Комплексный подход: тенденции российского рынка Anti-APT

Целевые атаки становятся обыденностью: по данным исследования TAdviser и Microsoft, в 2019 году с этим типом угроз столкнулись 39 % компаний из сегмента малого и среднего бизнеса — не говоря уже о крупных компаниях, которые всегда интересны злоумышленникам. О защите от таких атак с помощью решений Anti-APT говорили на круглом столе «ANTI-APT ONLINE», который организовала компания «Инфосистемы Джет».

1. Введение
2. Ключевые моменты беседы экспертов о тенденциях российского рынка Anti-APT
1. 2.1. Об изменившемся за последние три года подходе к борьбе с таргетированными атаками
2. 2.2. Об интеграции продуктов разных вендоров и возможности симбиоза в рамках конкуренции
3. 2.3. Об особенностях российского рынка Anti-APT
4. 2.4. О защите электронной почты
5. 2.5. О работе Anti-APT в режиме удалённой работы
6. 2.6. Об Anti-APT без использования обманных технологий (deception)
7. 2.7. О прогнозах дальнейшего развития решений Anti-APT
3. Выводы

Введение

Представители ведущих отечественных вендоров поделились сценариями применения решений Anti-APT и дали прогнозы по дальнейшему развитию отрасли. На YouTube-канале «Инфосистемы Джет» можно посмотреть полное видео, а в этом материале — ознакомиться с основными моментами дискуссии.

Участники круглого стола:

• Евгений Бударин, руководитель направления Kaspersky Anti Targeted Аttack, «Лаборатория Касперского».
• Антон Чухнов, генеральный директор, «АВ Софт».
• Представитель Group-IB.

Модератор мероприятия — Александр Русецкий, руководитель направления по защите от направленных атак, центр информационной безопасности компании «Инфосистемы Джет».

Ключевые моменты беседы экспертов о тенденциях российского рынка Anti-APT

Как изменился подход к борьбе с таргетированными атаками за последние три года?

Евгений Бударин:

Расскажу с позиции не только руководителя продукта, но и практика, который долго изучал отечественный рынок. Когда мы вышли с комплексным продуктом для России, заказчики уже знали, что такое Anti-APT и как они хотят защищаться в той или иной ситуации. Но никто не рассматривал решение в том ключе, что оно поможет защитить весь периметр. У многих было представление, что можно защитить только почту, кто-то защищал только endpoint, и мы делали соответствующий продукт. Из 100 пилотов, которые мы провели в первый год, 80 % были избыточными. Мы были готовы защищать трафик, почту и всё остальное, но на деле закрывали одну конкретную задачу. Сейчас потребности изменились. Теперь все знают, что необходимо проверять почту, что веб-трафик является способом получения дополнительных данных, что бывают активности, которые не используют канал интернета и на сетевом трафике себя не выдают. Проекты стали комплексными, и теперь заказчик это понимает. Нас рассматривают не только как продавцов, но и как консультантов, которые укажут потенциально уязвимые точки, которые необходимо защитить.

Представитель Group-IB:

Соглашусь с коллегой, но я бы хотел рассказать, почему подход стал именно таким. Мы видим, что таргетированные атаки меняются: злоумышленники под каждую атаку готовят отдельные средства, инструменты, а порой даже инфраструктуру. И без комплексного подхода уже не обойтись, атаки стали сложнее. Злоумышленники используют огромное количество техник, и чтобы их точно отследить, нужно рассматривать всю матрицу атак. Да, основные способы доставки вредоносного ПО не изменились, но изменились подходы злоумышленников. Сейчас необходимо атрибутировать эти атаки и пытаться вычислять их.

Антон Чухнов:

Мы переходим от догоняющей тактики к опережающей: просчитываем, какие векторы новых атак появляются и будут появляться в ближайшее время. Если три года назад это были шифровальщики типа WannaCry, то сейчас атаки идут на IoT, индустриальный интернет вещей, разные типы ОС. В нашей стране — тренд на импортозамещение. Многие продукты вышли из open source-решений, соответственно, в ближайшее время их будут атаковать и нужно уже сейчас готовить средства по их защите. Плюс интеграционный подход эффективнее с точки зрения комплексной защиты, поскольку каждый вендор силён в какой-то определённой части: кто-то — в «песочнице», кто-то — в сетевой части, кто-то — в endpoint-решениях.

Как интегрировать продукты разных вендоров? Возможен ли симбиоз в рамках конкуренции?

Представитель Group-IB:

Конечно, возможен. Мы прорабатываем с технологическими партнёрами, в том числе и с нашими прямыми конкурентами, совместные работы по некоторым продуктам. Я согласен с коллегами, что эшелонированная защита всегда даёт «профит». Неважно, российский это вендор или зарубежный. Сейчас рынок АРТ — достаточно зрелый с точки зрения стандартных форматов выводов, интеграция — классная, она хорошо работает и она, конечно же, нужна.

Какие особенности российского рынка Anti-APT вы могли бы выделить?

Евгений Бударин:

Я бы выделил то, что на российском рынке необходимо автоматизировать многие процессы, в том числе — процессы эксплуатации решений Anti-APT. В этот комплекс, о котором коллеги говорили ранее, я бы включил ещё людей, тех специалистов, которые этим комплексом управляют. Иначе комплекс будет работать вхолостую, особенно в тех компаниях, где штат ИБ либо только развивается, либо совмещён с ИТ. Вторая особенность — компаниям, развитым в части ИБ, нужны соответствующие специалисты. Anti-APT находит что-то подозрительное, но именно человек должен решить, что это такое и что с этим делать. Это могут быть как аутсорс-компании, так и какие-то сервисы, уведомляющие об угрозах.

Представитель Group-IB:

Автоматизация — это классно, но SOAR-решения в России медленно идут, потому что единых и универсальных плейбуков не существует. APT — это сложный тип атаки, который нельзя блокировать, его нужно расследовать. Это будут либо внешние расследования, либо внутренняя команда, но в любом случае это — процесс, который необходимо строить постепенно. И одна из особенностей нашего рынка — заказчики хотят «сделайте мне всё и сразу». Не развивая эту компетенцию внутри, не пользуясь сервисами снаружи, потому что они не могут отдавать данные, но хотят «большую красную кнопку». Вот только в случае с APT она не строится.

Антон Чухнов:

Всё-таки есть ряд заказчиков, которые заказывают обучение и хотят, чтобы их сотрудники умели работать. Я бы отметил особенности ИТ-сферы. Например, заказчики ищут защиту для отечественных продуктов, исходя из того, насколько решение хорошо отработает при атаке на Astra Linux.

Представитель Group-IB:

Очень важно, что российские заказчики часто хотят устранить ошибку сейчас, чтобы уже завтра она была поправлена и всё заработало. В России, общаясь с нами, они получают такую возможность. В случае с зарубежными вендорами такое невозможно, там много уровней согласования в том числе, потому что для них наш рынок — не самый большой. Мы ментально привыкли обращать внимание на наших клиентов и идти им навстречу.

Защита почты: антиспама давно недостаточно. Согласны?

Евгений Бударин:

Конечно, недостаточно. Если мы говорим о целевых атаках, то антиспам никогда их не остановит, потому что антиспам-фильтр наполняется на основе уже известных спам-писем, туда попадают артефакты и признаки, характерные для писем от ботов. В случае целевых атак сообщение готовится человеком вручную, и оно выглядит максимально правдоподобно — такое письмо антиспам неспособен опознать. Поэтому песочница на почте должна быть. В таком случае придётся подождать пять минут, пока письмо эмулируется, но пользователь будет максимально защищён.

Антон Чухнов:

Помимо проверки вложений в почте важно проверять ссылки. Система, которая занимается безопасностью, должна учитывать все эти нюансы. Необходима интеграция с антифишинговыми системами. В отличие от антиспама (как правило, это — стандартные рассылки) здесь используют другие технологии и собирают другую информацию.

Представитель Group-IB:

Я рекомендую зрелым заказчикам иметь на проверке почты эшелон из двух решений. Конечно, каждое из них должно доказать свою эффективность. Ещё из особенностей: сейчас злоумышленники применяют социальные методы таким образом, чтобы песочница в принципе их не замечала. Например, ссылки, которые начинают действовать через два дня, когда песочница уже пропустила файл. Когда мы сталкиваемся с новыми методами, тут же добавляем их в решение. Важно следить за трендами злоумышленников, смотреть, как они подходят к атакам.

Антон Чухнов:

Не соглашусь по поводу зрелости заказчиков. Если три года назад нужно было объяснять, зачем нужна песочница, то сейчас в этом нет нужды. Заказчики уже знают, что такое песочница, зачем она нужна, и теперь мы объясняем другие вещи.

Этой весной многие перешли на «удалёнку», но забыли о безопасности. Что делать с Anti-APT в режиме удалённой работы?

Представитель Group-IB:

Очень злободневный вопрос, потому что весенний переход на «удалёнку» проходил безумно быстро, и теперь мы сталкиваемся с огромным количеством атак. Причём атакуют не только enterprise-бизнес, но и средний, и даже малый. Второй момент: люди дома не так переживают за информационную безопасность, как в офисе, домашняя атмосфера расслабляет в этом смысле. И третье — подразумевается, что домашний компьютер всегда заражён. Поэтому в случае с удалённой работой подход Anti-APT граничит с интеграционным консалтингом: правильно настроенные права доступа, правильно настроенная «двухфакторка». Тут не будет единого решения, которое защитит заказчика. Необходимо повышать осведомлённость сотрудников и быстро внедрять лучшие практики рынка. Например, заводить весь трафик через компанию, чтобы осматривать заражённые устройства, по возможности устанавливать host-based EDR на домашние компьютеры и смотреть входящий / исходящий почтовый трафик. Никто не отменял атаки на партнёров и клиентов через заражённый компьютер.

Есть мнение, что сейчас Anti-APT невозможно без использования обманных технологий (deception), в первую очередь — для раннего выявления атак. Что вы думаете по этому поводу?

Антон Чухнов:

Мы работаем над технологией deception, и, на мой взгляд, она отлично дополняет песочницу, в рамках которой можно развернуть большое количество ловушек. C точки зрения развития атаки deception может показать, когда она началась, может перехватить её на первых этапах. Песочница, как правило, работает с трафиком, с файлами хранилища, с файлами конечных точек, а deception работает с точки зрения сканирования сети, фиксирует попытки проникновения. При интеграции с песочницей можно тот же файл закидывать на ханипот и сразу проверить его в песочнице, чтобы увидеть развитие атаки. Тут важен момент, что ханипоты имитируют не только серверы, они могут имитировать IoT-устройства: камеры, коммутаторы, сетевые принтеры. В этом случае именно ханипоты могут показать атаку. То есть deception помогает распознать тонкие атаки, нацеленные на интернет вещей.

Ваш прогноз дальнейшего развития решений Anti-APT?

Представитель Group-IB:

Все наши прогнозы и планы прошлого года поменялись: злоумышленникам стало проще атаковать тех, кто настроил себе «удалёнку», из-за увольнений появилось больше инсайдеров. При этом мы с коллегами не можем развивать взаимное сотрудничество, как раньше, а для преступников ничего не поменялось. По окончании этого периода мы должны будем наращивать обороты, чтобы в итоге вернуться на тот уровень работы над киберпреступностью, который был в прошлом году. Мы идём в сторону глобализации, даём клиентам и экспертам пользоваться нашими технологиями, чтобы участвовать в глобальной войне с киберпреступностью и создавать сообщество, которое делится друг с другом информацией. Я думаю, весь рынок кибербезопасности будет идти в сторону глобализации.

Антон Чухнов:

Я думаю, решения Anti-APT будут качественно расти и будет создаваться экосистема продуктов безопасности. Вскоре рынок, не только российский, но и международный, будет насыщен хорошими продуктами, и цены станут приемлемыми для заказчиков, причём не только для крупного бизнеса, но и для среднего и малого.

Евгений Бударин:

Я не думаю, что продукт станет дешевле. Скорее для каждого заказчика будет своё нишевое предложение, которое его устроит. По нашим наблюдениям, заказчик всегда хочет помощи — обучить сотрудников, взять на мониторинг, сделать «автодетект» и «автопревент». Поэтому нужно максимально покрыть его инфраструктуру и давать только те решения, которые ему необходимы.

Выводы

Обсуждая российский рынок решений Anti-APT, эксперты изложили свои взгляды на актуальные тенденции развития таких продуктов в целом, оценили особенности отечественных вендоров и заказчиков, обсудили существующие и перспективные технологии и инструменты киберпреступной активности.

Вслед за этой интересной и продуктивной дискуссией компания «Инфосистемы Джет» организует ток-шоу «ANTI-APT ONLINE 2.0». Мероприятие пройдёт в формате онлайн-трансляции 7 октября в 16:00. В нём будут участвовать эксперты четырёх зарубежных вендоров, которые обсудят «острые» вопросы:

• Электронная почта: сито или решето?
• Анализ веба онлайн. Профанация или это действительно работает?
• ANTI-APT и файловые хранилища, а это действительно нужно?
• У меня уже есть антивирус, зачем мне ещё и EDR?

На эти вопросы (и не только) вы узнаете ответы. У каждого участника онлайн-мероприятия будет возможность высказаться, поспорить и рассказать, где он обходит конкурентов.

Записывайтесь на мероприятие и готовьте порцию своих «острых» вопросов для участников.