персональных данных, нарушение бизнес-процессов, ослабление конкурентного преимущества, шантаж и вымогательство, кража интеллектуальной собственности и пр.

После достижения цели злоумышленником следует сокрытие следов, а также, при необходимости, оставление точек возврата в инфраструктуру.

ИСТОРИЯ ВТОРАЯ. Успешная для обороняющегося – провальная для атакующего

Для эффективной защиты от целенаправленных атак и APT-угроз организациям необходимо задуматься об использовании специализированных решений по противодействию целенаправленным атакам и передовым угрозам уровня APT и применения комплексной стратегии к защите в целом.

Преимуществом будет является, если специализированные решения будут взаимодействовать с собственными инструментами превентивных мер, при наличии или с превентивными технологиями сторонних производителей, которые чаще всего уже присутствуют на инфраструктуре организаций, тем самым сохраняя ранее вложенные в них инвестиции. Наличие превентивных технологий по обнаружению и автоматической блокировке массовых распространённых угроз и явно вредоносных объектов помогает исключить необходимость в разборе большого количества мелких нерелевантных сложным атакам инцидентов, тем самым повышает эффективность работы специализированных решений, направленных на выявление угроз уровня APT.

Специализированные средства, в свою очередь, после обнаружения более сложных угроз, могут отправлять вердикты в традиционные средства защиты. Тем самым предоставляют двухстороннее взаимодействие и действительно комплексный подход к противодействию передовым угрозам.
При необходимости соответствия строгим требованиям по обработке критичных данных, решения должны поддерживать работу в изолированном режиме без потери качества обнаружения, т.е. должны поддерживать локальную репутационную базу угроз и предоставлять оперативно уникальные сведения о новейших угрозах, без передачи данных за пределы корпоративного контура. При выборе специализированного решения на территории РФ необходимо учитывать наличие сертификатов ФСТЭК, ФСБ, наличие решения в реестре отечественного ПО, а также соответствие решения требованиям внешних и внутренних регуляторов и нацеленность на соответствие рекомендациям законодательства, например, N 187-ФЗ и ГосСОПКА.

В зависимости от ИБ зрелости каждой конкретной организации и наличия в компании необходимых ресурсов, производители специализированных решений по защите от передовых угроз должны предоставлять в каждом конкретном случае необходимые компаниям экспертные сервисы и профессиональные услуги, начиная с оказания поддержки в развертывании, настройки и обновления продуктов заканчивая предоставлением своих опытных экспертов для анализ вредоносного ПО и расследования инцидентов.

Проведения тестирования на проникновение, анализа защищенности приложений, в также:

• сервисы по активному поиску угроз и цифровой криминалистики
• предоставление подписки на портал аналитических отчетов об угрозах
• круглосуточную службу анализа событий ИБ и реагирования на инциденты и пр.

Автор: ZXWN

Источник ^[2]