Борьба с последствиями целевых атак: все может пойти не так

Целевые атаки на коммерческие компании могут различаться по сложности, целям и точкам входа в корпоративную инфраструктуру, но у них есть одна общая черта: их очень трудно выявить.

Целевые атаки на коммерческие компании могут различаться по сложности, целям и точкам входа в корпоративную инфраструктуру, но у них есть одна общая черта: их очень трудно выявить. Мало того, ликвидация их последствий тоже дело весьма непростое. Время тут играет ключевую роль. У эффективного подхода к устранению последствий есть два ключевых ингредиента — технологии и экспертные знания.

Что такое экспертные знания

Говоря про экспертные знания в контексте информационной безопасности, чаще всего подразумевают понимание того, каким образом бизнес-инфраструктура может быть атакована. Разумеется, понимание модели угроз — очень важная составляющая, но этим дело не ограничивается. Учитывая, что ИБ-подразделения компаний тратят до 80% своих ресурсов на технологии предотвращения заражений, противодействие атаке в активной фазе может оказываться весьма проблемной задачей. Киберпреступники отлично умеют заметать следы, так что, даже когда их атака выявлена, компания оказывается в непростом положении: зачастую остается неизвестно, сколько машин было скомпрометировано и к каким данным был получен доступ. Не говоря уже о том, что в инфраструктуре может остаться точка уязвимости, через которую злоумышленники смогут повторить атаку.

На самом деле экспертные знания должны включать не только понимание потенциальных и реальных угроз для информационной инфраструктуры компании, но и владение практическими методами сбора полных сведений о текущей атаке. Однако для грамотного сбора сведений требуется и соответствующий инструментарий, который может быть как разработан внутри компании, так и предоставлен сторонними поставщиками решений по информационной безопасности.

Правильные технологии

Даже небольшая компания производит огромный объем данных, передает и принимает терабайты информации, критичной для бизнеса. Ежедневно устанавливаются миллионы соединений — через электронную почту, службы мгновенного обмена сообщениями, социальные сети и облачные сервисы. Атака может скомпрометировать лишь часть этих соединений, но, даже если наружу выплывет небольшой объем данных, это может привести к крупным неприятностям. Киберпреступники знают миллионы разных способов проникнуть в сетевой периметр, поэтому, даже несмотря на применяемые традиционные методы защиты, время от времени атаки оказываются успешными. И это создает потребность в других технологиях.

Когда мы разрабатывали платформу Kaspersky Anti Targeted Attack, мы сосредоточились на решении конкретной задачи. Мы понимали, что для того, чтобы выявлять сложноуловимые признаки, способные выдать деятельность киберпреступников, необходимо слить воедино защитные технологии, передовые методы статистического анализа и средства машинного обучения. Ни один эксперт по безопасности не способен контролировать все на свете, так что здесь на помощь приходят машины: именно они могут контролировать передачу данных, анализировать обмен информацией в поисках аномалий, формировать из отдельных фрагментов общую картину и поднимать тревогу, если на это есть серьезные основания.

Допустим, компьютер одного из сотрудников стал устанавливать соединения с каким-то прежде неизвестным сервером в далекой стране. Сам по себе этот факт с равной долей вероятности может оказаться и признаком заражения, и результатом нормальной работы. А что, если эти соединения устанавливаются в три часа ночи, когда в офисе никого нет? А для чего недавно на этот компьютер скачивался какой-то прежде неизвестный исполняемый файл? Совпадение таких косвенных признаков — явный повод оповещения службы безопасности.

Когда бизнес пытается защититься от целевых атак, количество неизвестных величин оказывается слишком большим: методов атак — миллионы, а количество устройств, на которые эти атаки направлены, исчисляется тысячами. Единственный действенный метод защиты — собирать огромные объемы данных и оперативно обрабатывать их, используя все имеющиеся знания о постоянно меняющемся ландшафте угроз.

Такой метод защиты требует по-настоящему экспертных знаний в сочетании с мощными технологиями. Даже если ваша автоматическая система выявит целевую атаку, для защиты от нее потребуются навыки и знания эксперта в области кибербезопасности. При этом эффективность принятых контрмер напрямую зависит от того, насколько хорошо данная атака задокументирована на каждом этапе. А за это отвечают уже технологии.

В прошлом году каждая пятая коммерческая организация становилась жертвой целевых атак, причем нанесенный этим компаниям ущерб составлял от $38 тысяч до $500 тысяч. Так что сейчас самое время перейти к активным действиям и через комбинацию экспертных знаний и передовых технологий обеспечить себе максимально эффективную защиту.

Советы