Что такое APT и как с ними справиться. Рецепт Blue Coat Systems

Что такое APT и как с ними справиться. Рецепт Blue Coat Systems

Что такое APT и как с ними справиться. Рецепт Blue Coat Systems

Обзор посвящён проблеме APT – комплексных угроз, разрабатываемых с учётом технических и организационных особенностей объекта атаки. Анализируются основные источники APT, а также меры, позволяющие минимизировать риск успешных APT-атак на компании и организации. В числе рассматриваемых мер – как организационно-регламентные мероприятия, так и программные и аппаратные решения, непосредственно предназначенные для защиты информации в современном мире.

 

 

1. Что такое APT?

2. Подходы к защите от APT

3. Образовательные мероприятия

4. Политика информационной безопасности

5. Тесты проникновения и аудит безопасности

6. Обеспечение непрерывности бизнеса

7. Антивирусные решения

8. Blue Coat Content Analysis System

9. Выводы

 

Что такое APT?

В индустрии информационных технологий бытует мнение, что вовсе необязательно делать сети на 100% защищёнными от взлома и вредоносных программ. Объяснение вполне логично: подавляющее большинство киберпреступников интересуется только деньгами, и им всё равно, откуда их добывать. Поэтому, утверждают сторонники этой теории, владельцам бизнеса достаточно сделать свою систему более устойчивой к взлому, чем у соседей – и злодеи взломают и обчистят счета этих соседей, а не ваши.

Ещё году в 2010-м данный тезис было тяжело оспорить – даже серьёзные продавцы решений по информационной безопасности рекомендовали перестать волноваться и развернуть «достаточно надёжную» защитную систему (желательно, их собственную). Более того, и сегодня сказанное выше верно для многих малых и средних компаний, не обладающих уникальными технологиями, коммерческими тайнами, ценными активами, или большой клиентской базой.

Но бывает так, что хакерам нужны не деньги. Иногда они выходят на охоту именно на вас – вас лично или вашу организацию.

Такие противники и создаваемые ими вредоносные программы получили название Advanced Persistent Threats (APT) – комплексные долговременные угрозы. Они могут руководствоваться различными мотивами, но чаще всего причины преследования конкретной, определённой цели могут быть следующими:

  • Личная обида. Уволенный со скандалом сотрудник. Клиент вашего банка, которому отказали в кредите. Бывший муж или жена после конфликтного развода. Сосед-шизофреник, уверенный, что вы возглавляете заговор против него. Многие люди годами таят обиду и способны атаковать лично вас или ваш бизнес в отместку за былые прегрешения – реальные или мнимые. Вариант «подкараулить обидчика в тёмном переулке» чреват неприятной встречей с сотрудниками органов, а вот взлом компьютера, кража или уничтожение личных и рабочих данных – подобное преступление сложнее раскрыть, а удовлетворение от него зачастую даже больше.
  • Идеология. Многие хакеры искренне верят, что делают правое дело, взламывая ресурсы правительства, принявшего непопулярный закон, компании, обвинённой в коррупции и.т.д. Например, знаменитая хакерская группа Anonymous никогда не скрывала, что атакует компании и организации, проводящие некорректную, с точки зрения её участников, политику. Однако подобные действия всё равно являются преступлением, и жертва идеологически мотивированных атак имеет полное право защищаться.
  • Конкуренция. Иногда компании, не выдерживающие честной конкуренции, прибегают к грязным трюкам. Если ваш онлайн-магазин «ляжет» из-за взлома или DDoS-атаки, ваш конкурент выигрывает. Если деньги с вашего банковского счёта утекут в неизвестном направлении, ваш конкурент выигрывает. Если ваш веб-сайт, вместо информации о компании, начнёт показывать непристойные картинки и загружать вирусы на компьютеры посетителей, ваш конкурент опять-таки выигрывает. Очевидно, что чем более накалена конкуренция, тем больше риск оказаться целью подобных атак.
  • Престиж. Многие хакерские группы состязаются между собой не ради денег, а ради престижа. Человек или коллектив, совершивший более крупный или более дерзкий взлом, начинает пользоваться уважением «коллег». Поэтому чем крупнее, чем успешнее, чем известнее компания или организация, тем с большей вероятностью она окажется целью хакера, мечтающего продемонстрировать свою «крутизну». При этом он может вовсе не иметь личной неприязни к вам – так же, как охотник не испытывает личной вражды к оленю в прицеле ружья.
  • Государственные кибератаки. Это наиболее опасный класс APT, поскольку государство может нанять или обучить лучших специалистов по кибератакам, построить (или даже создать с нуля) лучшие компьютерные системы, а также обладает практически безграничным бюджетом на приобретение информации об уязвимостях цели. Подобные атаки за последние годы не раз и не два оказывались на передовицах СМИ – имена Stuxnet, Gauss, Flame, и т.д. известны любому профессионалу в области информационной безопасности. Уже давно не секрет, что многие технологически развитые страны – США, Великобритания, Китай, Израиль – и, по всей видимости, Россия – держат на службе целые дивизионы хакеров… и не боятся их использовать в государственных интересах.

Таким образом, можно дать следующее определение: APT – это человек или группа, способные и готовые осуществлять кибератаки против своих целей в течение долгого времени и с достаточным уровнем экспертизы, чтобы обойти даже новейшие и самые совершенные системы защиты.

Естественный вопрос – а как защищаться против подобных атак?

 

Подходы к защите от APT

Базовая истина, которую необходимо осознать любому человеку, работающему с информационными технологиями, такова: рано или поздно вас ТОЧНО взломают. Вы ТОЧНО заразитесь вирусом. У вас ТОЧНО произойдёт утечка данных, и т.п. Сегодня попросту невозможно гарантировать 100%-ю защиту бизнеса от информационных угроз: как и в гонке брони и снаряда, иногда сильнее оказывается снаряд. И это вдвойне верно, когда противник технологически подкован, мотивирован и отлично финансируется.

Вы же можете сделать только всё от себя зависящее, чтобы «броня» всегда была в идеальном состоянии – иными словами, добиться того, чтобы любая атака против вас требовала от противника непозволительно много времени и ресурсов, и чтобы даже в случае успешной атаки ваш бизнес пострадал минимально.

Меры, необходимые для реализации подобной защиты, включают следующие процедуры (но не ограничиваются ими):

  • Образовательные мероприятия;
  • Внедрение внутренней политики безопасности и контроль её исполнения;
  • Тесты на проникновение («пен-тесты») и аудит безопасности;
  • Меры по обеспечению непрерывности бизнеса;
  • Развёртывание антивирусного и антихакерского оборудования и программного обеспечения;
  • Специализированное решение, например, Blue Coat SystemsContent Analysis System S400, защищённый веб-шлюз, специально предназначенный для противостояния APT-угрозам.

Рассмотрим все эти меры более подробно.

 

Образовательные мероприятия

В любой компании или организации безопасность начинается и заканчивается в головах сотрудников. Даже самый надёжный замок не спасёт, если вы забудете запереть дверь. Аналогично, и новейшие антивирусные и антихакерские решения не помогут, если пользователь установит пароль от своей учетной записи «123456». Поэтому самой первой мерой защиты от внешних атак должно быть обучение всех сотрудников компании – от топ-менеджеров до курьеров и секретарей – азам информационной безопасности.

Перечисленные ниже элементарные правила и концепции должны быть полностью усвоены всем персоналом компании. Сами по себе, они не обеспечат защиту, но станут фундаментом, на котором вы сможете строить дальнейшие меры безопасности. Ведь если сотрудник понимает, с какой целью внедрена та или иная мера, он с большей вероятностью будет следовать политикам безопасности и пользоваться предложенными решениями.

  • Обучить сотрудников распознавать угрозы. Злоумышленникам будет намного сложнее проникнуть в организацию, работники которой в курсе существующих рисков. Письмо, обещающее бесплатный iPhone, если вы только нажмёте на вот эту ссылку? Телефонный звонок, якобы из службы техподдержки, где вас просят сообщить свой пароль? Странное замедление в работе компьютера после того, как вы посетили новый веб-сайт? Всё это может быть признаками атаки с использованием методик социальной инженерии, или даже следами активного заражения. Поэтому обучите всех, какие существуют типы вредоносных программ, способы заражения и его признаки. Объясните, что такое атаки с использованием социальной инженерии, и как их распознавать. И самое главное – постарайтесь привить сотрудникам здоровую паранойю – усилий потребуется немало, но в случае успеха результат не замедлит сказаться.
  • Объяснить ценность информации, имеющейся в распоряжении сотрудников. Это непростая задача – после многолетней работы с корпоративными данными люди нередко привыкают к ней и перестают помнить, что файлы, тексты, числа и графики на рабочем столе могут принести миллионы и миллиарды противникам и конкурентам – а вашей компании, соответственно, миллионы и миллиарды убытков в случае потери или кражи. Объясните, что бесполезной информации не бывает – даже содержимое мусорных баков может дать ценные сведения умному и наблюдательному злоумышленнику. Обучите сотрудников правилам безопасного обращения с физическими носителями информации и цифровыми данными.
  • Защитить собственные устройства сотрудников. Если в вашей компании допускается использование сотрудниками собственных компьютеров и смартфонов в работе (так называемая политика BYOD), необходимо обеспечить надлежащий контроль и защиту этих устройств. Определите, какие корпоративные ресурсы будут доступны с устройств сотрудников, какие типы операций можно и нельзя выполнять с их помощью. Приобретите и установите криптографические и антивирусные программы на все устройства сотрудников – ноутбуки, планшеты и смартфоны.
  • Никогда не записывать учётные данные на бумаге и уж, тем более, не оставлять их на наклейках на мониторах или на рабочем месте. Хотя данная мера кажется самоочевидной, люди совершают подобные ошибки ежедневно – зачастую с катастрофическими результатами. Подобную информацию могут похитить уборщики, злонамеренные коллеги, а с появлением веб-камер высокого разрешения – даже удалённая сторона во время видеоконференций.
  • Всегда устанавливать последние обновления операционной системы и программного обеспечения. Установка патчей жизненно важна, ведь они устраняют уязвимости, обнаруженные в программах. Поэтому чем древнее версия программы, тем больше в ней дыр, которыми может воспользоваться опытный хакер (или даже начинающий, но обладающий нужными инструментами).
  • Всегда держать на компьютере современное, свежее и активное антивирусное решение. Здесь комментариев не требуется.
  • Знать, что делать в чрезвычайной ситуации. Сотрудникам, как правило, объясняют порядок действий в случае пожара, наводнения, или стихийных бедствий. Но знание о необходимых действиях в случае попыток взлома или фишинга, странных звонков с необычными вопросами, или явных признаков заражения не менее важно – и это знание может спасти компанию от катастрофы. Первые минуты часто являются критичными – чем скорее о происшествии узнает служба безопасности и правоохранительные органы, тем больше шанс минимизировать ущерб.

И помните: учиться должно быть интересно! Люди забывают о скучных двухчасовых лекциях спустя минуты (а то и вовсе играют в Angry Birds во время тренинга). Пригласите талантливых, компетентных и умеющих доступно излагать материал специалистов – или, если планируете самостоятельно тренировать персонал, старайтесь сделать занятия максимально занимательными и интерактивными.

 

Политика информационной безопасности

Согласно определению SANS Institute (www.SANS.org), политика безопасности – это

Документ, описывающий конкретные требования или правила, обязательные к исполнению. В индустрии информационной/сетевой безопасности политики как правило являются узконаправленными, применимыми к конкретным областям деятельности. Например, политика «Работы с компьютерами» будет включать в себя правила и практики, относящиеся к работе с компьютерным парком предприятия.

Иными словами, речь идёт о документах, регламентирующих различные аспекты корпоративной жизни с целью внедрения в компании передовых практик информационной безопасности. Конечно, в данном документе вы не найдёте исчерпывающего описания этих политик – подобные проекты трудоёмки и индивидуально создаются для каждой компании – но мы постараемся вкратце упомянуть важнейшие моменты.

  • Покрытие основных источников угроз. Основные способы, которыми злоумышленники проникают в компанию – это заражение компьютеров при работе в сети, открытие сотрудником электронной почты с вирусным вложением, использование непроверенных и заражённых личных устройств – т.е., инциденты, причиной которых во многом является халатность самого сотрудника. Поэтому в политике необходимо максимально подробно регламентировать порядок безопасной работы с сетью и электронной почтой, правила эксплуатации собственных устройств сотрудников, и т.д. Также следует не терять бдительности и быть готовым к появлению новых источников угроз – ведь злоумышленники постоянно ищут новые способы преодоления существующих систем защиты. Следите за новостями и регулярно меняйте политики безопасности.
  • Проникновение с использованием человеческого фактора. Злоумышленникам даже не придётся писать хитроумные вредоносные программы, если ваши сотрудники сами расскажут им свои пароли или услужливо вышлют на почту корпоративные секреты. Поэтому обязательно опишите в политиках наиболее популярные трюки с использованием социальной инженерии. Объясните, что пароли нельзя сообщать никому; что к незнакомцам, внезапно начавшим интересоваться вашей работы, стоит относиться с максимальным подозрением (желательно, с привлечением службы безопасности компании). Регламентируйте порядок обращения с конфиденциальными данными – вплоть до полного запрета оцифровки документов с максимальной степенью секретности.
  • Недостаточно написать политику – важно донести её до персонала. Устраивайте викторины и бизнес-игры с призами наиболее сознательным сотрудникам. Задавайте вопросы об информационной безопасности в ходе ежегодных оценочных интервью. Не стесняйтесь использовать не только пряник, но и кнут, если становится очевидно, что кто-то не готов серьёзно относиться к защите данных.
  • Политика должна быть ясной, грамотно сформулированной, лаконичной. Даже Эйнштейн не запомнит документ из 50 страниц мелким шрифтом, поэтому постарайтесь сделать политику логичной, краткой и простой для запоминания. В идеале все пункты должны не заучиваться наизусть, а быть очевидными при использовании здравого смысла.
  • Контроль исполнения. Даже от лучших правил не будет толку, если профессиональные специалисты не будут контролировать их исполнения. Но и превращать свою компанию в оруэлловский кошмар, где за каждым шагом следит Большой Брат, тоже не стоит. Контроль политик безопасности должен быть эффективным, но незаметным. Иными словами, чтение всей частной переписки и вынуждение сотрудников шпионить друг за другом – это плохо. Мониторинг персонала с помощью автоматизированных систем, контролирующих ключевые слова и внезапные изменения в поведении – уже лучше. Мотивация сотрудников, чтобы они не из-под палки, а искренне стремились к безопасной работе – бесценно.

Много отличных примеров политик информационной безопасности можно найти в открытом доступе (на английском языке) на сайте SANS institute.

 

Тесты проникновения и аудит безопасности

Представьте себе, что невероятно талантливый и по последнему слову техники вооружённый хакер выходит на охоту. Он владеет всеми тайнами ремесла – знает уязвимости всех протоколов, умеет пользоваться приёмами социальной инженерии, и даже взламывать замки. Представьте, что он ежедневно старается взломать вас, и только вас.

И к тому же, вы ему за это платите.

Подобная практика именуется тестами на проникновения, или пен-тесты (от английского слова penetration - проникновение). Существуют десятки компаний, к чьим услугам можно прибегнуть, чтобы они испытали на прочность ваши меры безопасности, обнаружили ваши уязвимости и сообщили о них вам. Практически, это добрые шпионы – их ещё называют White-hat hackers, хакеры в белой шляпе – которые, успешно взломав защиту, не похищают деньги и коммерческие тайны, а создают подробный отчёт для руководства компании, где объясняют, что нужно делать по-другому.

Ценность пен-тестов невозможно преувеличить. «Белые шляпы» – профессионалы высочайшего класса: они сумеют втереться в доверие ваших сотрудников с помощью социальной инженерии, смогут взломать или подобрать пароль, даже переоденутся уборщиком, чтобы инкогнито проникнуть на территорию компании. Они умеют мыслить неформально: необязательно писать сложные вирусы или устраивать дорогостоящие DDoS-атаки, когда достаточно «потерять» USB-флэшку с рутиктом на парковке компании, где её обязательно найдёт любопытный сотрудник и вставит в свой рабочий компьютер, открыв хакеру готовую лазейку в сеть. Поскольку пен-тестеры зачастую сами являются бывшими хакерами или сотрудниками спецслужб, можно не сомневаться: настоящие авторы APT будут пользоваться теми же приёмами для проникновения в вашу организацию.

По завершении пен-теста заказчик получает подробный отчёт со списком уязвимостей и рекомендациями по их устранению. Обычно рекомендации относятся к следующим категориям:

  • Программы и оборудование. Если тестер обнаруживает уязвимости в мерах защиты сети, вы получите рекомендации по их наиболее эффективному исправлению. Это может быть всё что угодно: от установки свежих патчей до тотальной замены развёрнутого решения (подсказка: так называемый «бесплатный» антивирус далеко не так надёжен, как уверяют его разработчики…).
  • Человеческий фактор. Если использованные приёмы социальной инженерии приносят плоды, тестер объяснит, какие меры нужно принять, чтобы повысить бдительность персонала. Как правило, рекомендуется проведение тренингов или принятие более строгих политик безопасности (см. предыдущие разделы). Кстати, не стоит применять санкции к сотрудникам, введённым в заблуждение хакером: гарантируем, что после подобного инцидента они станут наиболее бдительными и ответственными служащими компании.
  • Физическая безопасность. Эти рекомендации относятся к физическому контролю доступа на территорию организации. Расслабленная охрана, дырки в заборе, отсутствие внешних камер наблюдения, даже открытые окна на первом этаже – вот те низкотехнологичные уязвимости, которыми гарантированно воспользуется любой умный злоумышленник.
  • Третьи стороны. Подавляющее большинство крупных компаний в наши дни пользуется услугами аутсорсинга. Поэтому хакер обязательно проверит, насколько сложно обмануть, подкупить, даже поступить на службу к этим аутсорсерам – уборщикам, охранникам, интеграторам, даже к владельцам здания – и заставить их выполнить грязную работу за него.

Не забывайте также о ежегодных аудитах и следуйте рекомендациям аудиторов! Это выглядит не настолько эффектно, как пен-тесты, но, тем не менее, аудит безопасности выявит, насколько ваша компания следует мировым передовым практикам, а руководство получит детальные и ценные рекомендации.

 

Обеспечение непрерывности бизнеса

Следует помнить: даже самые лучшие меры безопасности не обеспечат 100%-й защиты от профессиональных и компетентных злоумышленников. Поэтому представим худший сценарий: хакер успешно пробрался в вашу сеть. Данные украдены или повреждены. Сайт компании находится под непрерывной DDoS-атакой. Что же можно сделать, чтобы избежать тотальной катастрофы для вашей компании?

Здесь вступают в действие Планы обеспечения непрерывности бизнеса (Business Continuity Plans, BCP). BCP – это набор мер для поддержания стабильности компании даже в условиях чрезвычайной ситуации, а также для минимизации ущерба и нарушения бизнес-процессов. В принципе, BCP могут применяться для любых угроз деятельности компании – от стихийных бедствий до экономических кризисов и военных конфликтов. Разумеется, действия в случае атак со стороны APT не являются исключением.

Передовые практики индустрии информационных технологий включают в себя следующие меры для минимизации риска в случае злонамеренных действий в отношении вашей организации.

  • Размещение ресурсов в защищённых ЦОД. Сегодня только самые большие компании могут позволить себе держать все ИТ-ресурсы на собственной территории. Для остальных лучшим выходом будет хранение данных в центрах обработки данных с гарантированной 24/7/365 работой, промышленными источниками бесперебойного питания, современными средствами противопожарной безопасности, а также мерами контроля доступа, которым позавидуют иные военные базы. В результате злоумышленник, который захочет получить физический доступ к серверам компании, чтобы вывести их из строя или похитить данные, столкнётся с эффективным противодействием.
  • Резервное копирование оффлайн. Здесь всё просто – необходимо регулярно (желательно, ежедневно) сохранять резервные копии всех баз и хранилищ данных, а также любых других ценных цифровых данных. К тому же, эти копии должны храниться на физических носителях, в принципе недоступных извне – т.е., нужно буквально запирать диски с копиями в банковский сейф. Если учесть, что с каждым годом цена гигабайта падает всё ниже, подобное резервное копирование окажется не слишком затратным.
  • Защита от DDoS-атак. Один из самых простых способов нарушить работу онлайн-бизнеса – это DDoS-атака, т.е., распределённая атака типа «отказ в обслуживании». Поток «мусорных» запросов (обычно из контролируемого злоумышленником ботнета) обрушивается на сайт, который вынужден тратить все свои ресурсы на их обработку и в результате становится недоступным для добросовестных пользователей. Зная об этой проблеме, многие современные компании (в том числе, «Лаборатория Касперского») предлагают заказчикам сервисы по защите от DDoS-атак. Схемы защиты включают в себя географически распределённый хостинг охраняемых ресурсов, фильтрацию и блокировку «мусорных» запросов, а также перенаправление очищенного трафика на искомый сайт.
  • Страхование самых критичных узлов бизнеса и ресурсов заказчиков от ущерба в результате хакерской деятельности.
  • Сотрудничество с правоохранительными органами. При первых признаках скоординированной атаки необходимо связаться с компетентными органами. В полиции всех развитых стран есть подразделения по борьбе с киберпреступностью, которые окажут необходимую информационную и технологическую поддержку, помогут обнаружить злоумышленников.

 

Антивирусные решения

Даже если все сотрудники компании прошли обучение, ответственно относятся к защите данных и неукоснительно следуют грамотным политикам безопасности, фирме всё равно потребуется оборудование и ПО для предотвращения и обнаружения вредоносных программ и попыток взлома. Иными словами, комплексные антивирусные и антихакерские решения.

Как продемонстрировали недавние успешные взломы и киберэпидемии, опытные хакеры с готовностью пользуются новейшими технологиями для достижения своих целей. Трояны, созданные вирусописателями на государственной службе – Stuxnet, Flame и т.д. – были уникальными разработками, но теперь, когда их исходный код оказался в сети, аналогичные Трояны могут быть созданы хакерскими коллективами, разведывательными агентствами стран-изгоев, а также службами кибершпионажа крупных корпораций. Не следует забывать и о традиционных хакерах, которые, как показали многочисленные случаи взлома американских розничных сетей в 2013 и 2014 годах, компенсируют нехватку передовых технологий упорством и смекалкой.

Вот почему призыв ведущих экспертов в области ИТ-безопасности, который они неустанно повторяют ещё с прошлого века, сейчас актуальнее, чем когда-либо. Это знаменитые три кита кибербезопасности:

  1. Обязательно пользоваться антивирусными и антихакерскими решениями.
  2. Установить максимум защитных решений, насколько позволяет бюджет.
  3. Развернуть многоуровневую защиту для максимальной эффективности.

Вероятно, объяснять необходимость антивирусных решений ИТ-профессионалам – занятие не более благодарное, чем объяснять шарообразность Земли астрономам. Поэтому остановимся только на нескольких менее очевидных моментах, показывающих, каким образом многоуровневая защита позволяет противостоять комплексным атакам, с которыми не справится обычный антивирус.

  • Защищайте не отдельные машины, а целые сети. Хотя классические антивирусы неплохо защищают индивидуальные рабочие станции и серверы, их совершенно недостаточно для обеспечения безопасности корпоративной сети в целом. Вот почему настоятельно рекомендуется пользоваться защищёнными веб-шлюзами. Они служат первым барьером на пути входящих «зловредов» или хакеров, пытающихся проникнуть в сеть – и барьером монументальным, если говорить о новейших решениях, вроде Blue Coat CAS (см. ниже).
  • Будьте проактивными. Почти все современные антивирусные решения не только ловят вредоносный код, но и включают в себя межсетевые экраны, перехватывающие как входящие атаки, так и попытки заражённых компьютеров внутри сети связаться с управляющими центрами. В обоих случаях администратор по информационной безопасности получает оповещение и может принять необходимые меры.
  • Защищайте почтовые серверы. Электронная почта и по сей день является одним из важнейших источников проникновения вредоносных программ в сеть. Чтобы закрыть эту брешь, большинство современных почтовых серверов поддерживают антивирусные и антиспам-плагины. Защита почтовых серверов также обеспечивается корпоративными решениями от «Лаборатории Касперского» и других ведущих производителей. К тому же, эти продукты поддерживают контентную фильтрацию, позволяющую обнаружить и пресечь попытки отправить конфиденциальную информацию за пределы организации.
  • Не бойтесь BYOD. Как мы упоминали в разделе о политиках безопасности, необходимо защитить все личные устройства сотрудников, которые допускаются для работы с корпоративными данными. Сюда входят не только обычные антивирусы для ноутбуков, но и мобильные решения для смартфонов и планшетов на ОС Android, iOS и Windows.

В любом случае, чем больше слоёв защиты развёрнуто на всех уровнях сети, тем сложнее будет злоумышленникам добраться до ценных данных. Тут уместна аналогия с военным делом: чем больше эшелонов обороны между линией фронта и мирными жителями, тем безопаснее для последних. И, возможно, самое совершенное из защитных решений, которое сегодня может установить ответственный менеджер по кибербезопасности – это…

 

Blue Coat Content Analysis System

Летом и осенью 2014 года Blue Coat Systems, один из передовых американских разработчиков решений в области ИТ-безопасности, анонсировал свои новейшие защищённые веб-шлюзы – систему анализа контента Content Analysis System (CAS) S400, специально предназначенную для борьбы с APT.

CAS – представитель нового поколения защитных решений, сочетающий в себе традиционную пассивную защиту с более эффективными средствами обнаружения атак, их нейтрализации и устранения последствий. Для создания ряда ключевых элементов CAS компания Blue Coat воспользовалась опытом и экспертизой своего технологического партнёра, «Лаборатории Касперского» – одного из самых уважаемых в мире производителей решений в области кибербезопасности. CAS реализована как в виде «физического» сетевого устройства, так и как виртуального, с идентичными характеристиками.

Сравнение ниже позволяет оценить отличия между CAS и традиционным защищённым веб-шлюзом (Secure web gateway, SWG):

 

Таблица 1. Отличия между CAS и традиционным защищённым веб-шлюзом

  Традиционный SWG Blue Coat CAS
Антивирусное сканирование трафика + +
URL-фильтрация + +
Сканирование трафика двумя антивирусами - +
Белые списки файлов - +
Интеграция с «виртуальной песочницей» - +

 

Естественно, CAS включает в себя все «традиционные» меры безопасности – сканирование на вирусы всего входящего/исходящего трафика и блокирование попыток соединиться с веб-ресурсами, входящими в «чёрный список». Но наряду с ними, новое решение Blue Coat обладает рядом новых возможностей, которые ранее никогда не были реализованы на сетевом шлюзе и специально предназначены для борьбы с угрозами нового поколения.

Продемонстрируем, как даже самые комплексные угрозы могут быть нейтрализованы с помощью CAS и связанными с ним устройствами из инфраструктуры Blue Coat:

 

Таблица 2. Методики APT-атак и меры противодействия им

Методика атаки APT Контрмеры CAS
Использование кастомизированных вредоносных программ – существующих вирусов или Троянов, замаскированных, чтобы не обнаруживаться антивирусными решениями.
  1. CAS – первый веб-шлюз, позволяющий проверять весь входящий и исходящий трафик не одним, а двумя антивирусными движками одновременно (ценой 30% снижения производительности) – Антивирусом Касперского и одним из двух известных американских антивирусов. В результате значительно повышается уровень обнаружения угроз, что позволяет поймать вирус, который мог проскользнуть мимо одного из сканеров.
  2. Пользователями Blue Coat являются более 15000 компаний и организаций по всему миру. Все обнаруженные новые угрозы обрабатываются и анализируются, после чего новые данные предоставляются всей сети пользователей компании. Спустя несколько минут каждая система, защищённая решением Blue Coat, учится распознавать новую угрозу.
«Дизайнерские» вредоносные программы – новые разработки, специально создаваемые под конкретную задачу с использованием новейших уязвимостей. Подобные угрозы, как правило, не обнаруживаются с помощью сигнатурного детектирования.
  1. Сервис белых списков, разработанный «Лабораторией Касперского» – это новая возможность, впервые реализованная на веб-шлюзе. Если вы подозреваете, что подверглись (или можете подвергнуться) APT-атаке, то достаточно включить модуль белых списков в режиме Default Deny (запрет по умолчанию). В результате шлюз заблокирует все файлы, безопасность которых не подтверждена на 100%. Периметр сети сразу же станет непроницаемым для любых угроз – противнику придётся искать другие, не такие простые лазейки.
  2. CAS позволяет отправить неизвестные файлы – т.е., активные файлы, не найденные в белом списке, но и не идентифицированные как вредоносные – в так называемую «виртуальную песочницу», или sandbox. Это защищённая виртуальная среда, эмулирующая компьютер с незащищённой ОС Windows. Если, попав туда, новый файл начинает вести себя так, как обычно действует вредоносное ПО (вносит изменения в реестр, добавляется в автозагрузку, связывается с неизвестными веб-ресурсами), то он признаётся вредоносным и удаляется. В противном случае, файл направляется адресату. Поддержка «песочниц» (собственных устройств Blue Coat и сторонних решений, например, FireEye) – чрезвычайно мощный инструмент, специально предназначенный для нейтрализации комплексных APT.
APT-угрозу, уже укоренившуюся в системе, практически невозможно обнаружить – иногда активное заражение длится годами, а обнаруживается по чистой случайности. Всё это время вредоносная программа крадёт информацию, искажает данные, или вредит системе иными способами. Blue Coat Security Analytics Platform – это платформа, предназначенная для мониторинга и анализа событий, происходящих в корпоративной сети. Интеллектуальные алгоритмы позволяют своевременно выявлять подозрительные события и угрозы файлам и приложениям, даже если традиционные меры безопасности не смогли засечь эти угрозы. А благодаря ретроспективному анализу сетевого трафика, специалисты по ИТ-безопасности смогут быстро обнаружить источники и пути проникновения «продвинутых» угроз в сеть.Платформа, являющаяся ещё одним надёжным барьером на пути APT, может быть развёрнута как в виде отдельного устройства, так и как виртуальное устройство, или же как программное обеспечение на оборудовании клиента.

 

Разумеется, CAS – сама по себе или в сочетании с другими устройствами из линейки Blue Coat appliances – не является панацеей: она не обеспечит защиту, если пользователь не будет соблюдать остальные меры безопасности, изложенные выше. Информационная безопасность – это длительный, сложный процесс; это вдвойне верно, когда дело касается APT. Только постоянная бдительность способна обеспечить стабильную, бесперебойную работу.

 

Решения Blue Coat продаются в России через сеть официальных дистрибьюторов. Например, одним из крупнейших среди них является компания Web Control, работающая на этом рынке с 2008 года. Наряду с поставкой решений и оборудования заказчикам, Web Control также осуществляет всестороннюю поддержку партнеров (прямая поддержка продаж, техническая поддержка и тренинги, демооборудование, выгодные коммерческие условия).

 

Выводы

Сегодня деятельность киберпреступников представляет гораздо бóльшую опасность для добросовестных пользователей, чем когда-либо ранее с момента изобретения компьютера. APT являются своего рода вершиной развития компьютерных угроз – и нет сомнения, что, в полном соответствии с законами эволюции, эти угрозы с каждым годом будут становиться всё более изощрёнными.

Очевидно, что для обеспечения безопасной работы и ведения бизнеса любая компания или организация должна выполнить целый комплекс действий, включающих в себя как организационные и регламентные меры, так и внедрение программных и аппаратных решений для противостояния атакам. За менеджером по информационной безопасности (CISO) должно оставаться последнее слово в отношении принимаемых политик и развёртываемых решений, а гендиректор и совет директоров должны понимать, что экономить на защите данных и систем компании сегодня просто недопустимо.

Хотя в данной статье перечислены далеко не все меры в распоряжении специалиста по информационной безопасности, соблюдение этих простых правил поможет значительно снизить риск успешных APT-атак. При этом не стоит забывать о наших обычных советах – следить за новостям в мире ИТ-безопасности, регулярно посещать ресурсы, посвящённые защите данных (этот сайт, Threatpost.com, Securelist.ru, и т.д.), участвовать в семинарах и конференциях по информационной безопасности, делиться опытом с коллегами.

 

Авторы:
Алексей Затопский
Иван Якубович

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru