Исследовательский центр Positive Technologies подготовил отчет по количеству кибератак во втором квартале 2022-го года: 71% - объем целенаправленных атак, большая часть из них – это именно APT-атаки повышенной сложности.
От злоумышленников, как и прежде, страдают госучреждения - 46% случаев. Отмечается рост атак на промышленные предприятия, каждый инцидент влечет за собой нарушения работы и утечку конфиденциальных данных. Зафиксированы громкие атаки на транспортные компании, в частности на сектор авиасообщения.
Сейчас предприятия особенно уязвимы: бороться с преступниками приходится в ситуации, когда многие инструменты подлежат замене. Эксперты “Максофт” составили обзор современных российских ANTI-APT средств.
Что относится к ANTI-APT-решениям?
Для борьбы с АPT-атаками разработано несколько решений с разной архитектурой, но основная часть строится на трех типах технологий.
- Песочницы (Sandbox)
Песочница - это специализированная среда, в которой проводится динамический анализ вредоносного ПО, которое маскируется различными способами. Основная функция песочницы - открыть новый файл или программу на “отдельной территории”,изолированной от инфраструктуры. Заведомо вредоносный код до песочницы не доходит, так как его отфильтрует еще межсетевой экран или сигнатурный анализ. А вот если эти средства защиты пройдены, но решение о безопасности не принято - код попадает в песочницу.
- EDR (Endpoint Detection & Response)
Эти решения защищают конечные узлы корпоративной сети. Задача EDR - обнаружить вторжение, оперативно сформировать ответ и дать безопасникам возможность определить размер угрозы, ее источник, зафиксировать данные, чтобы позже изучить особенности инцидента. Такое ПО способно проводить подробный анализ событий, искать угрозы, собирать данные мониторинга состояния конечных устройств. Антивирус видит только то, что происходит на конкретном устройстве, а EDR работает по всей системе. Так, удаленное подключение, состоявшееся на одной машине, антивирус может счесть безопасным, а EDR поймет, что сессии осуществляются на нескольких устройствах в одно время, отметит этот факт как подозрительный и оповестит службу безопасности. Некоторые EDR-системы могут блокировать подозрительные рабочие станции или откатывать настройки до состояния компрометации. Есть также возможность записывать и хранить сведения о действиях пользователей, чтобы потом исследовать.
- XDR (Extended Detection and Response
Технология, расширяющая возможности EDR путем увеличения спектра источников данных. Для XDR характерна постоянная доставка обновлений, новых правил и т.д. Технологию можно представить как живой организм, который растет и развивается, изменяясь с появлением новых угроз. XDR получает информацию с сетевых устройств, почты, облака, учетных записей и т.д. Соответственно, и реакции будут более быстрыми. Каждый вендор сам выбирает продукты для XDR, и не все наименования относятся к Anti-APT.
- NTA (Network Traffic Analysis
Эта технология анализирует сетевой трафик на периметре и внутри сети. Анализ настолько глубок, что угроза распознается даже в зашифрованном трафике. Решения класса NTA отслеживают трафик и коммуникации внутри корпоративной сети и применяют различные техники (поведенческий анализ, машинное обучение) для того, чтобы быстро обнаружить, проанализировать и обработать угрозы, которые в противном случае оставались бы скрытыми. NTA может применяться в сетях любого масштаба, равно как и любой архитектуры: локальной, облачной, гибридной.
- DDP (Distributed Deception Platform)
Это решение строится на так называемой “технологии обмана”, когда создаются отдельные хосты - Honeypot(“горшочки с медом”), которые должны обмануть киберпреступников. Если фиксируется атака, то система сохраняет информацию для анализа. DDP - это следующий уровень, технология, которая работает в двух слоях инфраструктуры.Первый - это реальная среда, а второй - эмулированная, то есть созданная искусственно, но расположенная на физических устройствах. Если злоумышленник распознает ловушку и проникнет в реальную инфраструктуру, то велика вероятность, что ему помешают “горшочки с медом”, которые приведут в специальные точки. Так преступник себя проявит и раскроет факт пребывания в системе. DDP устроена с точки зрения хакера, она обнаруживает угрозу с первых шагов, это помогает выиграть время и быстро отреагировать на инцидент. Технология DDP - часть системы по выстраиванию кибербезопасности, она должна быть интегрирована с EDR, Sandbox, системами SIEM, SOAR и др.
Российские ANTI-APT-решения
Kaspersky – Symphony XDR
Разница подходов к защите в рамках Kaspersky Symphony:
- Общепризнанная фундаментальная защита класса EPP (Endpoint Protection Platform) от массовых киберугроз разной степени сложности, поддерживающая все типы конечных точек: мобильные, физические и виртуальные.
- Мощное решение класса EDR (Endpoint Detection and Response), разработанное для экспертов в области ИБ, которое в синергии с включенной базовой защитой конечных точек (EPP) позволяет автоматически и проактивно искать угрозы, проводить расследования инцидентов и устранять сложные атаки, направленные на инфраструктуру конечных устройств. Комплексная защита конечных точек на базе единого агента позволяет экономить на обслуживании и поддержке установленных продуктов и минимально влияет на производительность
- Комплексная платформа класса XDR (Extended Detection and Response) для мониторинга событий ИБ, проактивного поиска угроз и реагирования на сложные инциденты в рамках всей инфраструктуры. Kaspersky Symphony XDR защищает многочисленные точки входа потенциальной угрозы (конечные точки, сеть, почта), повышает киберграмотность рядовых сотрудников и легко встраивается в существующую систему безопасности. Также этот уровень помогает соответствовать требованиям регуляторов, в том числе благодаря модулю ГосСОПКА.
- Управляемая экспертная защита мирового уровня с включенной защитой класса EPP и базовыми возможностями EDR (Endpoint Detection and Response). Мониторингом занимаются эксперты «Лаборатории Касперского», а внутренняя команда ИБ может держать руку на пульсе происходящего и, к примеру, сканировать инфраструктуру на индикаторы компрометации, проводить анализ первопричин и реагировать на угрозы
PT XDR
Решение класса Extended Detection and Response для выявления киберугроз и реагирования на них. Эффективный и удобный инструмент для SOC-команд.
Состав решения: 1. PT Endpoint Detection and Response
PT Endpoint Detection and Response — EDR-компонент, обеспечивающий выявление угроз и реагирование на конечных точках организации. Входит в базовый комплект компонентов для PT XDR.
2. MaxPatrol SIEM- система мониторинга событий ИБ и выявления инцидентов. В систему регулярно передаются практические знания экспертов Positive Technologies о новых видах атак и способах их выявления, что позволяет детектировать самые актуальные угрозы. Входит в базовый комплект компонентов для PT XDR.
3. PT Sandbox — песочница, которая позволяет защитить компанию от целевых и массовых атак с применением современного вредоносного ПО и угроз нулевого дня. Она поддерживает гибкую удобную кастомизацию виртуальных сред для анализа и обнаруживает угрозы не только в файлах, но и в трафике. Входит в базовый комплект компонентов для PT XDR.
4. MaxPatrol VM — система нового поколения для управления уязвимостями. Решение позволяет выстроить полноценный процесс vulnerability management и контролировать его как в штатном режиме, так и при экстренных проверках.
5. PT Network Attack Discovery — система глубокого анализа сетевого трафика (NTA) для выявления атак на периметре и внутри сети. PT NAD знает, что происходит в сети, обнаруживает активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях.
6. PT Application Firewall — система защиты, которая обнаруживает и блокирует веб-атаки, включая атаки из списка OWASP Top 10 и классификации WASC, L7 DDoS и атаки нулевого дня.
7. PT Industrial Security Incident Manager — система непрерывного мониторинга защищенности сети АСУ ТП и обнаружения кибератак на ее компоненты. Может быть использован как компонент PT XDR для промышленных предприятий.
Dr.Web vxCube
Интеллектуальный интерактивный анализатор подозрительных объектов («песочница»).
Возможности:
- Удаленная онлайн-проверка подозрительных объектов на вредоносность путем воспроизведения их поведения в изолированной виртуальной среде на серверах «Доктор Веб»
- Проверка в среде, заданной пользователем
- Одновременный анализ одного объекта в WindowsXP x32, Windows 7 x32/x64, Windows 10 x64 и в различных версиях приложений. Подробный список программного обеспечения на виртуальных машинах – в документации
- Анализ приложений для мобильной платформы Android в формате APK (включая списки разрешений и намерений — специальных механизмов, описывающих выполняемые программой операции и активности)
- Анализ удаленных сетевых ресурсов на вредоносность с использованием баз Родительского контроля Dr.Web
- Возможность воспроизведения любого действия подозрительного объекта в виртуальной среде для наблюдения за ним
- Технический отчет о поведении вредоносной программы (в том числе в видеоформате), а также карта ее сетевой активности по результатам проверки
- Отчеты о предыдущих проверках в личном кабинете пользователя
- Выгрузка индикаторов компрометации в STIX/MAEC
- Возможность загрузки .msi файлов
- Возможность интеграции с внутренними системами компании и получение автоматического ответа о вредоносности файла
- Возможность подключиться к виртуальной машине с помощью VNC-клиента (Virtual Network Computing) и влиять на процесс анализа
- Возможность формирования специальной утилиты на базе Dr.Web CureIt! для нейтрализации конкретной угрозы, обнаруженной в vxCube
Проверяемые объекты
- Исполняемые файлы JAVA
- Исполняемые файлы Windows
- Исполняемые файлы Android
- Файлы Acrobat Reader
- Скрипт-файлы
- Документы и служебные файлы Microsoft Office/OpenOffice
Почему решения Anti-APT необходимы для обеспечения информационной безопасности.
1. Объектом кибератаки может стать как огромная корпорация, так и мини-компания с небольшой компьютерной сетью.
2. Киберпреступники постоянно совершенствуют свои инструменты, стараясь обойти все виды защит.
3. Кибератака всегда несет финансовые и репутационные потери. По прогнозам RTM-GROUP, к концу 2022-го года ущерб от кибератак в России может достичь 165 млрд рублей.
4. Информационная безопасность в приоритете у государства, защита критической инфраструктуры контролируется законом, при этом регуляторы делают упор на реальную, а не “бумажную” безопасность.
“Максофт” - эксперт по информационной безопасности.
- “Максофт” - системный интегратор, оказывающий полный спектр IT-услуг. Вы решаете все вопросы, касающиеся инфраструктуры, в режиме “одного окна”.
- “Максофт” более 15 лет на рынке, за это время собран портфель решений по кибербезопасности, налажены прочные связи с производителями, что исключает задержки поставок.
- В штате “Максофт” более 150 специалистов, регулярно повышающими квалификацию. Решения, которые вам подберут, будут самыми актуальными на момент сотрудничества. У вас будет полная информация по приоритетности внедрения, чтобы ваша защита была реальной, а не “бумажной”.
- Опыт специалистов по информационной безопасности позволяет оперативно решать задачи клиента. Экспресс-анализ занимает 7 дней.
- “Максофт” не предлагает типовых решений, каждый проект уникален и разрабатывается под заказчика, его задачи, бюджет и темп работ.
Связаться с экспертами "Максофт" можно по телефону: +7 (8412) 34-34-34 или электронной почте [email protected]