Что такое APT и как с ними справиться
В индустрии информационных технологий бытует мнение, что вовсе необязательно делать сети на сто процентов защищенными от взлома и вредоносных программ.
В индустрии информационных технологий бытует мнение, что вовсе необязательно делать сети на сто процентов защищенными от взлома и вредоносных программ. Объяснение вполне логично: подавляющее большинство киберпреступников интересуется только деньгами, и им все равно, откуда их добывать. Поэтому, утверждают сторонники этой теории, владельцам бизнеса достаточно сделать свою систему более устойчивой к взлому, чем у соседей — и злодеи взломают и обчистят счета этих соседей, а не ваши.
Еще году в 2010-м данный тезис было тяжело оспорить — даже серьезные продавцы решений по ИТ-безопасности рекомендовали перестать волноваться и развернуть «достаточно надежную» защитную систему (желательно, их собственную). Более того, и сегодня сказанное выше верно для многих малых и средних компаний, не обладающих уникальными технологиями, коммерческими тайнами, ценными активами или большой клиентской базой.
Но бывает так, что хакерам нужны не деньги. Иногда они выходят на охоту именно на вас — вас лично или вашу организацию. Или через вас выходят на организацию, подрядчиком которой вы являетесь.
Создаваемые с такими намерениями вредоносные программы получили название Advanced Persistent Threats (APT) — целенаправленные атаки. Они могут руководствоваться различными мотивами, но чаще всего причины преследования конкретной, определенной цели могут быть следующими:
- Личная обида. Уволенный со скандалом сотрудник. Клиент вашего банка, которому отказали в кредите. Бывший муж или жена после конфликтного развода. Сосед-шизофреник, уверенный, что вы возглавляете заговор против него. Многие люди годами таят обиду и способны атаковать лично вас или ваш бизнес в отместку за былые прегрешения — реальные или мнимые. Вариант «подкараулить обидчика в темном переулке» чреват неприятной встречей с сотрудниками органов, а вот взлом компьютера, кража или уничтожение личных и рабочих данных — подобное преступление сложнее раскрыть, а удовлетворение от него зачастую даже больше.
- Идеология. Многие хакеры искренне верят, что делают правое дело, взламывая ресурсы правительства, принявшего непопулярный закон, компании, обвиненной в коррупции, или некоммерческой организации, поддерживающей «не ту» партию... Например, знаменитая хакерская группа Anonymous никогда не скрывала, что атакует компании и организации, проводящие некорректную, с точки зрения ее участников, политику. Однако подобные действия все равно являются преступлением, и жертва идеологически мотивированных атак имеет полное право защищаться.
- Конкуренция. Иногда компании, не выдерживающие честной конкуренции, прибегают к грязным трюкам. Если ваш онлайн-магазин «ляжет» из-за взлома или DDoS-атаки, ваш конкурент выигрывает. Если деньги с вашего банковского счета утекут в неизвестном направлении, ваш конкурент выигрывает. Если ваш вебсайт вместо информации о компании начнет показывать непристойные картинки и загружать вирусы на компьютеры посетителей, ваш конкурент опять-таки выигрывает. Очевидно, что чем более накалена конкуренция, тем больше риск оказаться целью подобных атак.
- Престиж. Многие хакерские группы состязаются между собой не ради денег, а ради престижа. Человек или коллектив, совершивший более крупный или более дерзкий взлом, начинает пользоваться уважением «коллег». Поэтому чем крупнее, чем успешнее, чем известнее компания или организация, тем с большей вероятностью она окажется целью хакера, мечтающего продемонстрировать свою «крутизну». При этом он может вовсе не иметь личной неприязни к вам — так же, как охотник не испытывает личной вражды к оленю в прицеле ружья.
- Государственные кибератаки. Это наиболее опасный класс APT, поскольку государство может нанять или обучить лучших специалистов по кибератакам, построить (или даже создать с нуля) лучшие компьютерные системы, а также обладает практически безграничным бюджетом на приобретение информации об уязвимостях цели. Подобные атаки за последние годы не раз и не два оказывались на передовицах СМИ — имена Stuxnet, Gauss, Flame и т.д. известны любому профессионалу в области информационной безопасности. Уже давно не секрет, что многие технологически развитые страны держат на службе целые дивизионы хакеров… и не боятся их использовать в государственных интересах.
Таким образом, можно дать следующее определение: APT — это целенаправленная кибератака, осуществляемая в течение долгого времени и с достаточным уровнем экспертизы, чтобы обойти различные системы защиты.
Естественный вопрос — а как защищаться против подобных атак?
Сопротивление бесполезно?
Базовая истина, которую необходимо осознать любому человеку, работающему с информационными технологиями, такова: рано или поздно вы столкнетесь с киберугрозами. Сегодня невозможно гарантировать стопроцентную защиту бизнеса от информационных угроз: как и в гонке брони и снаряда, иногда сильнее оказывается снаряд. И это вдвойне верно, когда противник технологически подкован, мотивирован и отлично финансируется.
Вы же можете сделать только все от себя зависящее, чтобы «броня» всегда была в идеальном состоянии – иными словами, добиться того, чтобы любая атака против вас требовала от противника непозволительно много времени и ресурсов, и чтобы даже в случае успешной атаки ваш бизнес пострадал минимально.
Меры, необходимые для реализации подобной защиты, включают следующие процедуры (но не ограничиваются ими):
- Образовательные мероприятия
- Внедрение внутренней политики безопасности и контроль ее исполнения
- Тесты проникновения («пен-тесты») и аудит безопасности
- Меры по обеспечению непрерывности бизнеса (business continuity планирование)
- Развертывание оборудования и программного обеспечения для обеспечения безопасности, среди которых —
- Новейшее решение компании Blue Coat Systems — Content Analysis System S400 и S500, защищенный веб-шлюз, специально предназначенный для противостояния APT.
Ниже все эти меры рассматриваются более подробно.
Образовательные мероприятия
В любой компании или организации безопасность начинается и заканчивается в головах сотрудников. Даже самый надежный замок не спасет, если вы забудете запереть дверь. Аналогично, и новейшие средства безопасности не помогут, если пользователь установит пароль от своей учетной записи «123456». Поэтому самой первой мерой защиты от внешних атак должно быть обучение всех сотрудников компании — от топ-менеджеров до курьеров и секретарей — азам информационной безопасности.
Перечисленные ниже элементарные правила и концепции должны быть полностью поняты и применяемы всем персоналом компании. Сами по себе, они не обеспечат защиту, но станут фундаментом, на котором вы сможете строить дальнейшие меры безопасности. Ведь если сотрудник понимает, с какой целью внедрена та или иная мера, он с большей вероятностью будет следовать политикам безопасности и пользоваться предложенными решениями.
- Обучить сотрудников распознавать угрозы. Злоумышленникам будет намного сложнее проникнуть в организацию, работники которой в курсе существующих рисков. Письмо, обещающее бесплатный айфон, если вы только нажмете на вот эту ссылку? Телефонный звонок, якобы из службы техподдержки, где вас просят сообщить свой пароль? Странное замедление в работе компьютера после того, как вы посетили новый веб-сайт? Все это может быть признаками атаки с использованием методик социальной инженерии или даже следами активного заражения. Поэтому обучите всех, какие существуют типы вредоносных программ, способы заражения и его признаки. Объясните, что такое атаки с использованием социальной инженерии, и как их распознавать. Постарайтесь привить сотрудникам здоровую паранойю — усилий потребуется немало, но в случае успеха результат будет стоить того.
- Объяснить ценность информации, имеющейся в распоряжении сотрудников. Это непростая задача — после многолетней работы с корпоративными данными люди нередко привыкают к ней и перестают помнить, что файлы, тексты, числа и графики на рабочем столе могут принести миллионы и миллиарды противникам и конкурентам — а вашей компании, соответственно, миллионы и миллиарды убытков в случае потери или кражи. Объясните, что бесполезной информации не бывает — даже содержимое мусорных баков может дать ценные сведения умному и наблюдательному злоумышленнику. Обучите сотрудников правилам безопасного обращения с физическими носителями информации и цифровыми данными.
- Защитить собственные устройства сотрудников. Если в вашей компании допускается использование сотрудниками собственных компьютеров и смартфонов в работе (так называемая политика Bring Your Own Device — BYOD), необходимо обеспечить надлежащий контроль и защиту этих устройств. Определите, какие корпоративные ресурсы будут доступны с устройств сотрудников, какие типы операций можно и нельзя выполнять с их помощью. Установите криптографические и антивирусные программы на все устройства сотрудников — ноутбуки, планшеты и смартфоны, также для управления ими (например, в случае потери) оптимальными являются решения класса Mobile Device Management.
- Никогда не записывать учетные данные на бумаге и уж тем более не оставлять их на наклейках на мониторах или на рабочем месте. Хотя данная мера кажется очевидной, люди совершают подобные ошибки ежедневно — зачастую с катастрофическими результатами. Подобную информацию могут похитить уборщики, злонамеренные коллеги, а с появлением веб-камер высокого разрешения — даже удаленная сторона во время видеоконференций.
- Всегда устанавливать последние обновления операционной системы и другого программного обеспечения. Установка обновлений жизненно важна, ведь они устраняют уязвимости, обнаруженные в программах. Поэтому чем старее версия программы, тем больше в ней «дыр», которыми может воспользоваться опытный хакер (или даже начинающий, но обладающий нужными инструментами).
- Всегда держать на компьютере современное, свежее и активное антивирусное решение. Здесь комментариев не требуется.
- Знать, что делать в чрезвычайной ситуации. Сотрудникам, как правило, объясняют порядок действий в случае пожара, наводнения или стихийных бедствий. Но знание о необходимых действиях в случае попыток взлома или фишинга, странных звонков с необычными вопросами или явных признаков заражения не менее важно — и это знание может спасти компанию от катастрофы. Первые минуты часто являются критичными: чем скорее о происшествии узнает служба безопасности и правоохранительные органы, тем больше шанс минимизировать ущерб.
И помните: учиться должно быть интересно! Люди забывают о скучных двухчасовых лекциях спустя минуты (а то и вовсе играют в Angry Birds во время тренинга). Пригласите талантливых, компетентных и умеющих доступно излагать материал специалистов – или, если планируете самостоятельно тренировать персонал, старайтесь сделать занятия максимально занимательными и интерактивными.
Политика информационной безопасности
Согласно определению SANS Institute www.SANS.org, политика безопасности — это:
Документ, описывающий конкретные требования или правила, обязательные к исполнению. В индустрии информационной/сетевой безопасности политики, как правило, являются узконаправленными, применимыми к конкретным областям деятельности. Например, политика «Работы с компьютерами» будет включать в себя правила и практики, относящиеся к работе с компьютерным парком предприятия.
Иными словами, речь идет о документах, регламентирующих различные аспекты корпоративной жизни с целью внедрения в компании передовых практик информационной безопасности. Конечно, в данной статье вы не найдете исчерпывающего описания этих политик – подобные проекты трудоемки и индивидуально создаются для каждой компании — но мы постараемся вкратце упомянуть важнейшие моменты.
- Покрытие основных источников угроз. Основные способы, которыми злоумышленники проникают в компанию — это заражение компьютеров при работе в сети, открытие сотрудником электронной почты с вирусным вложением, использование непроверенных и зараженных личных устройств — т.е. инциденты, причиной которых во многом является халатность самого сотрудника. Поэтому в политике необходимо максимально подробно регламентировать порядок безопасной работы с сетью и электронной почтой, правила эксплуатации собственных устройств сотрудников и т.д. Также следует не терять бдительности и быть готовым к появлению новых источников угроз — ведь злоумышленники постоянно ищут новые способы преодоления существующих систем защиты. Следите за новостями и регулярно обновляйте политики безопасности.
- Проникновение с использованием человеческого фактора. Злоумышленникам даже не придется писать хитроумные Трояны, если ваши сотрудники сами расскажут им свои пароли или услужливо вышлют на почту корпоративные секреты. Поэтому обязательно опишите в политиках наиболее популярные трюки с использованием социальной инженерии. Объясните, что пароли нельзя сообщать никому; что к незнакомцам, внезапно начавшим интересоваться вашей работой, стоит относиться с максимальным подозрением (желательно, с привлечением службы безопасности компании). Регламентируйте порядок обращения с конфиденциальными данными — вплоть до полного запрета оцифровки документов с максимальной степенью секретности.
- Недостаточно написать политику — важно донести ее до персонала. Устраивайте викторины и бизнес-игры с призами наиболее сознательным сотрудникам. Задавайте вопросы об информационной безопасности в ходе ежегодных оценочных интервью. Не стесняйтесь использовать не только пряник, но и кнут, если становится очевидно, что кто-то не готов серьезно относиться к защите данных.
- Политика должна быть ясной, грамотно сформулированной, лаконичной. Даже Эйнштейн не запомнит документ из 50 страниц мелким шрифтом, поэтому постарайтесь сделать политику логичной, краткой и простой для запоминания. В идеале все пункты должны не заучиваться наизусть, а быть очевидными при использовании здравого смысла.
- Контроль исполнения. Даже от лучших правил не будет толку, если профессиональные специалисты не будут контролировать их исполнения. Но и превращать свою компанию в оруэлловский кошмар, где за каждым шагом следит Большой Брат, тоже не стоит. Контроль политик безопасности должен быть эффективным, но незаметным. Иными словами, чтение всей частной переписки и вынуждение сотрудников шпионить друг за другом — это плохо. Мониторинг персонала с помощью автоматизированных систем, контролирующих ключевые слова и внезапные изменения в поведении — уже лучше. Мотивация сотрудников, чтобы они не из-под палки, а искренне стремились к безопасной работе — бесценно.
Много отличных примеров политик информационной безопасности можно найти в открытом доступе (на английском языке) на сайте SANS institute.
Тесты проникновения и аудит безопасности
Представьте себе, что невероятно талантливый и по последнему слову техники вооруженный хакер выходит на охоту. Он владеет всеми тайнами ремесла — знает уязвимости всех протоколов, умеет пользоваться приемами социальной инженерии и даже взламывать замки. Представьте, что он ежедневно старается взломать вас, и только вас.
И к тому же, вы ему за это платите.
Вот что такое так называемые тесты проникновения, или пен-тесты (от английского penetration — проникновение). Существуют десятки компаний, к чьим услугам можно прибегнуть, чтобы они испытали на прочность ваши меры безопасности, обнаружили ваши уязвимости и сообщили о них вам. Практически, это добрые шпионы — их еще называют White-hat hackers, хакеры в белой шляпе — которые, успешно взломав защиту, не похищают деньги и коммерческие тайны, а создают подробный отчет для руководства компании, где объясняют, что нужно делать по-другому.
Ценность пен-тестов невозможно преувеличить. Белые шляпы — профессионалы высочайшего класса: они сумеют втереться в доверие ваших сотрудников с помощью социальной инженерии, смогут взломать или подобрать пароль, даже переоденутся уборщиком, чтобы инкогнито проникнуть на территорию компании. Они умеют мыслить неформально: необязательно писать сложные вирусы, когда достаточно «потерять» USB-флэшку с руткитом на парковке компании, где ее обязательно найдет любопытный сотрудник и вставит в свой рабочий компьютер, открыв хакеру готовую лазейку в сеть. Поскольку пен-тестеры обладают большим опытом, можно не сомневаться: настоящие авторы APT будут пользоваться теми же приемами для проникновения в вашу организацию.
По завершении пен-теста заказчик получает подробный отчет со списком уязвимостей и рекомендациями по их устранению. Обычно рекомендации относятся к следующим категориям:
- Программы и оборудование. Если тестер обнаруживает уязвимости в мерах защиты сети, вы получите рекомендации по их наиболее эффективному исправлению. Это может быть все что угодно: от установки свежих обновлений до полной замены развернутого решения (например, так называемый «бесплатный» антивирус далеко не так надежен, как уверяют его разработчики…).
- Человеческий фактор. Если использованные приемы социальной инженерии приносят плоды, тестер объяснит, какие меры нужно принять, чтобы повысить бдительность персонала. Как правило, рекомендуется проведение тренингов или принятие более строгих политик безопасности (см. предыдущие разделы). Кстати, не стоит применять санкции к сотрудникам, введенным в заблуждение хакером: гарантируем, что после подобного инцидента они станут наиболее бдительными и ответственными служащими компании.
- Физическая безопасность. Эти рекомендации относятся к физическому контролю доступа на территорию организации. Расслабленная охрана, дырки в заборе, отсутствие внешних камер наблюдения, даже открытые окна на первом этаже — вот уязвимости, которыми запросто воспользуется любой умный злоумышленник.
- Третьи стороны. Подавляющее большинство крупных компаний в наши дни пользуется услугами аутсорсинга. Поэтому хакер обязательно проверит, насколько сложно обмануть, подкупить, даже поступить на службу к этим аутсорсерам — уборщикам, охранникам, интеграторам, даже к владельцам здания, — и заставить их выполнить грязную работу за него. Или использовать слабое звено в виде рекламного агентства, дизайнеров и других подрядчиков, чтобы получить нужную информацию через третьи стороны.
Не забывайте также о ежегодных аудитах и следуйте рекомендациям аудиторов. Это выглядит не настолько эффектно, как пен-тесты, но, тем не менее, аудит безопасности выявит, насколько ваша компания следует мировым передовым практикам, а руководство получит детальные и ценные рекомендации.
Обеспечение непрерывности бизнеса
Следует помнить: даже самые лучшие меры безопасности не обеспечат стопроцентной защиты от профессиональных и компетентных злоумышленников, если те задались целью атаковать вас. Поэтому представим худший сценарий: хакер успешно пробрался в вашу сеть. Данные украдены или повреждены. Сайт компании находится под непрерывной DDoS-атакой. Что же можно сделать, чтобы избежать полной катастрофы для вашей компании?
Здесь вступают в действие Планы обеспечения непрерывности бизнеса (Business Continuity Plans, BCP). BCP — это набор мер для поддержания стабильности компании даже в чрезвычайной ситуации и для минимизации ущерба и нарушения бизнес-процессов. В принципе, BCP могут применяться для любых угроз деятельности компании – от стихийных бедствий до экономических кризисов и военных конфликтов. Разумеется, действия в случае атак со стороны APT не являются исключением.
Передовые практики индустрии информационных технологий включают в себя следующие меры для минимизации риска в случае злонамеренных ИТ-действий в отношении вашей организации.
- Размещение ресурсов в защищенных ЦОД. Сегодня только самые большие компании могут позволить себе держать все ИТ-ресурсы на собственной территории. Для остальных лучшим выходом будет размещение данных в центрах обработки данных с гарантированной 24/7/365 работой, промышленными источниками бесперебойного питания, современными средствами противопожарной безопасности, а также мерами контроля доступа, которым позавидуют иные военные базы. В результате злоумышленник, который захочет получить физический доступ к серверам компании, чтобы вывести их из строя или похитить данные, столкнется с эффективным противодействием.
- Резервное копирование офлайн. Необходимо регулярно (желательно, ежедневно) сохранять резервные копии всех баз и хранилищ данных, а также любых других ценных цифровых данных. К тому же, эти копии должны храниться на физических носителях, в принципе недоступных извне — т.е., нужно буквально запирать диски с копиями в банковский сейф. Если учесть, что с каждым годом цена гигабайта падает все ниже, подобное резервное копирование окажется не слишком затратным.
- Защита от DDoS-атак. Один из самых простых способов нарушить работу онлайн-бизнеса — это DDoS-атака, т.е., распределенная атака типа «отказ в обслуживании». Поток «мусорных» запросов (обычно из контролируемого злоумышленником ботнета) обрушивается на сайт, который вынужден тратить все свои ресурсы на их обработку и в результате становится недоступным для добросовестных пользователей. Зная об этой проблеме, многие современные компании (в том числе, «Лаборатория Касперского») предлагают заказчикам сервисы по защите от DDoS-атак. Схемы защиты включают в себя географически распределенный хостинг охраняемых ресурсов, фильтрацию и блокировку «мусорных» запросов, а также перенаправление очищенного трафика на искомый сайт.
- Страхование самых критичных узлов бизнеса и ресурсов заказчиков от ущерба в результате хакерской деятельности.
- Сотрудничество с правоохранительными органами. При первых признаках скоординированной атаки необходимо связаться с компетентными органами. В полиции всех развитых стран есть подразделения по борьбе с киберпреступностью, которые окажут необходимую информационную и технологическую поддержку, помогут обнаружить злоумышленников.
Антивирусные решения
Даже если все сотрудники компании прошли обучение, ответственно относятся к защите данных и неукоснительно следуют грамотным политикам безопасности, фирме все равно потребуется оборудование и ПО для предотвращения и обнаружения вредоносных программ и попыток взлома. Иными словами, комплексные антивирусные и антихакерские решения.
Как продемонстрировали недавние успешные взломы и киберэпидемии, «продвинутые» хакеры с готовностью пользуются новейшими технологиями для достижения своих целей. Трояны, созданные вирусописателями на государственной службе — Stuxnet, Flame и т.д. — были уникальными разработками, но теперь, когда их исходный код оказался в сети, аналогичные Трояны могут быть созданы хакерскими коллективами, разведывательными агентствами стран-изгоев, а также службами кибершпионажа крупных корпораций. Не следует забывать и о «традиционных» хакерах, которые, как показали многочисленные случаи взлома американских розничных сетей в 2013 и 2014 годах, компенсируют нехватку передовых технологий упорством и смекалкой.
Вот почему призыв ведущих экспертов в области ИТ-безопасности, который они неустанно повторяют еще с прошлого века, сейчас актуальнее, чем когда-либо. Это знаменитые три кита кибербезопасности:
- Обязательно пользоваться решениями для обеспечения ИТ-безопасности.
- Установить максимум защитных технологий (оптимально при этом использовать комплексные продукты).
- Развернуть многоуровневую защиту для максимальной эффективности.
Вероятно, объяснять необходимость антивирусных решений ИТ-профессионалам — занятие не более благодарное, чем объяснять шарообразность Земли астрономам. Поэтому остановимся только на нескольких менее очевидных моментах, показывающих, каким образом многоуровневая защита позволяет противостоять комплексным атакам, с которыми не справится обычный антивирус.
- Защищайте не отдельные машины, а целые сети. Хотя классические антивирусы неплохо защищают индивидуальные рабочие станции и серверы, их совершенно недостаточно для обеспечения безопасности корпоративной сети в целом. Вот почему настоятельно рекомендуется пользоваться защищенными веб-шлюзами. Они служат первым барьером на пути входящих «зловредов» или хакеров, пытающихся проникнуть в сеть — и барьером монументальным, если говорить о новейших решениях, вроде Blue Coat CAS (см. ниже).
- Будьте проактивными. Почти все современные антивирусные решения не только ловят «зловредов», но и включают в себя межсетевые экраны, перехватывающие как входящие атаки, так и попытки зараженных компьютеров внутри сети связаться с управляющими центрами. В обоих случаях администратор ИТ-безопасности получает оповещение и может принять необходимые меры.
- Защищайте почтовые серверы. Электронная почта и по сей день является одним из важнейших источников проникновения вредоносного ПО в сеть. Чтобы закрыть эту брешь, большинство современных почтовых серверов поддерживают антивирусные и антиспам-плагины. Защита почтовых серверов также обеспечивается корпоративными решениями от «Лаборатории Касперского» и других ведущих вендоров. К тому же, эти продукты поддерживают контентную фильтрацию, позволяющую обнаружить и пресечь попытки отправить конфиденциальную информацию за пределы организации.
- Не бойтесь BYOD. Как мы упоминали в разделе о политиках безопасности, необходимо защитить все личные устройства сотрудников, которые допускаются для работы с корпоративными данными. Сюда входят не только обычные антивирусы для ноутбуков, но и мобильные решения для смартфонов и планшетов на ОС Android, iOS и Windows.
В любом случае, чем больше слоев защиты развернуто на всех уровнях сети, тем сложнее будет злоумышленникам добраться до ценных данных. Тут уместна аналогия с военным делом: чем больше эшелонов обороны между линией фронта и мирными жителями, тем безопаснее для последних. И, возможно, самое совершенное из защитных решений, которое сегодня может установить ответственный менеджер по кибербезопасности — это…
Blue Coat Content Analysis System
Летом и осенью 2014 года Blue Coat Systems, один из передовых американских разработчиков решений в области ИТ-безопасности, анонсировал свои новейшие защищенные веб-шлюзы — систему анализа контента Content Analysis System (CAS) S400 и S500, специально предназначенную для борьбы с APT.
CAS — представитель нового поколения защитных решений, сочетающий в себе традиционную пассивную защиту с более эффективными средствами обнаружения атак, их нейтрализации и устранения последствий. Для создания ряда ключевых элементов CAS компания Blue Coat воспользовалась опытом и экспертизой своего технологического партнера, «Лаборатории Касперского» — одного из самых уважаемых в мире вендоров решений в области кибербезопасности. CAS реализована как в виде «физического» сетевого устройства, так и виртуального, с идентичными характеристиками.
Сравнение ниже позволяет оценить отличие между CAS и традиционным защитным решением на шлюзе:
Традиционный SWG | Blue Coat CAS | ||
Антивирусное сканирование трафика | V | V | |
URL-фильтрация | V | V | |
Сканирование трафика двумя антивирусами | х | V | |
Белые списки файлов | х | V | |
Интеграция с «виртуальной песочницей» | х | V |
Естественно, CAS включает в себя все «традиционные» меры безопасности — сканирование на вирусы всего входящего/исходящего трафика и блокирование попыток соединиться с веб-ресурсами, входящими в «черный список». Но наряду с ними, новое решение Blue Coat обладает рядом новых возможностей, которые ранее никогда не были реализованы на сетевом шлюзе и специально предназначены для борьбы с угрозами нового поколения.
Продемонстрируем, как даже самые комплексные угрозы могут быть нейтрализованы с помощью CAS и связанными с ним устройствами из инфраструктуры Blue Coat:
Методика атаки APT |
Контрмеры CAS |
||
Использование кастомизированных вредоносных программ — существующих вирусов или Троянов, замаскированных, чтобы не обнаруживаться антивирусными решениями. |
1. CAS — первый веб-шлюз, позволяющий проверять весь входящий и исходящий трафик не одним, а двумя антивирусными движками одновременно (ценой 30% снижения производительности) — Антивирусом Касперского и одним из двух известных американских антивирусов. В результате значительно повышается уровень обнаружения угроз, что позволяет поймать вирус, который мог проскользнуть мимо одного из сканеров. 2. Пользователями Blue Coat являются более 15 000 компаний и организаций по всему миру. Все обнаруженные новые угрозы обрабатываются и анализируются, после чего новые данные предоставляются всей сети пользователей компании. Спустя несколько минут каждая система, защищенная решением Blue Coat, учится распознавать новую угрозу. |
||
«Дизайнерские» вредоносные программы — новые разработки, специально создаваемые под конкретную задачу с использованием новейших уязвимостей. Подобные угрозы, как правило, не обнаруживаются с помощью сигнатурного детектирования. |
1. Сервис белых списков, разработанный «Лабораторией Касперского» — это новая возможность, впервые реализованная на веб-шлюзе. Если вы подозреваете, что подверглись (или можете подвергнуться) -атаке, то достаточно включить модуль белых списков в режиме (запрет по умолчанию). В результате шлюз заблокирует все файлы, безопасность которых не подтверждена на 100%. Периметр сети сразу же станет непроницаемым для любых угроз — противнику придется искать другие, не такие простые лазейки. 2. CAS позволяет отправить неизвестные файлы — т.е., активные файлы, не найденные в белом списке, но и не идентифицированные как вредоносные — в так называемую «виртуальную песочницу», или sandbox. Это защищенная виртуальная среда, эмулирующая компьютер с незащищенной ОС Windows. Если, попав туда, новый файл начинает вести себя так, как обычно действует вредоносное ПО (вносит изменения в реестр, добавляется в автозагрузку, связывается с неизвестными веб-ресурсами), то он признается вредоносным и удаляется. В противном случае, файл направляется адресату. Поддержка «песочниц» (собственных устройств Blue Coat и сторонних решений, например, FireEye) — чрезвычайно мощный инструмент, специально предназначенный для нейтрализации комплексных APT. |
||
APT-угрозу, уже укоренившуюся в системе, практически невозможно обнаружить — иногда активное заражение длится годами, а обнаруживается по чистой случайности. Все это время вредоносная программа крадет информацию, искажает данные, или вредит системе иными способами. |
Blue Coat Security Analytics Platform — это платформа, предназначенная для мониторинга и анализа событий, происходящих в корпоративной сети. Интеллектуальные алгоритмы позволяют своевременно выявлять подозрительные события и угрозы файлам и приложениям, даже если традиционные меры безопасности не смогли засечь эти угрозы. А благодаря ретроспективному анализу сетевого трафика, специалисты по ИТ-безопасности смогут быстро обнаружить источники и пути проникновения «продвинутых» угроз в сеть. Платформа, являющаяся еще одним надежным барьером на пути APT, может быть развернута как в виде отдельного устройства, так и как виртуальное устройство, или же как программное обеспечение на оборудовании клиента. |
«Более подробная информация о продуктах Blue Coat»
Разумеется, CAS — сама по себе или в сочетании с другими устройствами из линейки Blue Coat appliances — не является панацеей: она не обеспечит защиту, если пользователь не будет соблюдать остальные меры безопасности, изложенные выше. Информационная безопасность — это длительный, сложный процесс; это вдвойне верно, когда дело касается APT. Только постоянная бдительность способна обеспечить стабильную, бесперебойную работу.
Официальный дистрибутор решений Blue Coat в странах СНГ |
|
Выводы
Сегодня деятельность киберпреступников представляет гораздо бóльшую опасность для добросовестных пользователей, чем когда-либо ранее с момента изобретения компьютера. APT являются своего рода вершиной развития компьютерных угроз — и нет сомнения, что, в полном соответствии с законами эволюции, эти угрозы с каждым годом будут становиться все более изощренными.
Очевидно, что для обеспечения безопасной работы и ведения бизнеса любая компания или организация должна выполнить целый комплекс действий, включающих в себя как организационные и регламентные меры, так и внедрение программных и аппаратных решений для противостояния атакам. За менеджером по информационной безопасности (CISO) должно оставаться последнее слово в отношении принимаемых политик и развертываемых решений, а гендиректор и совет директоров должны понимать, что экономить на защите данных и систем компании сегодня недопустимо.
Хотя в данной статье перечислены далеко не все меры, которые находятся в распоряжении специалиста по информационной безопасности, соблюдение этих простых правил поможет значительно снизить риск успешных APT-атак. При этом не стоит забывать о наших обычных советах — следить за новостями в мире ИТ-безопасности, регулярно посещать ресурсы, посвященные защите данных (наш сайт, Threatpost.com, Securelist.ru и т.д.), участвовать в семинарах и конференциях по информационной безопасности, делиться опытом с коллегами.