Проблемы информационной безопасности: направленные атаки

Одна из главных тенденций последних лет – распространение так называемых сложных и стойких угроз (advanced persistent threats, APT).

APT – это узконаправленные и хорошо подготовленные угрозы. Они существенно отличаются от обычных киберугроз. Рассмотрим эти отличия:

	Обычные угрозы	Сложные и стойкие угрозы
Кто инициатор атак?	Корыстолюбивые хакеры и киберпреступники	Хорошо финансируемые и подготовленные противники: политические враги, недобросовестные конкуренты, глобально организованная преступность
Какие данные являются целью и мишенью атак?	Данные кредитных карт и банковских учетных записей, персональные данные, любая информация, интересная многочисленному кругу покупателей	Интеллектуальная собственность; данные, касающиеся обеспечения национальной безопасности; коммерческая тайна; исходные коды программ; данные исследований и разработок; финансовая информация; производственные и бизнес-планы; другие сведения, интересные относительно узкому кругу покупателей
Какие организации являются мишенью?	Любое предприятие и целые отрасли, особенно финансовый сектор	Конкретная организация, главным образом, правительственные, оборонные, энергетические, финансовые и высокотехнологичные предприятия
Цель атак	Доход (нелегальный), кражи личности, мошенничество, самовыражение	Влияние на рынок; достижение конкурентного преимущества; влияние на национальную обороноспособность; занятие выгодной позиции на переговорах; повреждение критически важной инфраструктуры противника и т.д.
Методы атак	Главным образом – атаки на периметр сети предприятия	Основным методом являются атаки через пользователей (социальная инженерия и целевой фишинг), а также через конечные устройства (эксплуатация уязвимостей программ и другие способы). Атаки часто характеризуются сложностью и многоступенчатостью
Используемое вредоносное ПО	Широко распространяемые и копируемые вредоносные программы	Вредоносное ПО, созданное/кастомизированное специально для атаки на конкретное предприятие. Часто это ПО проходит длительный период покоя, ожидая команды на активацию из управляющего центра
Квалификация атакующих	Технические навыки	Помимо технических навыков атакующие имеют глубокие знания о персонале, бизнес-процессах и топологии сети организации-мишени
Реакция атакующих на контрмеры	Поиск более доступных мишеней	Модификация атаки для её продолжения

Таб. Отличия обычных и АРТ угроз. Источник: отчет RSA EMC “When Advanced Persistent Threats Go Mainstream”

АРТ-угрозы изначально воспринимались как кибершпионаж в интересах каких-либо политических групп. Но затем этим термином стали называть любые направленные на конкретную организацию (таргетированные) атаки, отличающиеся хорошей подготовкой и финансированием. Несмотря на принятый термин – advanced (продвинутые, сложные) – этот вид угроз не обязательно характеризуется сложностью. Киберпреступники применяют наиболее эффективные способы проникновения в информационную систему, и если им доступен простой и несложный путь, то они, конечно, его используют.

Сложные и стойкие атаки отличаются и от другого распространяющегося явления нашего времени – атак хактивистов. Атаки хактивистов ведутся в политических и религиозных целях, их задача – вызвать громкий резонанс в обществе, привлечь внимание к той или иной проблеме. АРТ-угрозы действуют иначе – как можно более незаметно.

Издание SC Magazine

Существенно отличаются и технологии защиты от АРТ-угроз:

	Обычные угрозы	Сложные и стойкие угрозы
Фокус защиты	на всех информационных активах	на наиболее важных информационных активах
	на периметре сети	на информации
	на нейтрализации угроз	на детектировании и исследовании угроз
Управление инцидентами информационной безопасности	фрагментарное и ситуативное - нейтрализация всех угроз по отдельности	целостное – полная картина состояния информационной системы дает возможность выявлять атаки/аномалии и определять их сигнатуры
Цель журналирования событий	соответствие стандартам информационной безопасности	детектирование угроз
Анализ угроз	сбор информации об угрозах (вредоносном ПО, мошеннических письмах и т.д.)	установление текущих целей и методов киберпреступников, выявление ключевых информационных активов атакуемого предприятия

Таб. Различия технологий защиты от обычных и АРТ угроз. Источник: отчет RSA EMC “When Advanced Persistent Threats Go Mainstream”

Для успешной борьбы с АРТ-угрозами необходимо применять передовые интеллектуальные методы детектирования аномалий в компьютерной системе: экспертный анализ сетевого трафика, распознавание приёмов социальной инженерии пользователями, специально обученными по особым программам, и другие технологии. Сигнатурные методы в этом случае малоэффективны, поскольку атаки узконаправлены, а средства совершения киберпреступлений уникальны. Атакующие используют вредоносные программы, специально созданные для преодоления традиционных методов защиты и хорошо протестированные на обход всех известных антивирусов.

Перейти к списку статей