В рубрику "Кибервойна" | К списку рубрик | К списку авторов | К списку публикаций
Первый и самый очевидный ответ – деньги: лидирует по числу атак финансовый сектор – более 2 млрд руб. было похищено в ходе атак на российские банки в прошлом году. Однако результатом длительных целенаправленных атак могут стать похищение Know-How, кража стратегических планов и других конфиденциальных документов, которые могут быть использованы в конкурентной борьбе.
Осуществляя целенаправленную атаку, хакеры редко идут напрямую к компьютерам и базам данных с интересующей их информацией, поскольку обычно сегменты с конфиденциальными данными серьезно защищены. Бытует мнение, что для выявления целевых атак необходимо использовать подход типа Cyber Kill Chain, который включает семь шагов: разведка, вооружение, доставка ВПО, исполнение эксплоита, установка ВПО, создание канала управления (C&C), достижение цели атаки. Эта модель весьма привлекательна: она понятна и однозначно трактует действия злоумышленников. Однако в жизни ожидаемых результатов не приносит, потому что, во-первых, увидеть большинство описанных действий в текущей инфраструктуре невозможно, а во-вторых, хакеры редко действуют в соответствии с прописанной последовательностью шагов. Варианты реализации АРТ множатся с каждым днем.
Для защиты от APT-атак сегодня существует целый класс средств защиты, в основном направленных на предотвращение попадания зловредного ПО внутрь периметра организации. Тем не менее обнаружение аномалий при скрытных действиях хакеров остается довольно сложной задачей, и средний срок жизни APT на сегодняшний день составляет до трех лет. При этом практика показывает, что признаки присутствия АРТ с достаточной эффективностью могут выявлять системы управления событиями и инцидентами информационной безопасности (SIEM).
Как правило, сеть для злоумышленника сразу после проникновения выглядит "черным ящиком". Чтобы получить информацию об инфраструктуре, он запускает утилиты для сканирования сети, которые обычно медленно и незаметно для устройств безопасности опрашивают узлы для построения карты сети. И вот эта-то сетевая активность внутри периметра, направленная на закрытый порт или узел с выключенными службами, – своего рода индикатор злонамеренной деятельности. Для ее обнаружения MaxPatrol SIEM может собрать информацию с помощью специального сетевого компонента Network Sensor либо воспользоваться данными, полученными в результате интеграции с направленным внутрь межсетевым экраном или другим оборудованием, отдающим информацию о сетевой активности (Netflow). Поскольку MaxPatrol SIEM постоянно аккумулирует информацию обо всех активах в ИТ-инфраструктуре, на нем можно настроить правило оповещения о попытках обращения к хосту с выключенными сервисами, закрытыми портами или не той операционной системы.
Еще один кладезь информации, позволяющей детектировать следы АРТ-групп, открывается при подключении к SIEM-системе средств антивирусной защиты. Этот сценарий по итогам внедрений и пилотирования MaxPatrol SIEM на протяжении последнего года неоднократно доказывал свою эффективность. Почему? Потому что первое, где можно обнаружить следы активности АРТ-групп при любом расследовании инцидента, – логи антивирусных центров. В большинстве случаев работа антивируса ограничивается блокировкой выявленного ВПО, но он никак не сигнализирует о том, что какой-то вирус обнаруживается на одном и том же компьютере ежемесячно уже в течение года, и не присылает сообщение о том, что, скажем, нашел следы той или иной АРТ-группы. Однако данные о блокировках, которые хранятся в антивирусных центрах в течение нескольких лет, позволяют выявить специфичные паттерны, которые сигнализируют о следах конкретных групп. А если вспомнить о средней продолжительности жизненного цикла АРТ-группы в инфраструктуре компании, порой исчисляющейся годами, то такая историческая глубина хранения данных иногда позволяет найти следы АРТ даже в тех компаниях, которые до этого были уверены, что не представляют интереса для организаторов целенаправленных атак.
Еще один способ выявления APT – подключение к SIEM журналов сетевого оборудования с последующей агрегацией и группировкой событий с сетевого оборудования, что позволяет увидеть ТОП-10 самых редких запущенных/созданных служб. Такие службы с высокой долей вероятности могут оказаться следами так называемых хак-тулзов, которые, в свою очередь, для SIEM-системы также являются индикатором целенаправленной атаки.
Злоумышленники, проникнув в сеть, нацелены остаться незамеченными как можно дольше и поэтому нередко тем или иным способом манипулируют с работоспособностью самих средств защиты и с настройками логирования. Для контроля операций такого типа MaxPatrol SIEM выделяет события в группы и оповещает о них ИБ-специалиста. В том числе можно буквально одним кликом получить данные по всем критичным операциям или настройкам, выполненным на всем сетевом оборудовании, вне зависимости от того, кем они были выполнены и каков масштаб инфраструктуры. Фильтры на критичные операции, выполняемые на том или ином оборудовании, являются в MaxPatrol SIEM автоматически преднастроенными. Такие операции, как зачистка логов, остановка или изменение уровня логирования на сетевом устройстве, сервере или рабочей станции, в числе прочего могут являть и признаками АРТ.
Нередко, кстати, оказывается, что попытки проникновения в корпоративные приложения напрямую отследить невозможно. Просто потому, что данные приложения играют роль "черного ящика" уже для самой SIEM-системы. Особенно это актуально для in-house-разработок, где логи нормализовать для SIEM часто не представляется возможным. Поэтому MaxPatrol SIEM может отслеживать и выявлять нелегитимную активность на таком бизнес-приложении за счет анализа логов "обвязки" приложения. Например, логов систем класса Web Application Firewall, позволяющих отслеживать, скажем, попытки логина в Web-приложениях, в том числе с использованием брутфорса. Подбор пароля все еще остается одним из самых успешных методов проникновения злоумышленника в инфраструктуру организации: согласно исследованиям Positive Technologies, 53% атак, в результате которых был получен доступ к ресурсам внутренней сети, приходится на использование словарных учетных данных, в 44% обследованных компаний словарные учетные данные использовались для доступа к общедоступным Web-приложениям.
Интеграция SIEM-системы со СКУД и активация учетной записи пользователя, в свою очередь, позволят выявлять подозрительные и противоречащие друг другу активности, которые также могут быть следствием хакерской активности. Например, если по данным СКУД сотрудник находится на территории организации, но при этом из-под его учетной записи имеется удаленное VPN-подключение. Или, скажем, если одна и та же учетная запись используется одновременно на нескольких компьютерах, то это может быть знаком, что она взломана и злоумышленник осуществляет проникновение через нее.
Успешное расследование инцидентов, обнаружение их взаимосвязей и следов злоумышленников в работе аналитика SIEM зачастую осложняет тот факт, что ИT-инфраструктура постоянно меняется и актуальная еще год назад картина может существенно отличаться от сегодняшней (а порой даже полностью противоречит). С учетом срока жизни зловреда в инфраструктуре такие изменения открывают киберпреступникам практически неограниченные возможности для ведения скрытой активности внутри сети. Поэтому при создании MaxPatrol SIEM были учтены недостатки существующих систем и применены новые подходы: внутри системы информация об инфраструктуре постоянно обогащается данными из новых событий, результатов сканирований, сетевого трафика и агентов на конечных точках, создавая полную ИT-модель предприятия в любой момент времени. Таким образом, именно глубокие знания о состоянии актива в настоящем и в прошлом являются основой для выявления аномалий и следов APT-групп.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2017