- Часть 1. Нейтрализация APT-угроз. Прикладная теория
- Часть 2. Четыре важнейшие защитные меры, позволяющие нейтрализовать 85% угроз
- Часть 3. Меры, не входящие в TOP-4. Для гарантированной защиты
- Часть 4. Предупрежден – значит, вооружен: методы обнаружения APT-угроз
Меры, не входящие в TOP-4. Для гарантированной защиты
Во второй части этой серии публикаций мы рассмотрели, как четыре важнейшие группы мер по борьбе с APT-угрозами из списка ASD могут обеспечить защиту от 85% всех угроз. Но что же делать с оставшимися 15%? Здесь в игру вступают остальные меры из списка ASD.
В то время как 100% безопасность недостижима, рекомендуемый «Лабораторией Касперского» многоуровневый подход к IT-безопасности обеспечивает высокоэффективную защиту как от известных, так и от неизвестных угроз. Технологии «Лаборатории Касперского» позволяют реализовать большинство из 35 мер по нейтрализации APT-угроз, рекомендованных ASD1. Рассмотрим эти меры.
| Рейтинг ASD | Мера по нейтрализации угроз, краткое название | Технологии «Лаборатории Касперского» |
| 1 | Белые списки приложений | Динамические белые списки |
| 2 | Исправление уязвимостей в приложениях | Поиск уязвимостей и управление установкой исправлений |
| 3 | Исправление уязвимостей в ОС | |
| 5 | Применение безопасных настроек пользовательских приложений | Веб-Контроль (блокирование скриптов в веб-браузерах), Веб-Антивирус |
| 6 | Автоматизированный динамический анализ содержимого электронных писем и веб-страниц | Почтовый и веб-антивирус, Kaspersky Security для почтовых серверов, Kaspersky Security для интернет-шлюзов, дополнительные возможности контроля распространения конфиденциальной информации для продуктов Kaspersky Security для почтовых серверов и Kaspersky Security для серверов совместной работы |
| 7 | Нейтрализации generic-эксплойтов к уязвимостям в ОС | Автоматическая защита от эксплойтов |
| 8 | HIDS/HIPS | Мониторинг системы, Контроль активности программ |
| 12 | Программный сетевой экран прикладного уровня для входящего трафика | Сетевой экран |
| 13 | Программный сетевой экран прикладного уровня для исходящего трафика | Сетевой экран |
| 15 | Ведение журнала событий на компьютере | Kaspersky Security Center |
| 16 | Ведение журнала сетевой активности | Kaspersky Security Center |
| 17 | Фильтрация содержимого электронных писем | Kaspersky Security for Mail Sever |
| 18 | Фильтрация веб-контента | Веб-Контроль |
| 19 | Белые списки интернет-доменов | Веб-Контроль |
| 20 | Блокирование электронных писем с поддельными заголовками | Анти-Спам |
| 22 | Антивирусное ПО с применением эвристических технологий и автоматизированной облачной системы репутационных рейтингов | Защита от вредоносного ПО |
| 26 | Контроль съемных и портативных носителей | Контроль устройств |
| 29 | Проверка файлов Microsoft Office на рабочих станциях | Защита от вредоносного ПО |
| 30 | Антивирусное ПО, основанное на сигнатурных методах обнаружения | Защита от вредоносного ПО |
Соответствие между технологиями «Лаборатории Касперского» и TOP-35 мерами ASD по нейтрализации APT-угроз для специализированного защитного ПО.
Применение безопасных настроек пользовательских приложений, запрет выполнения Java кода на интернет-станицах, и т.д. — пятое место, эффективность «высокая»
Среди мер, обеспечиваемых решениями «Лаборатории Касперского» и не вошедших в «большую четверку», рассмотрим Применение безопасных настроек пользовательских приложений, включая запрет на выполнение Java-кода в браузере. Технология «Веб-антивирус» «Лаборатории Касперского» обеспечивает реализацию этого метода через анализ HTTP-контента веб-сайтов. Содержимое сайтов анализируется и, при необходимости, блокируется в соответствии с политиками безопасности или при наличии угроз. Администраторы могут задавать политики и правила, соответствующие конкретным требованиям, установленным в компании. В то время как «Веб-антивирус» способен блокировать выполнение нежелательных, опасных скриптов, «Контроль программ» блокирует использование неразрешенных браузеров, браузеров без установки необходимых исправлений, программ просмотра PDF-файлов и т.д.
Автоматизированный динамический анализ содержимого электронных писем и веб-страниц — 6 место в рейтинге, эффективность «высокая»
Автоматизированный динамический анализ сообщений электронной почты и веб-контента позволяет обнаруживать подозрительный контент и поведение. Метод находится на 6-м месте в списке ASD, и его эффективность характеризуется как «высокая». Почтовый и веб-антивирус «Лаборатории Касперского», построенные на основе высокоэффективного эвристического анализа, идеально соответствуют этой рекомендации и обеспечивают детектирование вредоносного ПО, которое отсутствует в традиционных антивирусных базах.
Как правило, анализаторы начинают с проверки кода на наличие признаков подозрительного контента, характерного для вредоносных программ (статический анализ). Например, многие вредоносные программы ищут исполняемые файлы и вносят в них изменения.
Несмотря на высокую производительность, статический анализ обеспечивает низкий уровень обнаружения нового вредоносного кода и высокий уровень ложных срабатываний. Технологии «Лаборатории Касперского» реализуют сочетание статического и динамического анализа, при котором в безопасной виртуальной среде эмулируется выполнение приложения. Динамический метод по сравнению со статическим требует гораздо более значительных системных ресурсов, но обеспечивает существенно более высокий уровень обнаружения вредоносных программ при гораздо меньшем уровне ложных срабатываний.
Автоматизированный динамический анализ содержимого электронных писем и веб-контента также должен быть реализован в любом комплексном специализированном решении для нейтрализации APT-угроз. «Лаборатория Касперского» считает, что системы безопасности, в дополнение к глубокому анализу сетевого трафика, должны выполнять анализ вложений и других загруженных файлов в «песочнице».
Нейтрализация generic-эксплойтов к уязвимостям в ОС — 7-е место, эффективность «высокая»
Нейтрализация generic-эксплойтов к уязвимостям в ОС может быть частично реализована с использованием встроенных в операционную систему технологий (таких как предотвращение исполнения данных (DEP), Address space layout randomization (ASLR) и Enhanced Mitigation Experience Toolkit (EMET)), однако применение специализированных защитных инструментов и технологий позволяет обеспечить значительно более высокий уровень безопасности.
Технология Автоматическая защита от эксплойтов (Automatic Exploit Prevention, AEP), созданная «Лабораторией Касперского», значительно уменьшает риск успешного проведения злоумышленниками целевой атаки с применением эксплойтов, даже если применяются эксплойты к уязвимостям нулевого дня. Технология AEP направлена в первую очередь против ранее неизвестных эксплойтов. Широко распространенные вредоносные объекты блокируются другими защитными системами, такими как Веб-антивирус, Файловый антивирус или даже антиспам-фильтром, что позволяет значительно повысить общий уровень безопасности конечного пользователя.
Enhanced Mitigation Experience Toolkit (EMET) Microsoft на первый взгляд может показаться очень похожим на Automatic Exploit Prevention (AEP) «Лаборатории Касперского». Однако, эта технология скорее не конкурирует с нашей технологией, а дополняет ее — она работает в связке с продуктами «Лаборатории Касперского», повышая общий уровень защиты.
Технология Microsoft блокирует выполнение эксплойтов, используя различные методы, в т.ч. Предотвращение выполнения кода (Data Execution Prevention, DEP) и Защита от перезаписи обработчика структурных исключений (Structured Exception Handling Overwrite Protection, SEHOP). EMET 5.0 также реализует технологию Attack Surface Reduction (ASR, «Сокращение поверхности атаки»), предотвращая загрузку некоторых плагинов (в т.ч. Java) в Internet Explorer.
Между технологиями Kaspersky AEP и EMET есть определенное пересечение, однако различий между ними заметно больше, чем сходства. Кроме того, AEP — это лишь один из компонентов многоуровневой защиты, обеспечиваемой корпоративными и персональными продуктами «Лаборатории Касперского». Весь комплекс технологий, реализованных в продуктах «Лаборатории Касперского», включая Контроль программ (Application Control), Мониторинг системы (System Watcher) и многое другое, реализует гораздо более широкий функционал, чем тот, что предлагается в составе EMET.
Следующая диаграмма иллюстрирует взаимосвязь между AEP и EMET, а также глубокую интеграцию Мониторинга системы и AEP в продукты «Лаборатории Касперского».
В то время как EMET позиционируется только как средство нейтрализации угрозы, AEP обеспечивает еще и обнаружение аномалий. AEP работает следующим образом: Мониторинг системы предоставляет информацию обо всех главных событиях в системе. Эти данные о поведении ПО сравниваются с шаблонами типичного функционала и поведения вредоносных программ. На основе этого сравнения AEP распознаёт и обнаруживает подозрительное поведение приложений. Технология «Лаборатории Касперского» обеспечивает текущий ситуационный анализ, учитывающий данные о прошлых событиях, соответствующих файлах, процессах, репутации и т.д., и таким образом принимает решения о разрешении или блокировании выполнения того или иного приложения.
Что касается обеспечения безопасности, то как AEP, так и EMET сводит к минимуму вероятность эксплуатации уязвимости, ставя множество барьеров на пути эксплойтов. Такой двусторонний подход составляет ключевое преимущество AEP — он реализует высокий уровень защиты от эксплойтов при минимальных рисках, связанных с совместимостью. AEP «Лаборатории Касперского» очень легко настраивается; в процессе работы он не вызывает конфликтов с ранее установленным ПО.
Из года в год Kaspersky Endpoint Security для бизнеса достигает наилучших результатов в Тесте корпоративных решений на противодействие эксплойтам в реальных условиях (Real World Enterprise Security Exploit Prevention Test), проводимом компанией MRG Effitas. Последние по времени тесты проводились во период с ноября 2013 по февраль 2014 года, и по результатам этих тестов решение «Лаборатории Касперского» было удостоено сертификата MRG Effitas.
Хостовая система обнаружения / предотвращения вторжений (HIDS / HIPS) — на восьмом месте в рейтинге, эффективность «высокая»
Модули «Мониторинг системы» (System Watcher) и «Контроль активности программ» (Application Privilege Control) вместе реализуют эффективную хостовую систему обнаружения/предотвращения вторжений (HIDS / HIPS).
Модуль «Мониторинг системы» собирает данные о действиях приложений на узлах сети и предоставляет эту информацию другим компонентам, принимает решения относительно обеспечения безопасности, используя информацию из регулярно обновляемых баз данных о поведенческих сценариях опасных приложений. При обнаружении нового вируса или модификации уже известной вредоносной программы наши эксперты добавляют новый поведенческий сценарий в базу данных эвристического анализатора — эта база обновляется одновременно с антивирусными базами «Лаборатории Касперского». Эта технология позволяет блокировать другие вредоносные программы с аналогичным поведением и отменять действия, совершенные вредоносными приложениями.
«Мониторинг системы» блокирует не только внесение изменений в реестр и внедрение кода в процессы, но и активность клавиатурных шпионов. Некоторые признаки действий по перехвату нажатий клавиш определены в шаблонах вредоносного поведения программ.
Сетевой экран прикладного уровня для входящего/исходящего трафика. 12 и 13 место в рейтинге, эффективность «высокая»
Меры, предусматривающие применение программных сетевых экранов прикладного уровня, могут быть реализованы путем несложной модификации стандартных настроек сетевого экрана «Лаборатории Касперского».
Сетевые экраны применяют правила ко всем сетевым соединениям, блокируя или разрешая любую обнаруженную попытку соединения. Защита от различных видов атак осуществляется на двух уровнях: сетевом и прикладном.
Блокирование ненужных сетевых соединений снижает потенциальную поверхность атаки, ограничивая возможные воздействия, связанные с работой сетевых сервисов. Блокирование исходящего сетевого трафика, источником которого не являются доверенные приложения, помогает предотвратить отправку данных организации киберпреступниками — это позволяет уменьшить шансы сложных многоуровневых атак на успех.
Сетевой экран защищает личные данные, хранящиеся на локальном хосте, блокируя все угрозы, которые потенциально могут быть источником опасности для операционной системы в то время, когда хост подключен к интернету или локальной сети. Сетевой экран фильтрует всё сетевую активность при помощи двух видов правил: сетевых правил для приложений и правил фильтрации сетевых пакетов.
Ведение журнала событий / сетевой активности — место 15 и 16 в рейтинге, эффективность «высокая»
Kaspersky Security Center ведёт журналы как событий компьютера, так и сетевой активности. Журналы событий можно просматривать в стандартной Консоли управления Microsoft Windows, а также экспортировать в формате EVTX. Такое централизованное ведение журналов важно для эффективного системного администрирования.
В то же время, журналы гораздо полезнее, если используются в сочетании с инструментами, позволяющими администраторам интерпретировать данные и легко создавать отчеты. Поэтому в состав решения «Лаборатории Касперского» включены инструменты, обеспечивающие поддержку ведущих SIEM-систем — таких как ArcSight и Qradar2. На этом этапе передается большинство событий, критически важных для безопасности, такие как предупреждения о нежелательном контенте, блокировании доступа к файлам, обнаружении вредоносных программ различных типов и т.д.
Фильтрация содержимого электронных писем — 17-е место, эффективность «высокая»
Kaspersky Security для почтовых серверов проверяет входящую, исходящую и хранимую электронную почту, защищая новейшие версии основных почтовых платформ и платформ совместной работы, в т.ч. Microsoft Exchange, IBM Lotus Domino и почтовых серверов на основе Linux. Интеллектуальная фильтрация спама с поддержкой облачных технологий для серверов Microsoft Exchange и почтовых серверов на базе Linux осуществляется в режиме реального времени, что позволяет значительно уменьшить почтовый трафик благодаря удалению из него нежелательных сообщений.
Белые списки приложений (в составе Kaspersky Endpoint Security) — технология защиты рабочих мест. Она позволяет контролировать выполнение загруженных файлов и почтовых вложений. Kaspersky Endpoint Security также анализирует файлы PDF и Microsoft Word, используя репутационные базы данных.
Фильтрация веб-контента — 18-е место, эффективность «высокая»
Веб-антивирус «Лаборатории Касперского» обеспечивает фильтрацию веб-трафика, защищая системы от вредоносного ПО, доставляемого по протоколам HTTP и HTTPS. Этот компонент также проверяет FTP-трафик. Антивирус Касперского для Proxy Server фильтрует веб-трафик, используя эвристические алгоримы, сигнатуры и облачные репутационные рейтинги. Прежде чем разрешить или заблокировать контент, Веб-контроль относит его к соответствующей категории.
Каждая открытая веб-страница или файл, перехваченный веб-антивирусом, анализируется на наличие вредоносного кода и аномалий. Не зараженные веб-страницы и объекты загружаются как обычно. Это позволяет нейтрализовать атаки типа watering hole, при которых киберпреступники заражают популярные легитимные веб-сайты (новостные и т.п.), пытаясь таким образом получить доступ к системам постоянных пользователей данных ресурсов. Сайты с технической информацией, полезной для системных администраторов, — это популярная мишень киберпреступников, которые пытаются заразить компьютеры с правами администратора и доступом к критически важной информации.
Адресный фишинг и атаки типа watering hole — наиболее популярные способы организации целевых атак, но существуют и другие. Технологии «Лаборатории Касперского» предотвращают осуществление вредоносных действий с веб-сайтов независимо от используемого киберпреступниками метода атаки — это может быть социальная инженерия, ссылка в поисковой выдаче и т.п.
Белые списки интернет-доменов — 19-е место в списке, эффективность «высокая»
Компонент «Веб-контроль» «Лаборатории Касперского» позволяет системным администраторам создавать и поддерживать белые списки доменов для своей организации. Веб-контроль фильтрует HTTP/HTTPS-трафик в соответствии с внутренними политиками организации — как правило, в рабочее время блокируются социальные сети, музыкальные и видеоресурсы, а также сторонние сервисы веб-почты.
«Веб-контроль» действует аналогично сетевым экранам. Администратор создаёт набор блокирующих/разрешающих правил параметры которых включают пользовательские учетные записи, расписание, контент и т.п. Правила применяются в порядке, определенном администратором, причем страница обрабатывается в соответствии с первым применимым правилом.
Применение эвристических технологий и автоматизированной облачной системы репутационных рейтингов. 22 место, эффективность «хорошая»
Эффективная защита от вредоносного ПО — основа всех продуктов «Лаборатории Касперского» — использует эвристические алгоритмы и автоматические облачные репутационные рейтинги — обязательные составляющие эффективной системы обеспечения IT-безопасности. Репутация файлов и URL-адресов доступна через Kaspersky Security Network.
Контроль съёмных носителей — 26-е место, эффективность «хорошая»
Технология «Контроль устройств» помогает обеспечивать безопасность съёмных и портативных носителей. Она позволяет администраторам следить за использованием различных устройств в корпоративной сети и при необходимости запрещать использование некоторых из них. Чаще всего этот компонент используется для запрета работы с несанкционированными USB-накопителями.
Проверка файлов Microsoft Word на рабочих станциях — 29-е место, эффективность «хорошая»
Документы Microsoft Word — лишь один из типов файлов, которые анализирует передовое антивирусное ядро «Лаборатории Касперского». Это полезное дополнение к встроенному режиму «Защищённый просмотр» Microsoft Office и к надстройке безопасности «Проверка файлов» Microsoft Office.
Сигнатурное антивирусное ПО — 30 место, эффективность «хорошая»
Антивирусное ядро «Лаборатории Касперского» использует традиционную базу файловых сигнатур наряду с другими методами детектирования. Продукты «лаборатории» хорошо взаимодействуют с ПО других производителей на устройствах различных типов, как предусмотрено в рекомендациях ASD. Клиентам, стремящимся выполнить данные рекомендации по нейтрализации APT-угроз во всех деталях и использовать ПО различных производителей на рабочих местах и на шлюзах, мы рекомендуем использовать продукты «Лаборатории Касперского» на рабочих местах — наш успех в различных независимых тестах говорит сам за себя.
Многоуровневая система, включающая в себя «Файловый антивирус», «Веб-антивирус», «Веб-контроль», «Контроль устройств» и «Контроль приложений», «Антифишинг» и другие технологии, управляемые из единой консоли Kaspersky Security Center, позволяет обеспечивать эффективную защиту от целевых атак. Каждая из технологий, упомянутых в этой серии статей, входит в состав Kaspersky Endpoint Security для бизнеса. Kaspersky Security для почтовых серверов доступен только в продукте уровня Total; все остальные технологии доступны в продукте уровня РАСШИРЕННЫЙ (Advanced)
Технологическое лидерство «Лаборатории Касперского»: больше, чем просто разработка защитных продуктов
«Лаборатория Касперского» — это больше, чем просто производитель защитного ПО, обещающий защитить вашу IT-инфраструктуру практически от любой угрозы. Наши технологии построены на основе глобальной сети безопасности «Лаборатории Касперского», в которую входят более 60 миллионов добровольных участников Kaspersky Security Network по всему миру. Это облако безопасности ежесекундно обрабатывает более 600 000 запросов.
Наша группа ведущих экспертов по безопасности — Глобальный центр исследований и анализа угроз — это неотъемлемая составляющая стратегии «Лаборатории Касперского». Основная задача этой группы — обнаружение и анализ новых видов кибероружия, а также прогнозирование появления новых видов угроз. Репутация «Лаборатории Касперского», основанная на обнаружении и успешной нейтрализации наиболее актуальных и сложных угроз, таких как Epic Turla, Careto и Red October, — сформировалась благодаря преданной и самоотверженной работе в области исследований и разработки.
Экспертный потенциал «Лаборатории Касперского» завоевал признание и уважение среди ведущих мировых игроков в сфере безопасности. Наша принципиальная позиция: любая атака, вне зависимости от её происхождения и целей, должна быть обнаружена и отражена. Мы предоставляем консультационную поддержку и сотрудничаем с такими организациями, как Интерпол, Европол и многие национальные центры реагирования на компьютерные инциденты.
«Лаборатория Касперского» — прежде всего технологическая компания, более трети сотрудников которой работают в сфере исследований и разработки. Все наши решения создаются нашими собственными специалистами на основе единой кодовой базы. Наши лидерские позиции и экспертный потенциал подтверждены многими независимыми тестами. В 2013 календарном году мы участвовали в 79 тестах и испытаниях. 61 раз «Лаборатория Касперского» попала в TOP-3, 41 раз заняла первое место.
Сочетание всех этих факторов дало «Лаборатории Касперского» глубокое понимание того, как наиболее эффективно обеспечить нейтрализацию рисков для IT-безопасности. Благодаря этому продукты компании входят в число наиболее эффективных решений для реализации стратегии нейтрализации угроз и защиты от них в вашей организации.
1 Подробное описание Стратегии нейтрализации угроз Управления радиотехнической обороны Австралии можно найти в первой и второй статьях настоящей серии
2 Входит в состав Kaspersky Security для бизнеса 10 SP1; релиз запланирован на весну 2015 года