Пути нейтрализации угроз класса APT. Часть 2

Четыре важнейшие защитные меры, позволяющие нейтрализовать 85% угроз

В первой части этой серии публикаций мы констатировали важность мер по нейтрализации APT-угроз, а также обозначили некоторые теоретические основы и подходы к успешной борьбе с ними. В первую очередь мы осветили список из 35 важнейших мер по противодействию APT-угрозам, подготовленный Управлением радиотехнической обороны Австралии (Australian Signals Directorate, ASD). Вторая часть посвящена четырем важнейшим мерам по защите от APT-угроз, позволяющим нейтрализовать не менее 85% всех целевых атак.

В первой части «Лаборатория Касперского» проанализировала подготовленную ASD «Стратегию нейтрализации APT-угроз», состоящую из 35 пунктов, и выделила четыре основных составляющих любого эффективного комплекса мер по защите от APT-угроз:

Меры Краткое описание
Административные Обучение, физическая безопасность
Сетевая инфраструктура Эти меры проще всего реализовать на уровне сетевого оборудования
Системное администрирование Всё необходимое для реализации содержится в ОС
Специализированные защитные решения Используется специализированное защитное ПО

Следует принимать во внимание все четыре группы мер1. Эксперты «Лаборатории Касперского» показали, что киберпреступники используют самые разнообразные методы, чтобы получить доступ к критически важным бизнес-данным. В ответ компаниям следует поступать так же: принимать все возможные меры — от обучения сотрудников до применения сложнейших эвристических алгоритмов и облачных технологий. Это единственный способ надежно защитить себя от современных APT-угроз.

«Лаборатория Касперского» не просто обеспечивает защиту отдельных компонентов IT-инфраструктуры от APT-угроз. Будучи технологической компанией, мы установили соответствие между перечисленными выше мерами нашим собственным видением высокоэффективной многоуровневой стратегии защиты, которое, как нам представляется, хорошо сочетается с подходом ASD. Эффективная защита должна быть многоуровневой; в ее основе должна лежать передовая защита от вредоносного ПО, дополненная механизмами нейтрализации APT-угроз.

В дополнение к перечисленным выше четырем составляющим стратегии полезно учитывать и классификацию угроз. Исходя из статистических данных, собранных в течение длительного времени, «Лаборатория Касперского» оценила, что около 67% предпринятых атак осуществляется с применением известных вредоносных программ, сигнатуры которых внесены в антивирусные базы. При запуске файла он проверяется по черным спискам, и при наличии совпадения его выполнение немедленно блокируется. «Лаборатория Касперского» применяет также технологии, позволяющие обнаруживать неизвестные вредоносные программы, на долю которых приходится ещё около 32% атак. Наконец, оставшийся 1% атак (критически важный!) — это наиболее сложные вредоносные программы, которые и являются основой APT-угроз. Защитные решения, применяемые в компании, должны обеспечивать защиту от всех трех перечисленных выше видов угроз.

Для обеспечения надёжной защиты необходимо реализовать весь комплекс мер по защите от APT-угроз (TOP-35), указанных в данном списке

Решения «Лаборатории Касперского» реализуют три из четырех важнейших защитных мер

Девятнадцать из тридцати пяти защитных мер, перечисленных в приведенной выше таблице, могут быть реализованы с помощью специализированных программных продуктов для обеспечения IT-безопасности. Решения «Лаборатории Касперского» реализуют большинство из них, в том числе предлагают эффективные технологии для реализации трех из четырех ключевых мер для защиты от APT-угроз: Контроль программ / Динамически белые списки и Мониторинг уязвимостей / Установка исправлений. Рассмотрим их подробнее:

Рейтинг ASD Стратегия борьбы с APT-угрозами Технологии «Лаборатории Касперского» Продукты «Лаборатории Касперского»
1 Белые списки Динамические белые списки Kaspersky Endpoint Security для бизнеса.

Kaspersky Security для виртуальных сред | лёгкий агент.

2 Исправление уязвимостей приложений Мониторинг уязвимостей и установка исправлений Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ и Kaspersky Total Security для бизнеса.
3 Исправление уязвимостей ОС

Крайне важно, чтобы у системных администраторов была возможность управления всеми функциями, обеспечивающими реализацию данных мер защиты, из единой удобной консоли. Для продуктов «Лаборатории Касперского» в качестве такой единой консоли мы предлагаем Kaspersky Security Center (KSC).

Белые списки приложений в Kaspersky Endpoint Security для бизнеса и Kaspersky Security для виртуальных сред.

Белые списки приложений — это наиболее эффективная мера по борьбе с APT-угрозами, которую может взять на вооружение организация. Данная технология формирует мощный уровень защиты от исполняемых файлов, применяемых в ходе APT-атак, в том числе файлов, неизвестных на момент атаки. Последние 5 лет интерес к контролю программ на стационарных компьютерах и серверах стабильно растёт.

В решении «Лаборатории Касперского» реализована технология динамических белых списков. Согласно Gartner2, лучшие реализации технологий контроля программ включают поддерживаемые производителями белые списки безопасного ПО, автоматически отслеживающие официально вносимые изменения и постоянно обновляющиеся из облачной базы данных, что делает их действительно динамическими. Контроль программ с динамическими белыми списками позволяет обеспечить защиту систем, давая администраторам полный контроль за приложениями, которые разрешено запускать на рабочих местах, вне зависимости от действий конечного пользователя. Кроме этого, администраторам дается возможность запрещать или разрешать выполнение тех или иных конкретных приложений. Наиболее безопасный сценарий — «Запрет по умолчанию» — предусматривает блокирование выполнения любого приложения, запуск которого не был разрешен в явном виде администратором. Это означает, что компоненты целевых атак, которые по сути являются приложениями, не смогут быть запущены, что сделает развитие атаки невозможным. В случае реализации этого сценария «Лаборатория Касперского» гарантирует, что все компоненты ОС, которые не подверглись изменениям, будут работать без перебоев.

Что касается реализации контроля программ и динамических белых списков, то Gartner рекомендует проводить инвентаризацию программ и создавать «золотые» образы системы. Инвентаризация позволяет системным администраторам получить полную картину того, какое ПО установлено на каждом устройстве в компании. Эта информация совершенно необходима: невозможно осуществлять мониторинг того, о наличии чего вы не знаете; лучшие планы реализации технологии белых списков начинаются с инвентаризации ПО. После ее завершения все записи о приложениях, установленных в корпоративной сети, хранятся в единой базе данных в удобном формате, упрощающем анализ.

«Золотой» образ — это заранее сформированный шаблон «эталонно» установленной системы, включающий в себя все критически важные для вашего бизнеса приложения в оптимальной конфигурации, с учетом тонкой настройки, обеспечивающей их оптимальную работу. По мнению Gartner, технология контроля программ является одной из наиболее полезных стандартных функций защиты, необходимых для обеспечения безопасности промышленных систем3. «Лаборатория Касперского» считает, что эти меры защиты критически важной инфраструктуры должны стать обязательными.

«Лаборатория Касперского» разработала собственные технологии контроля программ и белых списков, которые органично интегрированы с другими компонентами защиты в продукте Kaspersky Endpoint Security для бизнеса. Данная технология также входит в состав продуктов Kaspersky Security для виртуальных сред | Лёгкий агент и Kaspersky Security для мобильных устройств. Поддержка динамических белых списков на данный момент не реализована в мобильной версии Контроля программ, но для корпоративных мобильных устройств можно настроить сценарий «Запрет по умолчанию».

Сервис белых списков, разрабатываемый специализированным подразделением «Лаборатории Касперского», предоставляет постоянно обновляемые базы приложений, которые признаны легитимными, доверенными и безопасными. База данных в настоящее время включает данные о 14 млрд уникальных исполняемых файлов. В 2013 году независимая лаборатория AV-Test, занимающийся IT-безопасностью, провела расширенное тестирование, по результатам которого присвоила сервису белых списков «Лаборатории Касперского» сертификат Approved Whitelisting Service. Следует также упомянуть, что технологии Контроль программ, динамические белые списки и Запрет по умолчанию получили высшие баллы во всех независимых тестах, в которых участовали4.

Чтобы упростить процесс внедрения Контроля программ и технологии белых списков (включая многие автоматические функции), компонент Системное администрирование (доступный в составе продукта Kaspersky Endpoint Security для бизнеса и как самостоятельный набор инструментов) предоставляет инструменты как для инвентаризации ПО, так и для создания эталонных образов, в точном соответствии с рекомендациями Gartner.Поиск уязвимостей и Управление установкой исправлений в Kaspersky Endpoint Security для бизнеса.

В приведённом выше списке мер по борьбе с APT-угрозами на втором и третьем местах находится установка исправлений для приложений и ОС. Это необходимый компонент любой эффективной стратегии защиты. Сопряженные с «чрезвычайно высокой степенью риска» уязвимости в бизнес-приложениях, ОС и прочем ПО, используемом организацией, могут привести к несанкционированному выполнению кода киберпреступниками.

Компоненты Управление установкой исправлений и Поиск уязвимостей «Лаборатории Касперского» реализованы в составе нашей технологии Системное администрирование и для удобства использования интегрированы в более широкий рабочий процесс управления системами. Рассмотрим функционал каждого из этих компонентов.

Поиск уязвимостей — это критически важный элемент в защите компании от атак с применением эксплойтов к уязвимостям ПО. При помощи компонента Поиск уязвимостей IT-подразделение может оперативно выявить уязвимости в корпоративном ПО, которые могут быть использованы киберпреступниками, и быстро закрыть эти бреши в безопасности при помощи компонента «Управление установкой исправлений».

Для обнаружения уязвимостей на рабочих местах используется специальный программный агент, который анализирует версии ОС Windows и другого установленного ПО, сравнивая их с данными в постоянно обновляемой базе уязвимостей, которая является собственной разработкой «Лаборатории Касперского». Наша база данных содержит всю необходимую информацию об уязвимостях в популярных сторонних приложениях. Компонент «Поиск уязвимостей» был разработан для использования вместе с компонентом «Управление установкой исправлений», чтобы быстро и эффективно закрывать уязвимости в ПО.

«Управление установкой исправлений» помогает поддерживать ПО на конечных устройствах в полностью актуальном состоянии, значительно сокращая риск проведения успешных атак с использованием эксплойтов. Системы управления установкой исправлений «Лаборатории Касперского» обеспечивают высокий уровень автоматизации для системных администраторов и могут использоваться вместо Microsoft WSUS или совместно с этой программой.

Технологии Поиск уязвимостей и Управление установкой исправлений «Лаборатории Касперского» доступны в составе продуктов Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ и Kaspersky Total Security для бизнеса.

Если рассматривать показатель «количество установленных исправлений», то решение «Лаборатории Касперского» является лидером рынка — оно занимает первое место по количеству поддерживаемых продуктов и производителей ПО. Эффективность решения «Управление установкой исправлений» «Лаборатории Касперского» подтверждена независимыми тестами, в т.ч. тестами лаборатории AV-test.

Рассмотрим технологии ещё раз с точки зрения классификации угроз, упомянутой в начале документа. Компоненты Контроль программ с Белыми списками, Поиск уязвимостей и Управление установкой исправлений предназначены для борьбы с неизвестными угрозами, которые играют значительную роль в любой APT-атаке. Для борьбы с наиболее сложными угрозами «Лаборатория Касперского» также предлагает технологии Автоматическая защита от эксплойтов, Мониторинг активности и Запрет по умолчанию.

Технологии «Лаборатории Касперского» Контроль программ, Динамические белые списки, Поиск уязвимостей и Управление установкой исправлений фактически реализуют три из четырех важнейших мер по защите от APT-угроз. С их помощью можно эффективно бороться с главной ударной силой целевых атак — эксплойтами к уязвимостям в ПО. Однако для гарантированной защиты четырех важнейших мер не вполне достаточно. В третьей части настоящего документа мы более подробно остановимся на других важных мерах по защите от APT-угроз.

1 Описаны в Части 1 документа «Пути нейтрализации угроз класса APT»

2 How to Successfully Deploy Application Control, Gartner ID G00246912

3 Competitive Landscape: Critical Infrastructure Protection, Gartner ID G00250700

4 Детальные результаты тестов можно найти в следующих документах:  12 и 3.