Ваша организация на прицеле: как работают хакерские группировки уровня APT

Гайд по APT-атакам: риски, последствия и стратегии защиты

В нашей рубрике #азбукакибербезопасности мы часто говорим о массовых атаках. В таких случаях злоумышленникам неважно, кто попался в их сети: высокопоставленный сотрудник организации, небольшой бизнесмен или домашний пользователь – главное, чтобы у него были деньги или данные, которыми можно поживиться.

Сегодня говорим об APT, угрозе, которую долго выстраивают, и целью которой являетесь именно вы.

Дадим определение:

APT (англ. Advanced Persistent Threat — «продвинутая постоянная угроза») – это длительная, многоэтапная операция, которую проводят профессиональные группы злоумышленников — часто с государственной поддержкой или в интересах крупного криминала. Их цель — не мгновенная нажива, а незаметное проникновение, закрепление в инфраструктуре и систематическое извлечение ценной информации на протяжении месяцев или даже лет.

Кто находится в зоне риска?

APT-группы выбирают цели, представляющие стратегическую, финансовую или технологическую ценность:

• Государственные органы: министерства, силовые структуры, дипломатические представительства – для сбора разведданных.
• Организации из критически важных отраслей: энергетика, транспорт, связь, коммунальные предприятия – для возможного вывода систем из строя.
• Крупный бизнес: банки, нефтегаз, IT-компании – ради коммерческих секретов, патентов и клиентских баз.
• Научные центры и вузы: чтобы похитить результаты передовых исследований.
• Политические и медиа-структуры: для влияния на общественное мнение или компрометации.
• Промышленные и сервисные экономические лидеры отраслей в регионах – удары по цепочкам поставок и дестабилизация на местном рынке.

Последствия

Цели APT – не быстро снять сливки, а проникнуть глубоко и надолго в сетевую инфраструктуру, долго эксплуатировать её в своих интересах, а затем обрушить с максимальным ущербом для вас и ваших партнёров.

Всё это время от вас будут сливать персональные данные, переписки, записи совещаний и систем видеонаблюдения, пробиваться к каждому вашему модулю управления производственным оборудованием, серверу или персональному компьютеру.

В нужный хакерам момент в вашей организации остановится вообще всё, а некоторое оборудование ещё и выйдет из строя. После таких атак жертвы восстанавливают ресурсы и репутацию годами.

Как строить защиту?

Какой бы искусной и технологичной ни была атака, от неё можно защититься. Выстраивать защиту рекомендуют по каждому из векторов – защита должна быть многоуровневой и непрерывной.

1. Профилактика. Максимально быстро закрывайте дыры в ПО, устанавливайте обновления; сегментируйте сети; настраивайте строгие политики доступа – пользователи не должны получить больше прав, чем им необходимо.
2. Обнаружение. Используйте песочницы (sandbox), чтобы тестировать все внешние ресурсы; оснастите конечные устройства EDR/XDR-системами для анализа событий, а все сети целиком SIEM-системами, чтобы своевременно фиксировать вредную и опасную активность.
3. Реагирование. Регулярно обучайте сотрудников, проводите с ними тренировки и симуляции; проработайте риски и разработайте планы реагирования на инциденты, чтобы действовать быстро и чётко в случае атаки.

Узнать больше о рисках и средствах защиты даже в самых сложных ситуациях можно в АРБИС. Свяжитесь с нами по телефону +7 (8182) 42-02-32, письмом на электронную почту order_cib@arbis29.ru или через сообщения в нашем ВК-сообществе.