В Сан-Франциско заканчивается RSA — ежегодная конференция по информационной безопасности. Разумеется, мы не могли пропустить это мероприятие: наши эксперты выступали в нескольких треках, рассказав, в частности, о современной экосистеме «русскоговорящих» шифровальщиков-вымогателей и о сложностях с атрибуцией целевых атак. Кроме того, на стенде «Лаборатории Касперского» мы поделились нашим видением современного переменчивого ландшафта киберугроз.
Главный тренд: киберпреступность постепенно становится более структурированной. Если раньше мы видели четкое разделение угроз на массовые (не слишком опасные, но портящие жизнь), профессионально-преступные и APT (advanced persistent threats — сложные долгосрочные целевые, обычно государственного уровня), то сейчас границы между ними размываются. Злоумышленники-профессионалы, которыми движет финансовая мотивация, во-первых, все чаще берут на вооружение методы массовых угроз, а во-вторых, нередко выступают теперь в качестве наемников, выполняя заказы заинтересованных сторон, среди которых могут быть и госструктуры. Как следствие, с одной стороны, серьезные инциденты становятся все более масштабными, с другой — сильно затрудняется атрибуция атак. В свою очередь, сложные и эксклюзивные APT уступают место «просто целевым атакам», не обязательно долговременным, нередко с применением старых, однако по-прежнему эффективных троянцев и даже легитимных программ.
Расскажем чуть подробнее о тех методах современных киберпреступников, которые наиболее часто используются в целевых атаках.
Эксплойты
Практически в каждой целевой атаке сегодня применяются эксплойты. Еще недавно внимание привлекали прежде всего эксплойты нулевого дня, которые задействовали еще не обнаруженные уязвимости. Сейчас они не менее опасны, однако неизвестная брешь все-таки явление единичное. Гораздо больше неприятностей в настоящее время причиняют уязвимости первого дня — те, которые только что были найдены и, что самое страшное, обнародованы. Да, разработчики программы, возможно, выпустят соответствующий патч без проволочек, однако за период между раскрытием уязвимости и установкой заплатки злоумышленники успевают атаковать тысячи систем. Не говоря уже о том, что существуют «уязвимости каждого дня»: на массе рабочих машин до сих пор используется крайне устаревшее ПО.
На рынке много средств для борьбы с этой напастью, но мы считаем, что истинной кибербезопасности можно добиться, только комбинируя несколько технологических уровней. В первую очередь необходимо полностью автоматизировать доставку и инсталляцию патчей: это трудоемкая и сложная задача, с которой администраторам далеко не всегда удается справиться своевременно. Однако установка заплаток не панацея. Следует убедиться, что эксплойты не причинят никакого вреда до выпуска патчей. К счастью, техник, которые применяют авторы эксплойтов, гораздо меньше, чем самих эксплойтов. Поэтому в наш арсенал входит несколько эффективных технологий, позволяющих надежно защитить критически важные процессы от злоупотреблений. Мы считаем, что решать эту задачу предпочтительно с помощью неинвазивных технологий поведенческого анализа, которые помогают выявлять действия, характерные для эксплойтов, без внедрения в сами процессы.
Бестелесные вредоносы
Еще одна проблема, которая становится все более актуальной, — бестелесные зловреды, которых нельзя засечь сканированием жесткого диска и которые после выполнения своих задач бесследно исчезают из системы, тем самым мешая расследовать атаку.
Однако мы знаем, как бороться с такими угрозами. Чтобы эффективно выявлять опасности, существующие только в энергозависимой памяти, также необходимо работать на нескольких уровнях. Прежде всего требуется тщательно следить за тем, что происходит в памяти, и убивать процессы, которые делают нечто нехарактерное для легитимных программ. Однако для полноты картины технология, которая следит за процессами, должна иметь доступ к дополнительным данным (например, о репутации URL-адресов, к которым обращается процесс, к списку выявленных контрольных центров и т.д.). Наконец, для обработки и систематизации этой информации обязательно нужны технологии машинного обучения, которые помогают своевременно перерабатывать новые сведения о поведении процессов. Таким образом механизм обнаружения угроз сохраняет высокую эффективность, несмотря на все уловки атакующих.
Легитимные инструменты
Как ни парадоксально, немалую угрозу представляют собой легитимные программы, имеющие собственные интерпретаторы кода. Если вредоносное ПО использует для запуска такие инструменты, его заметно сложнее выявить; в конце концов, сами процессы программ-трансляторов обычно являются доверенными, пусть они и исполняют вредоносные инструкции. Риск выше, потому что такие программы нередко бывают кросс-платформенными.
Один из наиболее опасных инструментов такого рода — PowerShell. Название хорошо отражает суть: у PowerShell-скриптов мощные возможности, например скачивание вредоносных программ, удаленное исполнение кода, запуск эксплойтов или даже бестелесных троянцев. Неудивительно, что в последнее время киберпреступники часто прибегают к ним.
Для того чтобы обезопасить себя от этой угрозы, стоит удалять из систем все не особо нужные интерпретаторы или блокировать их активность с помощью технологии контроля приложений. Также мы предлагаем использовать проверенные защитные решения, в которых применяется многослойный подход с методами поведенческого анализа, учитывающими не только подозрительное поведение интерпретаторов, но и, например, способы исполнения скриптов и их источники.
Разумеется, это далеко не все методы, применяемые злоумышленниками в целевых атаках. Наши эксперты уверены, что для истинной кибербезопасности корпоративной инфраструктуры следует внедрить адаптивную модель защиты. Она подразумевает наличие систем, которые постоянно адаптируются под меняющийся ландшафт угроз. В частности, мы рекомендуем:
- защитить все конечные устройства многоуровневой системой, обеспечивающей предотвращение нежелательной активности (prevention);
- развернуть в инфраструктуре решения для выявления ранее неизвестных угроз;
- убедиться в том, что ваши сотрудники готовы реагировать на информационные угрозы и обладают соответствующим инструментарием, включая возможность привлечения внешних экспертных сервисов;
- регулярно оценивать возможность проникновения в инфраструктуру и проверять безопасность приложений при помощи профессиональных исследователей, а также использовать дополнительные источники информации об угрозах, чтобы предугадывать направление следующей атаки;
- повышать осведомленность сотрудников о современных киберугрозах.
Если эти процессы в вашей компании будут настроены и отлажены, вы будете способны защититься от любой кибератаки, причем не только целевой.