Целевые атаки: работа для опытного снайпера

Как украсть базу данных азартных игроков, тратящих огромные суммы? Да очень просто: зайти в сеть через умный термометр, установленный в аквариуме игрового центра, благо служба безопасности прошляпила уязвимость в этом IТ-устройстве. Выглядит как сказка?

Увы, на языке ИБ-профессионалов эта разновидность злоумышленных действий классифицируется как APT (advanced persistent threat), или целенаправленная атака. За последние годы более сотни киберпреступных групп совершили множество подобных операций более чем в 80 странах мира. Среди них только крупных можно насчитать не менее десятка: вирус Stuxnet, изрядно потрепавший ядерную индустрию, атака на Google Mail под кодовым названием «Аврора» (она же Asia Pacific Threat), нашумевшие нападения на ресурсы RSA и Sony, кампании Shamoon+Stonedrill...

Бороться с этим злом в глобальных масштабах невозможно — необходимо подключать средства индивидуального подхода, уникальные для каждого случая. Именно поэтому эксперты из глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky Lab Global Research and Analysis Team — GReAT) всегда готовы выехать на экстренный вызов с «тревожным чемоданчиком». В остальное же время их работа заключается в детальном исследовании множества факторов вредоносных воздействий и векторов атак и их тщательной классификации и систематизации.

Результатом этой сложной аналитической работы и стала платформа Kaspersky Anti Targeted Attack, построенная на базе принципа HuMachine Intelligenc и включающая в себя элементы искусственного интеллекта. Функционируя в комплексе с другими продуктами «Лаборатории Касперского», она способна существенно снизить вероятность успешной целевой атаки за счет продуманных шагов превентивного характера.

Чтобы понять, как работает защита, обратимся к самим сотрудникам компании. Так, Олег Глебов, эксперт по платформе Kaspersky Anti Targeted Attack Platform, утверждает: «Чтобы выявлять сложно уловимые признаки, способные выдать деятельность киберпреступников, необходимо слить воедино защитные технологии, передовые методы статистического анализа и средства машинного обучения. Допустим, компьютер одного из сотрудников стал устанавливать соединения с каким-то неизвестным сервером в далекой стране. Сам по себе этот факт с равной долей вероятности может оказаться и признаком заражения, и фактором нормальной работы. Но что, если эти соединения осуществляются в три часа ночи, когда в офисе никого нет? И для чего недавно на этот компьютер скачивался какой-то прежде неизвестный исполняемый файл? Совпадение таких косвенных признаков — явный повод для оповещения службы безопасности».

Проще простого, не так ли? На деле все намного сложнее: в процесс опознавания угроз вовлечено множество специалистов, компьютеров и прочих аналитических инструментов. При этом продукт постоянно совершенствуется и пополняется свежей аналитической информацией.

По словам Олега Глебова, «методов атак — миллионы, а устройств, на которые эти атаки направлены, десятки тысяч, и единственный действенный подход — собирать огромные объемы данных и оперативно обрабатывать их, используя все имеющиеся знания о постоянно меняющемся ландшафте угроз». Как, собственно, и действуют разработчики Kaspersky Anti Targeted Attack Platform.

Но из этого тезиса следует и другой: при таком масштабе потенциальных угроз никакая программа не сможет обеспечить стопроцентную защиту. Ее надо формировать также превентивно, позаботившись об устранении потенциальных брешей в ИБ-системе предприятия (вспомним о пресловутом термометре в казино) прежде, чем эти дыры обнаружат злоумышленники.

Причем эту часть плана по обеспечению безопасности лучше возложить на компетентных специалистов — они как минимум помогут разобраться, насколько эффективна служба информационной безопасности предприятия. А на практике результатом их работы становится множество обнаруженных уязвимостей и список рекомендаций по их устранению, в числе которых и установка специализированных комплексов по защите предприятия — таких, как Kaspersky Anti-Targeted Attack Platform, Kaspersky End point Detection and Response и Kaspersky Endpoint Security. Или иные, от других разработчиков.

Сергей Грицачук

P.S. сейчас ситуация в этой области обострилась в разы, так как в деструктивную IT-деятельность помимо криминальных структур, аключились государстве - спецслужбы всех стран активно работают в этом направление. Увы, не созидания, а разрушения ради. Можно сказать Третья Мировая война началась и она идет в виртуальном пространстве...

*