Тенденцией последнего десятилетия стал рост количества направленных атак, которые разрабатываются с учетом уникального ИТ-ландшафта и организационной структуры компании-жертвы. Такие атаки сложно выявить: среднее время обнаружения успешного взлома – полгода, а многие жертвы не знают о том, что их системы скомпрометированы, многие годы. Зачастую компании узнают о компрометации лишь из внешних источников (СМИ, контрагентов и т.д.). Целью могут быть как денежные средства, так и информационные активы, которые можно продать на черном рынке, — персональные данные, коммерческая информация и т.д. Кроме того, ни одна организация не застрахована от попыток вымогательства, например, посредством криптолокера, блокирующего работу важного приложения.
В ответ на существующие угрозы целевых атак на рынке несколько лет назад появились Anti-APT решения, обеспечивающие раннее выявление аномальных активностей в инфраструктуре. Если в предыдущие годы многие компании «присматривались» к решениям данного класса, то в 2016-2017 годах рынок пришел к пониманию того, что Anti-APT является неотъемлемым компонентом системы информационной безопасности. И здесь важно рассматривать средства защиты от целевых атак не как решения «из коробки». Их внедрение – это комплексный проект по информационной безопасности. Без тонкой настройки под конкретные цели и задачи, интеграции с существующими средствами защиты в инфраструктуре и обучения персонала, инвестиции в решения по защите от направленных атак можно считать выброшенными на ветер.
Внедрения решений класса Anti-APT мы относим к проектам средней и высокой сложности. В список внедряемых продуктов могут входить и средства для мониторинга сетевого трафика, и решения для динамического анализа файлов, и системы для защиты рабочих станций. Обычно проект выполняется поэтапно. Например, сначала защищают почту как основной источник угроз. Далее уже переходят к анализу веб-трафика и внутренних активностей, защите рабочих станций.
По нашему опыту, сегодня заказчики очень щепетильно подходят к выбору Anti-APT решений. И не приобретают их, пока не протестируют на своей инфраструктуре, в условиях, максимально приближенных к боевым. Это позволяет говорить о том, что если компания выбирает для себя решение того или иного производителя, то делает это абсолютно обоснованно и со знанием дела. Поэтому почти любому проекту предшествует пилот или серия пилотов. Причем, для правильного выбора решений под конкретные задачи заказчик тестирует сразу несколько решений. На пилотах стараются максимально приблизиться к продуктивному внедрению. Чем качественнее проработан пилот, тем проще внедрение.
В 2016 году мы инвестировали в направление Anti-APT и активно наращивали экспертизу работы с различными продуктами. Мы сформировали критерии «отбора» на основании часто задаваемых вопросов наших заказчиков и сделали большой обзор по Anti-APT, включающий более 30 параметров, своими силами провели многочисленные тестирования на реальном трафике. В конце 2017 года мы выпустили обновленную версию нашего обзора по Anti-APT решениям: добавили новые «фичи», появившиеся в продуктах вендоров, увеличили число рассматриваемых решений, расширили набор параметров, по которым сравниваем продукты. В этой статье мы рассказываем об основных критериях, которые будут полезны тем, кто выбирает Anti-APT решение сегодня.
Защита почты
На сегодняшний день почта остается основным вектором распространения направленных атак. Мы рекомендуем использовать режим блокировки, так как он препятствует первичному заражению. Практика показывает, что задержка в получении почты на время проверки составляет от трех до пяти минут, что некритично для пользователей.
Защита web-трафика
С точки зрения анализа web-трафика мы рекомендуем использовать режим мониторинга, позволяющий обходиться без задержек в обмене трафиком и исключить воздействие на бизнес-процессы организации. Одновременно решение не видно злоумышленникам, при этом позволяет обнаруживать угрозы на самых ранних стадиях. Блокировку целесообразно осуществлять на уровне рабочих станций, когда скачиваемые файлы перехватываются и проверяются в «песочнице» до их открытия и запуска, или на уровне сетевого оборудования после вынесения соответствующего вердикта для передачи фидов и создания правил блокировки. Наш опыт показал, что использование Anti-APT решения для анализа только HTTP-трафика нецелесообразно. Необходима расшифровка SSL-трафика и анализ его на скрытые угрозы, ведь его доля составляет уже более 50% в общем объеме трафика.
Защита файловых хранилищ
Наряду с защитой почты и мониторингом сетевой активности необходимо проверять файловые хранилища на наличие угроз. Самый простой пример того, как могут воспользоваться незащищенностью файловых ресурсов злоумышленники: контрагенты заказчика подгружают документы на ресурсы компании. Атака идет на контрагента, имеющего недостаточный уровень защиты, а затем уже компрометируется инфраструктура жертвы. Для защиты файловых хранилищ мы рекомендуем нашим заказчикам использовать возможности Anti-APT решений: сканирование загружаемых файлов по расписанию и отправку подозрительных файлов в карантин (удалять их без разбора – не лучшее решение).
Защита рабочих станций
Мы рекомендуем внимательнее относиться к защите рабочих станций. В линейке Anti-APT решения есть агентское ПО для противодействия угрозам «нулевого дня» двух типов: «легкие агенты», совместимые с текущим антивирусом заказчика, и полноценные AV-агенты. В последнее время все большую популярность набирают EDR (Endpoint Detection and Response) агенты, которые позволяют выявлять, изолировать и устранять сложные устойчивые угрозы на уровне рабочих станций. Данный класс решений оперативно выявляет отклонения в поведении приложений и объектов с возможностью быстрого восстановления в случае подтверждения инцидента офицером безопасности, а также предлагает расширенные возможности по расследованию атаки.
Интеграция с существующими средствами защиты
Внедрение Anti-APT решения подразумевает также интеграцию с текущими средствами защиты компании. Например, с сетевыми системами (прокси, межсетевые экраны, IDS/IPS), с WAF, c SIEM в качестве важных источников данных. Поддержка API позволит реализовать собственный сервис автоматизированной проверки объектов в решениях данного класса с получением обратной связи.
JET- ПОЛИГОН ПО ANTI-APT НА Х УРАЛЬСКОМ ФОРУМЕ
Более подробно об Anti-APT решениях мы расскажем на нашем мастер-классе «Jet-полигон по Anti-APT» в рамках Уральского форума. Эксперты компании «Инфосистемы Джет» на практике продемонстрируют работу продуктов различных вендоров сразу по нескольким сценариям: анализ почтового трафика, обнаружение web-угроз, защита от загрузки вредоносов с flash-носителей. Главная цель мастер-класса – оценить возможности каждого из продуктов и выбрать оптимальное Anti-APT решение для защиты своей компании. В «Jet-полигон по Anti-APT» подтвердили свое участие вендоры: Check Point, Fortinet, «Лаборатория Касперского». Каждого участника мастер-класса ждет бонус – свежий обзор-сравнение по Anti-APT решениям!
Следите за датой и временем проведения «Jet-полигон по Anti-APT» в расписании Уральского форума. До встречи!
.png)