Целенаправленные атаки и угрозы «нулевого дня» – это те виды угроз, которые сегодня получают все большее распространение ввиду гораздо большей доступности инструментов, которые используют злоумышленники. Такие атаки могут нанести довольно большой финансовый и репутационный ущерб организации, и, тем не менее, не все заказчики серьезно относятся к защите от них. Рассмотрим действенные способы обезопасить себя от этого типа угроз.
Неизвестные угрозы
Нецелевые атаки «нулевого дня» как правило направлены на широкий круг организаций. Они эксплуатируют недавно обнаруженные или ранее не известные уязвимости в программном обеспечении в расчете на то, обновления для которых еще не выпущены, либо их успели установить не все пользователи. Зарабатывать на подобных взломах становится все проще: вредоносы-шифровальщики сейчас доступны в даркнете по подписке, оплатить которую может каждый желающий, имеющий минимальное представление о том, как они работают.
Попадая в инфраструктуру заказчика, злоумышленник осуществляет выборочное шифрование данных, закрывая доступ к ним сотрудников организации, и требует выкуп за расшифровку. В этот момент деятельность компании уже остановлена, что ведет к финансовым потерям. Даже для тех компаний, которые используют сервисы резервного копирования, восстановление из бэкапа займет какое-то время, а само наличие бэкапа не гарантирует, что хранилище резервных копий не будет зашифровано. Руководство будет прикладывать все усилия, чтобы выйти из ситуации. Расшифровка данных занимает время, но, тем не менее, возможна с привлечением ИБ-экспертов. Чтобы повысить вероятность получения выкупа, хакеры, как правило, похищают информацию. Таким образом преступник не только парализует деятельность компании, но и получает шанс шантажировать жертву путем угроз передачи информации конкурентам или публикации в открытом доступе. Если компания имеет какие-то конфиденциальные данные, публикация которых в открытом доступе может принести финансовый или репутационный ущерб, ее руководство, как правило, идет на переговоры со злоумышленниками и выплачивает иногда довольно солидную сумму выкупа.
Целевые атаки
Жертвами таргетированных атак чаще становятся крупные компании, имеющие большой оборот. Целью злоумышленников при таком виде атак является парализация деятельности компании, кража конфиденциальной информации, обнародование которой может нанести репутационный ущерб организации, либо за которую дорого заплатят конкуренты. В редких случаях хакеров интересует прямое похищение денег со счета компании. Организаторы целенаправленных атак в большинстве случаев достигают своей цели: такое преступление долго и тщательно готовится, изучаются особенности инфраструктуры жертвы, поведение ее сотрудников.
Цепочка действий по организации целевой атаки (ее еще называют KillChain) описывает семь этапов подготовки: разведка, вооружение, доставка, эксплуатация уязвимостей, инсталляция, установление связи с Command&control-серверами и действия в самой инфраструктуре.
На старте злоумышленник производит разведку: изучает состав ИТ-инфраструктуры компании и ее организационную структуру. Большую часть информации хакеры получают из имеющихся открытых источников или инсайдеров внутри организации. Изучаются, в частности, регулярные бюллетени производителей средств безопасности: зная, какие решения организация использует для защиты внутреннего периметра, преступники отслеживают информацию о выявленных в них уязвимостях. Им остается оперативно проникнуть в ИТ-инфраструктуру компании до того момента, когда будут установлены предложенные вендором обновления.
По опыту Softline, вычислить присутствие хакеров на этом этапе очень сложно, так как они очень ограниченно взаимодействуют с внутренними информационными системами организации. Используется, например, сканирование портов, но в общем потоке сканирований очень трудно опознать целенаправленную атаку.
Второй этап – веапонизация или вооружение. Злоумышленник подбирает конкретный инструментарий, которым планирует пользоваться, упаковывает в письма, файлы, ссылки, которые впоследствии отправит жертве.
Далее злоумышленник начинает непосредственное взаимодействие с инфраструктурой организации, например, отправляя фишинговые письма. Важно втереться в доверие, поэтому письмо со ссылкой на зловред может прийти не сразу, а стать итогом какой-то цепочки сообщений. Иногда атакуется не целевая организация, а ее контрагент, ИТ-инфраструктура которого менее защищена. В этом случае письма приходят с адреса проверенного партнера, и представитель компании-жертвы зачастую не замечает подвоха, пока не откроет вредоносную ссылку или файл. В случае перехода по ссылке или открытия файла происходит заражение рабочей станции, и злоумышленник может установить над ней контроль. Зараженная рабочая станция устанавливает взаимосвязь с Command&control- сервером, и хакер может совершать нужные ему действия внутри инфраструктуры компании.
Как обезопасить себя
Зачастую не последнюю роль в процессе организации атаки играет нерасторопность ИБ-специалистов организации. Информация о наличии критических уязвимостей в продуктах крупных вендоров становится известной очень быстро, и производитель сразу же выпускает обновления, позволяющие эти уязвимости закрыть. Но выпустить обновление мало – необходимо, чтобы заказчик установил его у себя. Как показывает практика, часто процесс «буксует» именно на этом этапе. Поэтому очень важно установить регулярные регламенты обновлений, которые позволят поддерживать высокий уровень защиты информационных систем, при этом не замедляя текущие бизнес-процессы.
Softline советует помнить о необходимости регулярного обучения персонала по вопросам информационной безопасности: чем выше уровень их цифровой грамотности, тем менее вероятен тот факт, что они откроют подозрительный файл или ссылку.
Инструменты для отражения атак
Целенаправленные атаки и неизвестные угрозы объединяет тот факт, что их крайне сложно детектировать. С точки зрения каналов распространения они тоже довольно схожи, поэтому и средства, которые направлены на противодействие им, идентичны с той точки зрения того, как они располагаются в нашей инфраструктуре, какие каналы связи мониторят и в какие процессы встраиваются.
Даже если вы регулярно обновляете антивирусное ПО и проводите обучение сотрудников, сложно быть уверенными в надежной защите от целевых и неизвестных атак – хакеры могут проникнуть внутрь вашей ИТ-инфраструктуры, воспользовавшись усталостью ключевого сотрудника. Для эффективного противодействия целевым атакам и угрозам «нулевого дня» Softline рекомендует своим заказчикам использовать специализированные технические решения. Вот, что может войти в их «базовый набор»:
1. Песочницы. Файлы, которые проходят через антивирус, можно разделить на три группы: безвредные, которые он четко видит, известные вредоносные файлы и «серая зона» – неизвестные файлы, оценить степень опасности которых не получается. Справиться с этой проблемой помогают песочницы - специализированные решения для безопасного исполнения программ. Песочницы проверяют все файлы и ссылки, приходящие через почту и web, запуская их в изолированной среде (внутри периметра организации или в облаке). Если после открытия ничего плохого не произошло, файл возвращается в работу, если он оказывается вредоносным, он автоматически уничтожается.
2. Системы анализа трафика (network traffic analysis, NTA). Такие решения позволяют анализировать трафик на уровне сети, обнаруживать попытки эксплуатации уязвимостей и следы попыток связи рабочих станций с внешними станциями, определяют признаки компрометации рабочих станций. Решения класса NTA как правило используются в комплексе с песочницами, обеспечивая первостепенную фильтрацию входящего контента.
3. Эксперты Softline рекомендуют также использовать решения класса EDR, в которые встроен инструментарий, позволяющий обнаружить неизвестное вредоносное ПО не сигнатурными методами (например, путем поиска признаков использования техник эксплуатации). Если новые вредоносные файлы появляются каждый день, то способов эксплуатации уязвимостей все еще единицы. Обнаружив признаки каких-то из известных техник эксплуатации, мы можем сделать вывод о том, что в инфраструктуру компании пытались проникнуть извне. Например, зловреды-шифровальщики совершают ряд характерных действий, не свойственных обычному пользователю – таких как удаление теневой копии файлов. Системы EDR пока не так распространены, как песочницы или межсетевые экраны, но они являются уже достаточно популярными в крупных компаниях, стоимость потери информации для которых очень высока.
Не стоит отказываться от внедрения специализированных средств защиты, если вы считаете, что ваша организация недостаточно крупная, чтобы быть стать жертвой целевой атаки. Даже небольшие организации могут подвергнуться массовой атаке шифровальщика или стать промежуточным звеном в организации преступления против крупного контрагента. Зачастую заказчики уверены, что в инфраструктуре их компании инциденты такого рода никогда не происходили, но это убеждение, как правило, основано на нехватке информации. Как показывает практика работы Softline, определить присутствие злоумышленника внутри системы с использованием только классических средств защиты информации (антивирусов и межсетевых экранов) практически невозможно, так как они могут указать только на косвенные признаки, требуется внедрение специализированных средств детектирования.
На рынке существуют недорогие решения, функционал которых будет достаточным для защиты инфраструктуры. Например, многие производители межсетевых экранов предлагают песочницы в виде облачного сервиса, как одну из подписок в составе межсетевого экрана. Понять, насколько для вашей компании актуальна проблема защиты от неизвестных угроз и оценить существующие на рынке, можно в рамках пилотного проекта с привлечением опытного ИБ-провайдера.