Сегодня все чаще компании сталкиваются с кибершпионажем. Злоумышленники получают несанкционированный доступ к защищенным данным, секретной и конфиденциальной информации или сведениям об интеллектуальной собственности. Они стремятся извлечь экономическую выгоду, добиться конкурентного превосходства или преследуют политические цели.
Отличительной чертой кибершпионажа является скрытность – чем дольше злоумышленник остается незаметным, тем больше сведений он может собрать. Как построить эффективную систему защиты от кибершпионажа, выявить утечки данных и обнаружить вредоносные действия рассказывает Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC.
Жертвами кибершпионов чаще всего становятся крупные корпорации, владеющие ценной информацией. Одним из наиболее известных и масштабных примеров кибершпионажа в мире является атака на цепочку поставок компании SolarWinds, в ходе которой злоумышленники скомпрометировали систему обновлений ПО. В результате атаки вредоносный код был внедрен в обновления, что позволило злоумышленникам получить доступ к конфиденциальной информации более 18 тысяч организаций, использующих зараженное ПО. Среди пострадавших были такие крупные компании, как Microsoft, FireEye, Cisco, а также различные государственные учреждения.
Кибершпионаж также широко распространен в России. По данным аналитиков, в 2023 году доля шпионского ПО в атаках на российские организации составила 45%, в связи с чем вопрос противодействия становится все более острым. Для обеспечения эффективной защиты от кибершпионажа необходимо внедрение комплексной системы информационной безопасности, включающей различные классы решений. Рассмотрим основные шаги, которые предпринимает злоумышленник для получения данных, и определим, как выстроить защиту на каждом этапе. В этом нам поможет известная модель Cyber Kill Chain.
ШАГ 1. Разведка
Первым шагом типичного злоумышленника является разведка. Обычно она ведется по двум направлениям:
Во-первых, разведка по открытым источникам (OSINT — Open Source Intelligence). Из них можно получить информацию об организации, которая ляжет в основу дальнейшей атаки. В сети можно найти контакты сотрудников, финансовые и публичные документы на корпоративном сайте и информационных порталах, публикации в СМИ и социальных сетях, и, разумеется, технические данные – о доменах, IP-адресах, используемых технологиях и инфраструктуре. Для мониторинга инфополя компании в интернете будут полезны системы класса Digital Risk Protection (DRP), которые анализируют открытые источники, включая социальные сети, СМИ, даркнет и другие интернет-ресурсы, чтобы выявлять утечки данных, угрозы фишинга, упоминания бренда и негативные отзывы, позволяя оперативно реагировать на появление рисков. Системы DRP значительно усложняют киберразведку, тем самым снижая риск атаки.
Второе направление – анализ периметра сети организации на наличие уязвимостей, которые могут быть проэксплуатированы. Злоумышленники используют различные сканеры и выявляют доступные из интернета корпоративные ресурсы, их открытые порты и уязвимости. Часто точкой входа злоумышленников становятся уязвимые веб-ресурсы и интерфейсы API. К сожалению, на данном этапе распознать конкретные действия атакующего практически невозможно – периметральные системы подвергаются сканированию постоянно, и данная активность затеряется среди множества других. Снизить риски поможет инвентаризация активов и блокирование доступа к тем ресурсам, которые не должны быть опубликованы в интернете. Для инвентаризации периметра и внешнего сканирования подойдут системы класса ASM (Attack Surface Management).
Если разведка проводится внутренним нарушителем, то обнаружить подобные действия помогут такие системы, как IDS (Intrusion Detection System) для мониторинга сетевых атак в конкретной точке прохождения трафика и NTA (Network Traffic Analysis) для выявления аномального поведения по всей сети.
ШАГ 2. Доставка
Если злоумышленник собрал необходимую информацию и определился с методами атаки, следующий шаг – доставка зловреда на целевую систему. На данном этапе злоумышленник старается любыми способами проникнуть в корпоративную сеть. В ход идут самые разнообразные методы атак от сугубо технических (эксплуатация уязвимостей опубликованных в интернете ресурсов) до социальной инженерии (фишинговая почта, ссылки, социальные сети и мессенджеры).
Для защиты опубликованных ресурсов в первую очередь необходимо закрыть доступ из интернета к неиспользуемым портам при помощи межсетевого экрана. К примеру, если к веб-серверу кроме порта HTTPS также открыт порт для подключения по протоколу SSH, то он может быть использован для несанкционированного доступа к командной строке, поэтому его необходимо закрыть. Далее – использовать функционал IPS (Intrusion Prevention System) для выявления и блокирования сетевых атак, который обычно входит в состав NGFW (Next-Generation Firewall) – межсетевого экрана «следующего поколения». Он сочетает в себе традиционный пакетный фильтр, глубокий анализ сетевого трафика на наличие сетевых вторжений и вредоносного ПО, а также инструменты контроля работы пользователей в сети интернет. Для защиты веб-серверов возможно использовать WAF (Web Application Firewall) – специализированный межсетевой экран уровня приложений. Также не стоит забывать и о своевременном обновлении информационных систем, в рамках которого производители в своих продуктах закрывают известные уязвимости.
Отдельно стоит рассмотреть вопрос аутентификации пользователей из сети интернет. Каждый, кто подключается к корпоративным ресурсам, должен подтвердить, что действительно является тем, за кого себя выдает. В этом процессе большое значение имеют системы многофакторной аутентификации, когда кроме одного фактора, например логина и пароля, пользователи должны предъявить и второй, например, одноразовый код.
Для защиты от атак методом социальной инженерии применяют следующие технологии:
- Антиспам – блокирует вредоносные письма на основании репутационной базы. Он выполняет проверку входящей почты при помощи таких механизмов, как SPF, DKIM, DMARC и использует «черные» и «белые» списки. «Черные» – блокируют нежелательных отправителей, а «белые» – позволяют отправлять сообщения только разрешенным адресатам и блокируют всех остальных.
- Потоковый (сетевой) антивирус – проверяет почту на наличие вредоносных вложений либо загружаемого пользователем контента при помощи сигнатурного анализа.
- Песочница (Sandbox) – выявляет неизвестные угрозы (угрозы «нулевого дня»). Это изолированная среда, в которой файлы проверяются на наличие вредоносного содержимого путем эмуляции их работы. Песочница – «дорогой» ресурс, проверка одного файла может занимать до нескольких минут, поэтому важно проверять только те файлы, которые уже прошли фильтрацию сигнатурным антивирусом.
Самым слабым звеном в системе информационной безопасности является человек. Именно пользователь принимает решение перейти по фишинговой ссылке и открыть вредоносное вложение, поэтому важность обучения киберграмотности сложно переоценить. От того, насколько сотрудники осведомлены и бдительны, зависит эффективность всей системы защиты. На рынке сегодня доступны курсы, системы и приложения для повышения грамотности в вопросах кибербезопасности и цифровой гигиены. Наибольшую эффективность показывают системы класса Security Awareness, позволяющие подобрать нужный для конкретной организации обучающий контент, донести его до пользователя в комфортном и доступном виде, а затем проверить полученные навыки при помощи тестовых атак, к примеру, фишинговой рассылкой. Кроме того, подобные решения имеют возможность интеграции с уже существующими в компании обучающими системами, а некоторые – и с техническими средствами защиты.
ШАГ 3. Заражение
Если вредоносное ПО доставлено на целевую систему наступает стадия заражения. На этом этапе злоумышленники используют уязвимости в системе или программном обеспечении жертвы для выполнения вредоносного кода. В данном случае будет полезен патч-менеджмент для своевременного исправления уязвимостей чтобы исключить возможность их эксплуатации.
В целом, для выявления существующих уязвимостей используются специализированные сканеры, а для управления ими – системы VM (Vulnerability Management).
ШАГ 4. Установка
На этом этапе злоумышленники устанавливают вредонос на скомпрометированной системе для получения долговременного контроля над ней.
Если зловред уже находится на целевой системе, обнаружить его активность помогут решения Endpoint Detection & Response (EDR), которые предназначены для мониторинга и реагирования на киберугрозы на конечных точках – компьютерах, серверах, мобильных устройствах. EDR-системы непрерывно собирают данные с устройств, включая информацию о процессах, файловой системе, сетевой активности и поведении пользователей. Они также используют методы поведенческого анализа, машинного обучения и индикаторы компрометации (IoC) для выявления сложных, целевых атак и угроз «нулевого дня», которые могут обходить традиционные антивирусные решения. EDR-системы позволяют быстро реагировать на обнаруженные угрозы путем изоляции зараженных устройств и предоставляют детализированные данные и аналитические инструменты для расследования инцидентов безопасности.
Выявить вредоносную активность также помогают антивирусы с поведенческим анализатором, которые не только находят известные угрозы, используя сигнатуры, но и анализируют поведение программ и процессов в реальном времени, чтобы обнаруживать и блокировать новый, неизвестный вредоносный код.
Системы контроля целостности оповещают персонал о несанкционированном воздействии. Контроль целостности отслеживает изменения в критически важных файлах и системных конфигурациях и сравнивает их текущие состояние с ранее сохраненными эталонными значениями. Любые несанкционированные изменения могут указывать на наличие вредоносного ПО, которое модифицирует файлы для выполнения своих функций.
Для блокировки запуска вредоносов будут полезны системы контроля приложений, которые используют «белый» список, разрешая выполнение только тех программ, которые были заранее одобрены и добавлены в него. Это предотвращает запуск неизвестных или нежелательных приложений, включая вредоносное ПО.
ШАГ 5. Получение управления
На данном шаге активный зловред закрепился в инфраструктуре и устанавливает связь с Command and Control серверами (C&C). Это может осуществляться как через стандартные сетевые протоколы (HTTP, HTTPS, DNS), так и через специально разработанные злоумышленником. Через них преступники могут отправлять команды на скомпрометированные системы для выполнения различных операций, таких как сбор данных, дальнейшее распространение вредоносного ПО или подготовка к следующим этапам атаки.
Для блокировки попыток коммуникации с C&C-серверами используют системы защиты DNS. Они отслеживают все DNS-запросы и ответы в режиме реального времени, используя эвристические методы, машинное обучение и сигнатуры для идентификации и блокировки подозрительных паттернов и вредоносных доменов. Для контроля действий пользователей в интернете применяется URL-фильтрация, которая на основе базы данных вредоносных ресурсов позволяет заблокировать доступ, сообщив об этом пользователю. Функционал URL-фильтрации может присутствовать на таких классах решений, как NGFW, Web Proxy и в качестве модуля веб-фильтрации антивируса на устройстве пользователя. Кроме того, системы класса NTA также будут полезны для выявления в сетевом трафике попыток связи с C&C-серверами.
ШАГ 6. Выполнение действий
Этап представляет собой заключительный шаг в цепочке атак, на котором злоумышленники достигают целей – в данном случае, это сбор информации и ее передача за пределы контролируемой зоны.
Для предотвращения неавторизованного доступа к информации используют средства защиты от несанкционированного доступа, которые контролируют, что каждый пользователь имеет доступ только к разрешенным ему системам, данным и ресурсам.
Для выявления аномалий в поведении пользователей применяют системы класса User and Entity Behavior Analytics (UEBA), которые анализируют их действия и сравнивают с нормальными шаблонами. UEBA использует методы машинного обучения и поведенческой аналитики для создания базовых сценариев типичного поведения пользователей, а затем отслеживает отклонения от них, чтобы выявить потенциальные угрозы.
В случае успешного сбора информации необходимо предотвратить ее передачу злоумышленнику при помощи системы Data Loss Prevention (DLP). DLP-системы мониторят и контролируют данные при их передаче, использовании и хранении, обеспечивая защиту от утечек информации как от внешних нарушителей, так и от внутренних. Эти системы могут автоматически обнаруживать и блокировать подозрительные коммуникации, а также уведомлять администраторов о потенциальных инцидентах.
Заключение
Мы рассмотрели шаги, которые предпринимает злоумышленник для кражи информации и основные системы защиты, которые помогают это предотвратить. Такие системы действительно работают – в нашей практике был случай: для демонстрации возможностей системы EDR мы проводили пилотное тестирование у заказчика. После установки агентов на устройствах тестовой группы и сбора телеметрии EDR выявил активный кейлоггер, который уже находился на рабочей станции и собирал вводимые пользователями пароли. Другой пример – внедренная у заказчика песочница в первую неделю работы заблокировала шифровальщик, который главный бухгалтер пытался загрузить по фишинговой ссылке.
Данные примеры весьма показательны, но, к сожалению, ни одно средство защиты не способно на 100% защитить от атак, поэтому важное значение имеет комплексный, эшелонированный подход к построению системы информационной безопасности, сочетающий в себе как технические, так и организационные методы. Такой подход обеспечивает многоуровневую защиту информационных активов и снижает риски не только кибершпионажа, но и других типов атак.
Автор: Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC.
Оригинал публикации на сайте CISOCLUB: "Как защититься от кибершпионажа".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
