«Не думайте, что хакеры живут на других планетах…»

– Прежде всего, мы искали вендора, у которого за плечами была бы большая экспертиза в решениях подобного класса. Таких игроков всего несколько, и все они есть в Gartner Magic Quadrant. Также на этапе выбора мы очень плотно общались с двумя российскими специализированными компаниями, которые занимаются антивирусными расследованиями и борьбой с хакерами. В итоге мы пришли к пониманию, что, как это часто и бывает, идеального единого решения не существует, лучше использовать многоступенчаую защиту. Приведу в пример эшелонированную антивирусную защиту: на рабочих станциях стоят одни антивирусы, на серверах другие, а в инфраструктуре – третьи. Мы решили построить Anti-APT защиту по тому же принципу. Ядром системы является продукт одного вендора, вспомогательная же функциональность реализована решениями других производителей. Конечно, перед тем как купить и внедрять весь комплекс решений, мы его тщательно протестировали.

– При планировании тестирования мы отталкивались от требования: главное, не остановить бизнес-процесс! У нас, как и у врачей, работает принцип «Не навреди». Поэтому мы пилотировали системы так, чтобы они работали с копией трафика. По результатам тестирования Anti-APT, мы сравнили его поведение с уже существующими в банке решениями, чтобы понять, было ли найдено что-то новое. Тестирование проходило как на известных типах угроз, так и на живом трафике.

– Этот перечень появлялся постепенно и для каждого решения он был свой, но, конечно, существует и список общих критериев, на которые стоит обратить внимание прежде всего. Во-первых, это качество обнаружения и количество ложных срабатываний. Находит ли решение известные угрозы и угрозы «нулевого дня». Далее этот список дополнялся нашими специфическими критериями, сформированными на основе личной практики. Конечно, мы проверяли методы, которые используют злоумышленники, и смотрели, определяет ли их Anti-APT решение.

– Очевидно, что длительность тестирования не может быть единой для разных решений, иногда оно может занимать месяц, иногда три, а иногда и полгода. Например, мы, чтобы проверить на сколько эффективно работает выбранное решение, проводили внешние тесты на проникновение. Опираясь на наши знания, мы старались ответить себе на вопрос: какие еще злонамеренные действия могут быть? Чем больше таких вопросов во время тестирования вы будете себе задавать, тем лучше. Важно отметить, что в процессе тестирования критерии постоянно обновляются – это достаточно динамичный процесс. В нашем случае тестирование выявило нюансы, о которых мы изначально не думали.

– Инциденты, на которые реагирует служба безопасности, происходят ежедневно. Инциденты, которые мы относим непосредственно к таргетированным атакам происходят несколько раз в неделю. Мы их фиксируем и смотрим, заблокировалась ли данная атака.

– Если говорить о комплексном подходе к защите, то режим блокировки в реальном времени на периметре сети при корректно построенной системе не всегда необходим. Компоненты системы Anti-APT, функционирующие на других уровнях, могут заблокировать вредоносное ПО и его активность уже внутри сети. Например, пользователь скачивает в браузере зловредный файл, а система определяет, что файл заражен, в таком случае рабочая станция этого пользователя может быть изолирована от сети или заблокирована с помощью компонентов Anti-APT, работающих на уровне конечных станций пользователей. В ряде случаев можно даже заблокировать попытку запуска этого файла. Даже если пользователь успеет открыть файл, вредоносная активность и попытки распространения все равно будут заблокированы на уровне сети, так как система уже знает об этом зараженном файле и может предугадать его дальнейшее поведение.

Если вы планируете активно использовать режим блокировки, то, прежде всего, стоит обратить внимание на производительность выбранного вами решения и на количество ложных срабатываний. Я бы не рекомендовал сразу ставить решение Anti-APT «в разрыв», сначала посмотрите на него в работе. После того, как убедитесь в его надежности, можно переводить его в режим блокировки, но помните, что эта ваша ответственность. В этом вопросе нужно найти тонкий баланс между бизнесом и безопасностью. Это не всегда просто: если вы где-то перекрутите, то пользователи будут недовольны, а ослабите – и эффективность решения сойдет на нет.

SSL действительно существует и по мере роста объемов https трафика приобретает все более острый характер. Проанализировав возможные решения, мы пришли к компромиссному варианту – мы осуществляем расшифровку и инспекцию SSL только в тех местах сети, где это возможно без изменения ИТ-инфраструктуры и без создания новых потенциальных точек отказа.

На мой взгляд, такой подход позволяет получить довольно хороший уровень обнаружения атак, так как мы используем эшелонированный подход в противодействии таргетированным атакам, применяя продукты различных производителей на различных уровнях ИТ-инфраструктуры.

– В нашем случае внедрение на штат не повлияло. Мы – компания, которая стремится к автоматизации и максимальному исключению человеческого фактора при работе с высокоинтеллектуальными системами. Вы можете поставить SIEM-систему и завернуть на нее данные с Anti-APT, это сократит количество людей, которые будут мониторить Anti-APT и реагировать на выявленные инциденты. Мы за автоматизацию и высокие технологии.

– Я, прежде всего, хочу сказать, что давно нужно перестать думать, что хакеры – живут на других планетах. Хакеры есть, и они воруют деньги. Дальше нужно осознать проблему и подумать над тем, как с ней бороться. Я всех призываю внедрять у себя системы класса Anti-APT. К сожалению, в данном случае, не будет какого-то одного универсального средства или совета. Есть лидеры рынка, есть специализированные решения, попробуйте их совместить. Защита от одного вендора не даст вам 100% защиты. Верьте в эшелонированность, это поможет.

– К сожалению, тренд сейчас такой, что плохие ребята, что-то делают, а хорошие постфактум реагируют, при этом плохие ребята постоянно меняют объект и методы атаки. Мне трудно делать прогнозы о дальнейшей судьбе решений этого класса. У крупных вендоров есть целые отделы аналитики, которые понимают тренды рынка и могут делать такие прогнозы. Как мне представляется, дальнейшее развитие данных решений может лежать в области появления комплексных систем, которые будут не только позволять проводить анализ на техническом уровне и блокировать по сигнатурам или по поведению, но и работать на более высоком интеллектуальном и аналитическом уровнях.