5 способов защититься от АРТ-атак
Безопасность Безопасность

5 способов защититься от АРТ-атак


Мирослава Ульянова, аналитик отдела экспертизы киберугроз ГК «Иннотех».

За первое полугодие 2021 года количество атак по всему миру выросло в сравнении с аналогичным периодом 2020 года, более того: наблюдается ежеквартальное увеличение количества инцидентов. Из всех исследованных за указанный период атак 77% были целевыми, то есть направленными на конкретную организацию. Поэтому особенно актуальным становится вопрос о превентивных мерах.

Для начала определимся с терминами. Определим, что атаки могут быть рядовыми (нетаргетированными) и целевыми, разновидностью которых являются APT-атаки (от англ. "Advanced Persistent Threat" - сложная постоянная угроза).

"Классическая" киберпреступность слаборесурсна: обычно это одиночки либо малочисленные группы, использующие для атак широко распространенные инструменты. Они атакуют массово, часто используя низкокачественные фишинговые письма.

Целевые атаки могут выполняться как рядовыми киберпреступниками (например, по заказу или для получения учетных данных на продажу), так и APT-группировками. В первом случае злоумышленник нацелен на быстрый ситуативный результат - получить доступ к системам или данным и монетизировать его, но у APT-группировок обычно более масштабные планы, например, взломать компанию-разработчика ПО и распространить вредонос через очередное обновление на всех клиентов компании, как особенно часто поступают китайские группировки.

Основным отличием APT-групп от остальных будут жесткая нацеленность на результат (готовы месяцами пробовать различные способы атаки для получения желаемого), отличная организация, наличие собственных сложных инструментов. Все это дает качество атаки и сложность ее обнаружения. Для проникновения в сеть злоумышленники используют как популярное среди хакеров вредоносное программное обеспечение (ВПО), так и разработанное под особенности целевой сетевой инфраструктуры ПО. Второе затрудняет обнаружение хакеров в сети, поскольку для неизвестного ВПО нет превентивных мер защиты.

Защититься на 100% от APT невозможно. Но для сокращения рисков компрометации данных лучше придерживаться базовых правил. Проактивная защита от целевых атак, как и сами они должна быть сложной, но состоит она из простых элементов:

  • Разработка и использование грамотной политики информационной безопасности: разграничение прав пользователей с выдачей минимально необходимого уровня доступа, сложные пароли с регулярной сменой, сегментирование инфраструктуры, белые списки IP-адресов и приложений, резервные копии, стандартизированные регламенты реагирования на инциденты. Выстраивание зрелых процессов, формирование ландшафта угроз и создание рисковой модели.

  • Использование специализированных программных решений для выявления вредоносных email-сообщений, а также решений-инспекторов сетевого трафика для выявления обращений к вредоносным ресурсам. Как правило, даже изощренные атаки начинаются с письма, содержащего ссылку на фишинговый сайт либо файл с вредоносной составляющей. Инспекция трафика эффективна как на первоначальной стадии (в случае распространения вредоносного ПО через взломанные легитимные сайты), так и далее: при запуске вредоноса происходит отправка запросов к подконтрольным злоумышленнику ресурсам, на которых размещаются модули следующих этапов компрометации, а также сервера управления, через информационное взаимодействие с которыми реализуется удаленное управление скомпрометированным устройством.

  • Своевременное обновление ПО/СПО. Эксплуатация уязвимостей - один из основных способов получения первоначального доступа к целевой системе. Обновления устраняют возможность использования выявленных уязвимостей.

  • Повышение цифровой грамотности сотрудников, особенно работающих с внешней почтой. Для запуска вредоносного вложения требуется действие человека, поэтому все должны обращать внимание на отправителя и содержание письма, а при наличии подозрений информировать службу безопасности.

  • Создание Threat Intelligence и Threat hunting команд, а также использование специализированных решений для выявления подозрительной активности на конечном устройстве. Такие системы основаны на поведенческом анализе и способны детектировать нехарактерные комбинации действий. Зачастую они включают в себя модули детонации подозрительных файлов: если будет зафиксировано вредоносное поведение, запуск файла станет невозможен.

Список мер не исчерпывающий и, это скорее, ТОП5 способов, покрывающих только основные возможности обеспечения защиты от целевых атак. Панацеи не бывает, однако для построения успешного бизнеса необходимо делать все возможное для снижения рисков, в том числе в сфере информационной безопасности.

Подписывайтесь на нас в соцсетях, если хотите быть в курсе последних событий в сфере бизнеса и технологий.

 


Не менее интересные публикации