«Не пытайтесь накрыть все. Определите, что Вы хотите защищать»

Если в компании создать корректное сегментирование, изолирование объектов защиты, корректный мониторинг, благодаря всему этому можно выявлять аномалии, нетрадиционное поведение объектов защиты и новые виды атак. Anti-APT-решения позволяют автоматизировать все эти трудозатраты..

– Мне кажется, на текущий момент у рынка и заказчиков появилось системное понимание необходимости продуктов Anti-APT. Проблема противодействия APT-атакам не новая, но в последние годы она приобрела массовый характер.

Свою роль в подготовке рынка сыграли, конечно, и аналитические агентства, которые обозначили актуальность данных решений. Например, Gartner, NSS Labs и Forrester уже представили соответствующую аналитику, включающую список ведущих вендоров, и рынок активно ее использует.

– Это достаточно сложный вопрос, поскольку выбор решения индивидуален для каждой организации. Если говорить о моей практике, мы использовали гибридный подход: мы смотрели, что есть в мире, и ориентировались на это, потом выясняли, представлены ли эти решения в России, если «нет», можно ли привести их для тестирования. На сегодняшний день в мире насчитывается несколько десятков решений, которые относятся к классу Anti-APT. Я считаю, что, как минимум, необходимо рассматривать группы решений: например, решения, направленные на анализ сетевого и почтового трафика, решения по агентскому анализу на рабочих станциях и серверах, «песочницы». Такой подход был выработан не случайно, моя практика тестирования показала, что одно решение не способно дать 100-процентную защиту. Именно поэтому я придерживаюсь комплексного гибридного подхода в защите, в том числе в рамках защиты от APT.

В этом смысле наше тестирование было очень показательным: мы параллельно тестировали две «песочницы», и было видно, как один продукт находил что-то одно, что не находил другой, и наоборот. Я считаю, что именно в рамках Anti-APT имеет смысл использовать не менее двух продуктов, в том числе на разных каналах, от разных вендоров.

– Как говорится, аппетит приходит во время еды. В рамках тестирования заказчик начинает лучше разбираться в системах, понимает, как их можно использовать эффективнее. Соответственно, меняется подход к тестированию. Проблемы с тестированием встречаются при интеграции любого продукта в текущую инфраструктуру заказчика. Поскольку у всех разные инфраструктуры, будут созданы различные условия для эксплуатации любого средства защиты.

Лично для меня критерий успешного тестирования – это выявление реальной атаки на живом трафике. Такой результат наглядно демонстрирует эффективность выбранной вами системы. Если же мы говорим об имитации заражения, когда заведомо отправляется вирус, а система его успешно находит, на мой взгляд, это не так показательно. В этом случае для получения успешного результата все было подготовлено заранее.

Выявить реальную атаку гораздо более ценно. По своему опыту могу сказать, что в течение месяца при проведении тестирования на живом трафике можно выявить несколько реальных атак. Если тестирование Anti-APT-решения в организации проходит впервые, после начала тестирования до выявления первых инцидентом может пройти меньше часа.

– Решения, где предусмотрена возможность блокировки, зачастую используют модули тех же компаний-производителей. Но моновендорный подход имеет свои ограничения: если у нас нет средств защиты того же вендора, мы не сможем автоматически и защищаться, и предотвращать.

В этом плане решения, которые позволяют проводить мониторинг и оповещение, являются более гибкими для дальнейшей настройки и тюнинга. Например, в большинстве организаций есть SIEM-системы. Если настроить связку с ними, это позволит автоматически блокировать и реагировать выявленные инциденты. В этом плане такие решения ничем не уступают Anti-APT с автоматической блокировкой «из коробки».

Если мы говорим о почтовом трафике, режим блокировки будет актуален, при анализе web-трафика можно рассматривать режим анализа его копии. С режимом блокировки нужно быть осторожным, так как каждая новая система будет являться новой точкой отказа, и она может привести к недоступности сервисом организации. Не все готовы на это пойти.

– В большинстве случаев решения Anti-APT не обладают средствами инспекции зашифрованного трафика, поэтому это потребует дополнительных средств защиты. Кроме того, возникает юридический аспект: как организация относится к тому, что все действия пользователей полностью просматриваются.

Конечно, инспекция SSL-трафика повышает эффективность Anti-APT-решения. Я думаю, в этом случае можно внедрять систему Anti-APT поэтапно: сначала не раскрывая SSL-трафик, используя данные «отправитель-получатель», а в дальнейшем перейти к анализу контента.

Также проблему с инспекцией SSL можно решить продуктами или модулями продуктов, которые устанавливаются непосредственно на хосты и на рабочие станции. К сожалению, внимание вендоров к этому подвиду решений не очень высоко, хотя на моей практике оно показывало очень высокую эффективность.

– Мой совет: не нужно строить решение сразу на всю организацию. Для начала выявите самые уязвимые места и закройте их. Не пытайтесь накрыть все.

На данный момент самым распространенным способом проникновения является почта, поэтому лучше начать именно с нее. Анализ web-трафика может стать следующим этапом. При этом, возможно, вы примите решение защищать конкретные выделенные сегменты организации, а не всю инфраструктуру. Перед тем как приступить к проекту по построению защиты в организации, нужно задать себе вопрос: что организация хочет защищать? Как правило, APT-атаки направлены на основной бизнес-процесс организации, так как их основная цель – монетизация. Для банков – это управление денежными потоками, для брокерской организации – управление брокерской деятельностью, для ритейла – управление кассовым оборудованием, складскими остатками и т.д. Зная свой бизнес-процесс, что и как у тебя могут украсть, ты понимаешь, как следует выстроить защиту.

Я считаю, что частично это задача компаний-интеграторов: прийти ко мне не просто с набором решений, а с некоторым готовым предложением. Я хотел бы понимать, зачем мне внедрять эти решения и какую пользу организация, которую я в данный момент представляю, может от этого получить. От интегратора я ожидаю некоторой консалтинговой составляющей в этом вопросе, тогда процесс тестирования и последующего внедрения пойдет более осознанно и эффективно.

Наше тестирование показало, что вредоносное программное обеспечение пытается выявить «песочницу», – а сделать это можно по некоторым признакам. Если вредонос понимает, что это не рабочая станция, он сворачивает свою активность. Поэтому я возвращаюсь к мысли, которую высказал ранее, защита от угроз нулевого дня должна быть гибридной, дабы нивелировать этот минус «песочниц».

– Точки съема информации для определения зловредной активности уже все определены и давно используются. Будущее решений этого класса мне видится в развитии интеллектуального способа определения, зловредная эта активность или нет. Я думаю, мы уйдем от неких шаблонов и правил к более интеллектуальному поведению, машинному обучению и т.д. – это тренд сегодняшнего дня для всех решений ИТ и ИБ.