Расскажем о целевых атаках подробнее, разберем, с чего они начинаются и как можно от них защититься.
Сложно найти в мире IT более зловещий и в тоже время более мифологизированный термин, чем целевые атаки. Каждая APT-атака, ставшая достоянием общественности, немедленно превращается в информационный повод и активно обсуждается как в профессиональной среде, так и за ее пределами. Но что же это такое на самом деле? Давайте разбираться вместе!
Изначально термин APT (Advanced persistent threat) применялся к киберугрозам военно-политического характера, целями которых становились объекты критической инфраструктуры, органы государственной власти и военные ведомства. В наши дни в СМИ и популярной литературе это понятие трактуют более широко и применяют ко всем атакам, связанным с целенаправленным воздействием на информационные системы конкретной организации.
Главная опасность целевых атак кроется в том, что атакующий не действует наобум, а выстраивает индивидуальную стратегию нападения, выискивая бреши в защите на основе заранее полученных разведданных, которые могут включать не только сведения о технических аспектах функционирования организации, но и информацию об активности её сотрудников, например, о времени, когда все они отправляются на обеденный перерыв. Для целевой атаки создаются уникальные программные инструменты, учитывающие особенности инфраструктуры и применяемых средств защиты. Подготовка к атаке и ее реализация могут занимать годы. Все это время атакующие будут шаг за шагом продвигаться вглубь атакуемой системы, изучая ее строение и механизмы работы.
Принцип работы большинства известных систем противодействия APT-атакам основан на идее мониторинга ситуации внутри защищенного периметра организации и выявлении возможных признаков целевой атаки. Таковыми могут выступать различные аномалии в работе пользователей и сетевой инфраструктуры. Подобные решения могут пополнить арсенал полезных инструментов обеспечения ИБ — но лишь в том случае, если в компании выстроена четкая эшелонированная и многокомпонентная система обороны, включающая средства обеспечения безопасности рабочих станций и серверов, анализаторы файлов, поступающих извне, контроль электронной почты и сетевого трафика, а также тщательно настроенные политики безопасности. И, конечно же, не стоит думать, что специализированная система позволит сделать организацию неуязвимой для злоумышленников — как ни крути, в информационной безопасности не существует «серебряной пули».
Защита каждого рабочего места
И вот тут мы уходим от специализированных систем защиты от целевых атак к средствам обеспечения безопасности конечных пользователей, главным из которых являются антивирус. Именно он становится первым рубежом обороны на пути атакующих.
Ключевым требованием к использованию антивируса для защиты от целенаправленных атак является необходимость наличия у него широких возможностей несигнатурного детектирования вредоносной активности. Говоря простым языком, антивирус должен быть способен выявлять незнакомые ему виды и сборки вредоносного ПО, обнаруживая аномальную активность на атакуемой рабочей станции и немедленно пресекая её.
Dr.Web является одним из пионеров внедрения несигнатурных методов обнаружения вредоносной активности и неоднократно на практике демонстрировал их эффективность. Достаточно вспомнить хотя бы нашумевшую эпидемию червя-шифровальщика WannaCry, в ходе которой Dr.Web показал себя во всей красе, не допустив заражения тысяч компьютеров новой, никому не знакомой и чрезвычайно опасной вредоносной программой.
Антивирусное решение для бизнеса Dr.Web Enterprise Security Suite обеспечивает комплексную защиту всех узлов корпоративной сети и конечных устройств пользователей, включая их личные компьютеры и мобильные устройства, используемые для работы, и позволяет выстроить централизованное управление политиками безопасности, сигнализируя о выявленных инцидентах. Вы можете интегрировать Dr.Web Enterprise Security Suite в имеющуюся инфраструктуру, а можете сделать её ядром системы безопасности, позволяющим осуществлять мониторинг вредоносной активности, обнаруживая и перекрывая возможные каналы компрометации вашей информационной инфраструктуры.
В одних случаях это позволит полностью пресечь атаку, в других – выиграть время, необходимое на её анализ и выработку стратегии защиты. Самое главное – в отсутствии защиты рабочих станций конечных пользователей вся ваша оборона может в один миг, словно карета Золушки, превратиться в тыкву, вне зависимости от того, используете вы специализированные решения для защиты от атак.
Итак:
1. Не пренебрегайте защитой устройств конечных пользователей: всего одна незащищенная рабочая станция может поставить под угрозу безопасность всей компании.
2. Не позволяйте пользователям самостоятельно контролировать параметры защиты рабочей станции – все изменения должны проводиться централизованно в соответствии с политиками безопасности. И уж конечно пользователь не должен иметь возможность самостоятельно отключить антивирусное ПО.
3. Обеспечьте контроль за инцидентами на рабочих станциях сотрудников. В Dr.Web Enterprise Security Suite сведения обо всех аномалиях и обнаруженных вредоносных программах попадают в Центр управления. Любой выявленный инцидент должен быть тщательно изучен и проанализирован.
