Пути нейтрализации угроз класса APT. Часть 1

Нейтрализация APT-угроз. Прикладная теория

Очень вероятно, что группировки, стоящие за современными целевыми атаками, такие как Turla или El Machete, по-прежнему активно действуют. Даже если это и не так, «Глобальный центр исследований «Лаборатории Касперского»» (Global Research and Analysis Team, GReAT) регулярно обнаруживает аналогичные крупномасштабные кампании кибершпионажа по всему миру.

Угрозы класса APT (Advanced Persistent Threats) — это комплексные атаки, состоящие из множества различных компонентов, в том числе средств проникновения на компьютеры жертв (адресных фишинговых рассылок, эксплойтов и т.д.), механизмов распространения по сети, шпионских модулей, средств обеспечения скрытности (руткитов/буткитов) и других, часто очень сложных инструментов. Все эти компоненты созданы с одной целью: получить доступ к секретной информации, избегая при этом обнаружения.

Цель APT-атаки — получение любых секретных данных. Чтобы стать жертвой не нужно быть государственным ведомством, крупной финансовой организацией или энергокомпанией. Даже у небольших фирм есть базы данных с конфиденциальной клиентской информацией; маленькие банки работают с платформами удаленного обслуживания клиентов, и компании любого размера обрабатывают и хранят платежную информацию, попадание которой в руки злоумышленников чревато серьезными проблемами. С точки зрения атакующих размер не имеет значения — важна только информация.

APT-угрозы получили широкое распространение. Пример высокоэффективной, активно осуществляемой кампании — Epic Turla.

Подходы к противодействию APT-угрозам: современные теории

Многие авторитетные организации, работающие в технологической сфере, уже разработали меры по нейтрализации целевых атак. В частности, компания Gartner опубликовала рекомендации по противодействию техникам социальной инженерии. Одна из рекомендаций — держаться в курсе непрерывно меняющейся ситуации с киберугрозами за счет постоянного обучения в области информационной безопасности.

По результатам выполненного анализа технических проблем безопасности компания Gartner предлагает две ключевые рекомендации: «Повышение уровня защиты периметра и сети» и «При разработке защитных мер особое внимание должно уделяться вредоносному контенту». В этом контексте Gartner упоминает «Лабораторию Касперского» как одного из ведущих разработчиков решений в области контроля программ и белых списков, решения которого содержат все возможности, необходимые для нейтрализации APT-угроз.

В США Дирекция по защите информации (US Information Assurance Directorate, IAD) также опубликовала документ «Меры по защите информации и нейтрализации угроз» (Information Assurance Mitigation Strategies), в котором определенное внимание уделено APT-угрозам. В этом документе «Дирекция» сгруппировала меры по четырем ключевым направлениям: целостность устройств, минимизация ущерба, защита учетных записей и безопасная и доступная передача данных. Одно из наиболее интересных практических руководств по защите от целевых кибервторжений подготовлено Управлением радиотехнической обороны Австралии (Australian Signals Directorate, ASD). Более подробная информация об этом документе представлена ниже.

Эффективные стратегии защиты: несколько примеров

В то время как цель 100% безопасности инфраструктуры ИКТ недостижима, существует комплекс эффективных мер, реализация которых организацией позволит значительно снизить риск кибервторжений. Всесторонний и детальный анализ локальных атак и угроз, осуществленный Управлением радиотехнической обороны Австралии, показал, что как минимум 85% целевых кибервторжений, реагированием на которые занимается «Управление», может быть нейтрализовано при одновременной реализации четырех базовых мер:

  • Применение белых списков приложений, которые позволяют заблокировать выполнение вредоносного ПО и не утвержденных программ;
  • Установка исправлений для таких приложений как Java, программ просмотра PDF-файлов, Flash, веб-браузеров и приложений Microsoft Office;
  • Исправление уязвимостей в операционной системе с помощью установки обновлений;
  • Ограничение прав доступа к ОС и приложениям в соответствие со служебными обязанностями каждого пользователя.

Эти меры представляются настолько эффективными, что они рекомендованы для всех государственных ведомств Австралии. Исходя из обширного экспертного опыта «Лаборатории Касперского» в области борьбы с APT-угрозами и осуществленного компанией анализа, мы считаем этот подход эффективным не только для государственных ведомств и крупных предприятий, но и для небольших компаний.

Ни одна организация не может позволить себе считать, что у нее нет данных, представляющих реальную ценность. Злоумышленники ищут не только сведения под грифом «секретно». Их интересуют конфиденциальная информация делового характера, данные, составляющие интеллектуальную собственность, сведения о научных исследованиях и государственной политике. Даже если киберпреступникам не интересна ваша секретная информация, доступ к вашей сети может быть им нужен, чтобы использовать ее как плацдарм для атак на более привлекательные мишени.

Специалисты «Лаборатории Касперского» убеждены, что подготовленный Управлением радиотехнической обороны Австралии список из 35 важнейших мер по нейтрализации киберугроз — это один из наиболее важных общедоступных рекомендательных документов, связанных с противодействием целевым атакам. Мы тщательно проанализировали этот список и сопоставили каждый пункт с технологиями, реализованными в наших продуктах. Если вы пожелаете применить 35 важнейших мер по нейтрализации киберугроз из списка ASD в вашей организации, продукты «Лаборатории Касперского» не только упростят этот процесс, но и сделают его более эффективным и безопасным.

Что именно предлагает ASD

Как упомянуто выше, предложенный ASD список важнейших мер по нейтрализации угроз состоит из 35 пунктов, которые могут быть условно разделены на четыре типа в зависимости от подхода к реализации:

Меры Краткое описание
Административные Обучение, физическая безопасность
Сетевая инфраструктура Эти меры проще всего реализовать на уровне сетевого оборудования
Системное администрирование Все необходимое для реализации содержится в ОС
Специализированные защитные решения Используется специализированное защитное ПО

Первая группа — это чисто административные меры: обучение персонала и тренинги, повышение уровня физической безопасности офиса и т.д. Программное и аппаратное обеспечение практически не упоминается, за исключением таких мер, как развертывание систем контроля физического доступа или онлайн-обучение.

На уровне сетевой инфраструктуры могут приниматься различные меры по нейтрализации APT-угроз. В частности, общая эффективность «Сегментирования и разделения сети на зоны» (десятое место в списке) для обеспечения безопасности оценивается как «высокая». Важность для обеспечения безопасности такой меры, как «Запрещение прямого доступа в интернет для рабочих станций» (23 место в списке), оценена как «хорошая» (третья по уровню оценка после «необходимая» и «высокая»).

После соответствующей настройки сетевого оборудования многое можно сделать с помощью одних лишь функций операционной системы (ОС). Усиление защиты систем от целевых атак — это большая работа, которая ложится на плечи системных администраторов. Речь идет прежде всего об — ограничении прав административного доступа. Кроме того, настоятельно рекомендуется включить абсолютно все возможные встроенные механизмы защиты приложений (ASLR и другие).

По крайней мере 85% вторжений, реагирование на которые обеспечивало ASD, осуществлялось злоумышленниками с помощью несложных методов, противостоять которым можно было бы путем одновременного применения четырех важнейших мер по нейтрализации киберугроз: использование белых списков приложений, установки обновлений приложений, исправления уязвимостей в операционных системах и минимизации административных привилегий. В состав продуктов «Лаборатории Касперского» входят технологические решения, реализующие первые из этих трех важнейших мер. Кроме того, более половины пунктов в полном списке ASD могут быть реализованы с помощью наших специализированных защитных решений. Во второй части этой серии статей, озаглавленной «Пути нейтрализации угроз класса APT», мы остановимся на этом подробнее.

Рейтинг ASD Мера по нейтрализации угроз, краткое название Технологии «Лаборатории Касперского»
1 Белые списки приложений Динамические белые списки
2 Исправление уязвимостей в приложениях Поиск уязвимостей и управление установкой исправлений
3 Исправление уязвимостей в ОС
5 Применение безопасных настроек пользовательских приложений Веб-Контроль (блокирование скриптов в веб-браузерах), Веб-Антивирус
6 Автоматизированный динамический анализ содержимого электронных писем и веб-страниц Почтовый и Веб-Антивирус, Kaspersky Security для почтовых серверов, Kaspersky Security для интернет-шлюзов, дополнительный функционал контроля над распространением конфиденциальной информации для продуктов Kaspersky Security для почтовых серверов и Kaspersky Security для серверов совместной работы
7 Нейтрализация generic-эксплойтов к уязвимостям в ОС Автоматическая защита от эксплойтов
8 HIDS/HIPS Мониторинг системы, Контроль активности программ
12 Программный сетевой экран прикладного уровня для входящего трафика Сетевой экран
13 Программный сетевой экран прикладного уровня для исходящего трафика Сетевой экран
15 Ведение журнала событий на компьютере Kaspersky Security Center
16 Ведение журнала сетевой активности Kaspersky Security Center
17 Фильтрация содержимого электронных писем Kaspersky Security for Mail Sever
18 Фильтрация веб-контента Веб-контроль
19 Белые списки интернет-доменов Веб-контроль
20 Блокирование электронных писем с поддельными заголовками Анти-спам
22 Антивирусное ПО с применением эвристических технологий и автоматизированной облачной системы репутационных рейтингов Защита от вредоносного ПО
26 Контроль съемных и портативных носителей Контроль устройств
29 Проверка файлов Microsoft Office на рабочих станциях Защита от вредоносного ПО
30 Антивирусное ПО, основанное на сигнатурных методах обнаружения Защита от вредоносного ПО

Меры, рекомендованные ASD, которые могут быть эффективно реализованы с помощью продуктов «Лаборатории Касперского».