Информационная безопасность как сервис

Угрозы нулевого дня и целевые атаки

15.06.2015

Уже давно вредоносные программы перестали быть инструментом для совершения мелких пакостей, которые преследуют задачу организовать бот-сеть для рассылки спама или, в крайнем случае, украсть у пользователя пароль от интернет-банка для проведения несанкционированной операции. Для компаний обычные вирусы могут рассматриваться как «мелкое вредительство», не порождающее серьезных рисков. В свою очередь и для злоумышленников данный способ поживиться не представляет особый интерес, т.к. существует множество доступных средств защиты (антивирусные средства, приложения с повышенными мерами контроля за выполнением финансовых операций и пр.), которые не позволяют преступнику извлечь большую выгоду от атаки.

Цель оправдывает средства
Никколо Макиавелли

В эпоху тотальной информатизации и технического прогресса, когда миллиарды долларов хранятся в системах электронной коммерции, было бы наивно предполагать, что нет преступников с высокими компетенциями, которые не захотели бы данные средства похитить. На сегодняшний день наблюдается четко оформленный и увеличивающийся тренд использования целевых атак на инфраструктуры средних и крупных компаний.

Целевые (таргетированные) атаки (APT, Advanced Persistent Threats) – это атаки (вредоносное ПО), направленные на конкретные объекты или отрасли. Они учитывают специфику компании, к которой применяются или к сфере деятельности компании в целом.

Все атаки такого рода содержат в себе ряд признаков:

  • Отраслевая направленность (вирус/атака применяется в определенной отрасли, для другой она будет неактуальна);

  • «Нетривиальный» программный код. Как было сказано ранее написанием заказных вирусов занимаются высококвалифицированные специалисты. При написании они учитывают большинство нюансов, на которые могут сработать стандартные средства защиты. По этой причине, например, сигнатурные антивирусные средства в большой долей вероятности не смогут детектировать такой программный код как вредоносный. По этой причине злоумышленник может долго оставаться в системах незамеченным и собирать необходимую статистику для успешного завершения атаки.

Обычно злоумышленники используют для реализации таргетированных угроз эксплойты «нулевого дня».

0day (англ. Zero day) — термин, обозначающий не устранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.

Самая главная задача эксплойта - незамеченно попасть внутрь корпоративного периметра, закрепиться, по возможности устранив антивирусное средство, и подтянуть всю оснастку злоумышленника для комфортной и «продуктивной» работы.

Как показывает статистика за 2013-2014 годы, злоумышленники в этом направлении добились огромных побед. Сначала Zeus, а потом Carberp, как в России, так и во всем мире стали настоящим бичем. Объем хищений только с использованием этих двух семейств вирусов за год составил несколько миллиардов долларов. Средняя удачно реализованная атака на компанию кредитно-финансового сектора в России составила 30 миллионов рублей.

Такая подозрительная активность последних лет связанна с историей об утечке в сеть исходников очень «качественного» вредоносного софта.

«Исходники известного банковского трояна Carberp утекли в открытый доступ. Исходные коды Carberp в RAR-архиве размером 1,88 ГБ сейчас легко находятся Google’ом. В распакованном виде проект содержит около 5 ГБ файлов с подробным листингом. Очевидно, теперь можно ожидать новой волны креатива со стороны начинающих, так и продолжающих вирусописателей. Кто-то даже пошутил: “Утечка Zeus была как бесплатный автомат. Утечка Carberp — это уже бесплатный рокет-ланчер”… », эксперт по ИБ, автор журнала «Хакер», Денис Мирков

«Так что же теперь делать?!» - Вопрос, непроизвольно подкатывающий к горлу любого безопасника. Здесь вспоминается цитата, сказанная Эмануэлем Ласкером в 1899 году, «Единственный путь стать умнее — играть с более сильным противником». Технологии и разработчики не стоят на месте, если есть спрос – будет и достойное предложение. Основная проблема детектировать угрозы «нулевого дня» - это невозможность при анализе кода найти знакомые сигнатуры. Но это же не значит, что за поведением любого файла нельзя проследить, протестировать методом «черного ящика» и сделать соответствующие выводы!

Поведенческий анализ в «песочнице» на сегодняшний день является самым эффективным способом анализа и детектирования угроз «нулевого дня» и таргетированных атак. Различные производители предлагают свои решения, утверждая, что их продукт самый производительный и точный. Однако это не так, самая главная проблема такого рода решений – ложные сработки (фальш-позитив), которые могут свести на нет всю работу службы безопасности. Выбираемое решение должны быть чувствительным только к серьезным угрозам. Реализовать такую концепцию - это уже профессионализм и опыт, который нужно было переложить в сложные алгоритмы и реализовать в конечном продукте.

Первое правило бизнеса: защищай свои инвестиции,
Этикет Банкира, 1775г.

Хочется добавить, что информационные и финансовые активы достойны того, чтобы к ним относились бережно, защищали их. Сохранность не должна зависеть от «красивого» маркетинга, из-за которого внедряются неэффективные средства защиты в компании. Самый правильный подход – обозначить существующие риски и дать возможность выбранному продукту в бою доказать свою эффективность, полезность для бизнеса.

Отправить заявку
Вы не представились
некорректный адрес
поле не заполнено