Наладить адекватное реагирование на киберинциденты — одна из наиболее важных долгосрочных задач в области информационной безопасности, которую бизнесу нужно решать ради стабильности своего развития. Здесь мы в ближайшем будущем увидим точку пересечения самых передовых технологий. Вместе с тем для эффективного реагирования на происшествия требуются не только революционные разработки, но и каждодневные усилия: нужно собирать, хранить и анализировать огромный объем данных. Залог успеха в том, чтобы тщательно интегрировать системы реагирования на инциденты в действующие продукты для обеспечения кибербезопасности, а также предусмотреть их совместную работу с теми решениями по распознаванию цифровых угроз, что будут править бал в будущем.
Что мы узнали благодаря системам распознавания угроз
Еще три года назад, когда мы приступили к работе над специализированным решением для распознавания изощренных угроз и целевых атак, мы понимали, что со всеми этими бедами одним махом не справиться. Всякая направленная атака уникальна. Ее организаторы настраивают инструменты и техники с учетом конкретной жертвы, в зависимости от своих целей и особенностей инфраструктуры, выбранной в качестве мишени. Целевая атака — комплексный многоуровневый процесс. Он включает в себя стадии начального заражения, распространения по сети и похищения данных. Не на каждом из этапов «диверсионной операции» требуется исполнение вредоносного кода. А решение для распознавания угроз должно уметь выявить атаку в любой ее фазе.
Нужно было нечто отличное от того, что подразумевают давно отработанные подходы к предотвращению атак. Чтобы пресекать заражение массовыми зловредами надежнее, чем сейчас, еще предстоит сделать многое, но задача сама по себе решаема. Тогда как в случае целевой атаки или при использовании неизвестного сложного вредоносного кода (оно может входить в сценарий такого нападения) единственный эффективный метод — постоянный поиск аномалий в трафике корпоративной сети. Добавим, что схема, которую мы опишем, действенна, лишь если вся известная, поддающаяся обнаружению вредоносная активность — доподлинно вредоносная — была выявлена и заблокирована. А доля подобных угроз достигает 85–90% от всех направленных на инфраструктуру организации извне.
Как обнаружить неизвестную угрозу
- Первичное заражение. Здесь понадобится система более «бдительная», чем типичное решение для защиты рабочих станций. Концепция «Истинной Кибербезопасности» позволяет различать «оттенки серого», без категоричного деления — «либо точно вредоносное, либо точно безопасное». Все сколько-нибудь подозрительное подлежит дальнейшему анализу. Как такие объекты ведут себя и для чего предназначены, устанавливается в изолированной среде. Их необходимо сопоставить с уже известными тактиками и средствами (эта информация постоянно обновляется), используемыми киберпреступниками. Пусть даже объект не был признан вредоносным сразу, его надо исследовать и впредь: если он вдруг окажется частью преступного замысла, отразить атаку хоть позже желаемого, но удастся. Проверке подлежат все ключевые узлы корпоративной сети: сетевой трафик, рабочие станции, email.
- Распространение по сети и похищение данных. Защитное решение должно отличать «мирный» сетевой трафик и нормальное поведение конечных пользователей от подозрительного. А значит, нужно выделять признаки обычного «порядка вещей», принятого в конкретной организации, а также обладать сведениями о методах, используемых злоумышленниками для изучения жертвы и достижения своих целей.
Если совсем коротко, распознавание целевой атаки требует обновляемых в реальном времени аналитических данных об угрозах, постоянной обработки информации и интеллектуальных алгоритмов машинного обучения. В прошлом году мы реализовали все перечисленное в платформе Kaspersky Anti Targeted Attack Platform, дав ИБ-специалистам крупных организаций возможность автоматизировать чрезвычайно сложный сценарий решения описанной проблемы. Мы объединили аналитику, обработку данных и машинное обучение, чтобы система могла самостоятельно выполнить работу высококвалифицированного эксперта по кибербезопасности, а, как мы знаем, такие кадры — редкость, и стоят их услуги дорого. Но что же дальше?
От распознавания к реагированию: еще больше данных плюс миллион индикаторов
Распознавание целевой атаки — важный шаг на пути к устранению последствий эксцесса, но лишь самый первый. Реагирование на угрозу и восстановительные мероприятия порождают новые задачи и требуют еще больше данных. Какие конечные устройства пострадали? Чьи именно? Что случилось с сетью? Есть ли вероятность того, что злоумышленник затаился внутри ее периметра? Для подобающего отражения атаки нужно намного больше данных, чем требовалось для ее выявления. Вплоть до мельчайших подробностей, включая небольшие изменения в реестре Windows, детальные сведения о попавших в инфраструктуру файлах, о запросах к сети. Чтобы построить систему для сбора такого огромного количества данных и хранения их в пригодной к применению форме, требуются нешуточные усилия. Но это еще не все.
Создавая инфраструктуру сбора данных для отражения атак, мы дополняем и переосмысляем подход, уже взятый на вооружение многими организациями. Чтобы лучше контролировать процессы, происходящие в сети, они хранят и обрабатывают множество событий с применением систем SIEM. И даже на стадии распознавания возникает проблема: оповещений — миллионы. Как сделать, чтобы ничего не происходило до того, как система распознает по-настоящему серьезную угрозу и уведомит о ней безопасников? Никак. Это утопия. На практике оповещение о действительно значимой опасности теряется в миллионах других сигналов, среди тысяч разнообразных инцидентов, каждый из которых забирает часть ценного ресурса. И это только на этапе распознавания. А еще необходимо реагировать на угрозу, и массив информации все раздувается и раздувается. Нужно разобрать эту мешанину и упорядочить данные и только потом доводить их до сведения специалиста по кибербезопасности.
Вне всякого сомнения, повышать качество аналитической информации и улучшать видимость киберугроз необходимо. Однако строить сценарий отражения атаки можно по-разному. Так или иначе, в реагировании на угрозы первостепенное значение имеет взаимодействие с конечными устройствами: на них хранится критически важная информация о происшествиях. Поэтому и нужно, чтобы для расследования инцидентов любые данные с конечных устройств были доступны при первой необходимости.
Но единственный способ избавить безопасников от шквала оповещений — внедрять технологии распознавания и отражения угроз целостно. С нашей точки зрения, соответствующие задачи будут решаться эффективно только при использовании единой среды для сбора и обработки данных, которая позволит сводить воедино поступающие из разных концов сетевой инфраструктуры сигналы. Именно такой подход мы будем использовать при разработке корпоративных решений для распознавания и отражения атак. Наша система задумана как легко приспосабливаемая под конкретные условия, и мы снабдим ее множеством сенсоров. Она будет способна работать с тысячами типов объектов и применять миллионы правил на основании аналитических данных об угрозах. Но мозговой центр у нее будет один.