Advanced Persistent Threat скоро перейдут из понятия «Advanced» в понятие «Basic»…

– Как практик я не могу согласиться с утверждением, что эта тема – маркетинговый ход. Дело в том, что многие организации до сих пор смотрят на проблему информационной безопасности с точки зрения классических бастионов защиты: антивирусы, firewall, DLP-системы. Начиная с 2012 года массовые атаки набирают популярность, но только сейчас у специалистов по информационной безопасности появилось понимание, что классическими средствами защиты нельзя отразить так называемые Advanced Persistent Threat (APT), для этого и существуют решения Anti-APT.

Нужно понимать, что APT-атаки всегда преследуют определенную цель. Злоумышленников интересует монетизация, будь то кража финансовых или персональных данных, нанесение вреда инфраструктуре или мошеннические схемы, связанные с вымоганием денег. Я могу выделить две основные технологии атак: они либо широковещательные, либо направленные. Если говорить о процентном соотношении, примерно 95% на данный момент составляют широковещательные атаки и 5% – это уникальные атаки, которые готовятся под конкретную организацию. Бороться с такими атаками крайне сложно, потому что они используют определенные технологии сокрытия. Единственным действенным способом борьбы с ними на сегодняшний момент будут решения Anti-APT.

– Я согласен с этим мнением, более того, о зрелости таких решений говорит тот факт, что они занесены уже в некоторые международные стандарты и методологии по информационной безопасности, например, CIS-20 (Controls for Effective Cyber Defense) или NIST Cybersecurity Framework, откуда Россия берет лучшие практики. Инициировать подобные проекты нужно, поскольку во всем мире они входят в понятие стандарта, надеюсь, мы тоже скоро к этому придем. Я считаю, что, учитывая масштабы киберпреступлений, Advanced Persistent Threat скоро перейдут из понятия «Advance» в понятие «Basic».

– В первую очередь необходимо определиться, какой вектор атаки мы будем закрывать. Если это понимание есть, можно приступать к выбору технологий и решений. Даже если речь идет о высококритичном векторе, о проблеме, которая требует срочного решения, необходимо взять паузу для ее изучения. У меня есть золотое правило: всегда изучать аналитику, которую выпускают международные и российские компании. В качестве примеров можно привести Group IB, Лаборатория Касперского, Mandiant (Fire Eye).

Я также рекомендую использовать сервисы киберразведки, предлагаемые несколькими уважаемыми организациями, которые помогут проактивно подготовить защиту потенциальной жертве. Абсолютно точно нельзя обойтись без референс-визитов. Мое глубокое убеждение – без них никак и никуда. Какой именно опыт вы будете изучать: наш или международный, – тут решение, конечно, за вами. Бывают такие ситуации, когда какое-то решение только заходит на отечественный рынок и кейсов в России у него просто нет, хотя в мире оно успешно эксплуатируется. Конечно, это может стать блокирующим фактором для крупных российских компаний, ведь не каждый готов быть первым, на ком ту или иную технологию или решение будут обкатывать.

Желательно, чтобы референс-визитов было не меньше двух, – это даст вам возможность получить два независимых мнения. Конечно, к этому моменту у вас должны быть сформированы требования к продукту. Также важно понимать, если внедрение было неудачным, мало тех, кто готов честно сказать: «Мы потратили деньги зря». Для этого и нужен второй референс, чтобы собрать как можно больше информации и принять взвешенное решение.

Следующий шаг – составление сравнительной таблицы, где будут указаны функционал решения, вендор, стоимость, плюсы, минусы и roadmap. Это позволит ответить на вопросы: как, когда и какими усилиями мы будем внедрять то или иное решение. Все перечисленное выше – это стандартные шаги, самое главное – на первом этапе понять, какую проблему необходимо решить. Это действительно важно, ведь названий технологий много, но, по сути, они практически все об одном и том же.

– Защита должна быть эшелонированной. Одного контроля никогда недостаточно: необходимы и градусник, и лекарство. Многие компании используют следующий подход при внедрении: выбранное решение продолжительное время работает в режиме детектирования, чтобы отсечь ложные срабатывания и посмотреть на его производительность. Если в течение этого времени решение хорошо себя зарекомендовало, его переводят в режим блокировки. Учитывая масштабы угроз, считаю, если решение Anti-APT может работать в режиме предотвращения, нужно его ставить «в разрыв», параллельно имея другое решение, работающее в режиме детектирования.

Нельзя держать все яйца в одной корзине. У каждого решения есть ограничения, прежде всего это обусловлено тем, что каждый вендор привязан к какой-то стране-производителю и готовит свое решение под определенные угрозы, актуальные именно для этого региона. Приведу простой пример – Web Proxy, у которого есть категоризация. Если мы возьмем решение, произведенное в США, и внедрим его в российской компании, скорее всего, больше половины сайтов с российскими URL будут попадать в разряд некатегоризируемых. А что такое некатегоризируемые сайты? Система не знает, как на них реагировать. Именно поэтому я за мультивендорный подход. На мой взгляд, оптимальный подход – использовать в связке решение и российское и западное, вот, что я также понимаю под эшелонированной защитой.

Но если вы ставите решение в «разрыв», придерживайтесь, пожалуйста, правила: не делать ни для кого исключений, – иначе защита теряет всякий смысл. В качестве примера хочу рассказать о случае, который произошел в одном крупном российском банке. Они поставили Anti-APT-решение, которое работало в режиме блокировки. В какой-то момент произошла небольшая задержка доставки почты из-за анализа содержимого письма. Специалистам в отдел безопасности позвонил менеджер (получатель данного письма) с требованием быстрее пропустить ему письмо, так как на другой линии был представитель связанной с банком организации, который просил незамедлительно ответить. Как выяснилось позднее, это был злоумышленник, который умело воспользовался техниками социальной инженерии. В итоге административный ресурс взял свое, служба ИБ письмо пропустила. Как только менеджер получил это письмо, его компьютер был заражен, а жесткий диск зашифрован. Я считаю, что этот пример очень показательный: если система отловила, будь добр дождаться результата, – не нужно суетиться.

– Инспектировать SSL-трафик, конечно, нужно. Для этого есть определенные технологии. Почти все решения класса Enterprise предлагают SSL-модули. На мой взгляд, делать это лучше на уровне сети, об этом говорит и статистика по векторам угроз. Соотношение будет примерно следующим: 90% – это почта, 5% – web и 5% – хост. Конечно, хостовую составляющую нельзя оставлять без внимания, там тоже необходимо решение, которое будет инспектировать активность, происходящую на хосте, но это пока не первостепенная задача.

– Конечно, нет ничего совершенного. Но 90 из 100 широковещательных вредоносов Anti-APT-решение поймает. В любом случае защищаться от целенаправленных атак необходимо, и решения этого класса можно считать прекрасным подспорьем.

Почти все новые Anti-APT-решения основаны на «песочницах», в которых эмулируется среда, максимально приближенная к той, в которой работают сотрудники компании. Все это обычно развернуто на виртуальных машинах, поэтому, если вредоносная программа понимает, что находится на виртуальной машине, а понять это можно исходя из конфигурации, она уходит в спящий режим, и ее активность прекращается. Если каждую рабочую станцию в организации «объявить» виртуальной, любой вредонос, попадающий на нее, не сможет выполнять заложенную в него программу. Мне эта мысль кажется перспективной.

– Я могу отметить два тренда по векторам угроз, основываясь на российских и международных исследовательских данных. Первый – это вредоносное ПО, позволяющее хакерам заниматься последующим вымогательством. Эти технологии дешевы и просты в использовании, а главное, они очень просто монетизируются. В основном эти атаки, конечно, направлены на небольшие компании, так как крупные зачастую лучше защищены, да и просто могут не пойти на сделки с хакерами. Второй – это POS-терминалы. Тут и производители, которые выпускают оборудование с уже включенной функцией сбора и отправки данных, особенно этим славится Китай, и заражение POS-терминалов для последующего сбора и монетизации полученных данных: номера карты и пин-кодов.

Если говорить о дальнейшем развитии технологии Anti-APT, я думаю, что решения будут дешеветь, так как рынок становится все более конкурентным. У всех крупных вендоров в ближайшем будущем появятся модули, докупая которые можно будет закрывать разные векторы угроз.