Защита от современных кибератак: мифы и реальность
Сегодняшняя ситуация на рынке напоминает с детства знакомые строчки из поэмы Владимира Маяковского: «Все работы хороши, выбирай на вкус».
Теория и практика
Несмотря на активное обсуждение проблем, связанных с современными атаками, до сих пор нет четких критериев их классификации. Это подтверждается практически постоянной полемикой вокруг определения терминов «таргетированная атака», «APT» и пр. Дело в том, что по своей сути эти атаки используют те же механизмы взлома, что и любые другие (спам, фишинг, заражение часто посещаемых сайтов и т. д.). Стоит ли спорить о том, к какому типу относится та или иная атака? Оставим рассуждения о классификации теоретикам. Гораздо важнее понять, что происходит в реальности.
На практике большинство современных атак использует методы, позволяющие обойти средства защиты (FW, IPS, AV и т.д.). Злоумышленник, имея доступ к средствам защиты, в процессе подготовки дорабатывает вредоносный код таким образом, чтобы механизмы защиты не могли его детектировать. В этом и есть главная особенность современных атак независимо от того, являются они целенаправленными, таргетированными, массовыми, APT или какими-то другими.
«Все работы хороши, выбирай на вкус»
Сегодняшняя ситуация на рынке напоминает с детства знакомые строчки из поэмы Владимира Маяковского: «Все работы хороши, выбирай на вкус». Огромное количество ИБ-производителей заявляют, что их продукты позволяют эффективно бороться с таргетированными атаками и атаками zero-day. Причем разговор идет о продуктах самых разных классов:
• SIEM;
• песочницы;
• Security Analytics;
• мониторинг сетевой активности на базе NetFlow;
• контроль привилегированных пользователей;
• сетевые средства защиты периметра (FW и IPS);
• web- и email-шлюзы.
Но так ли это на самом деле или же все эти заявления не более чем маркетинговые уловки? При таком обилии предложений достаточно трудно сложить систематизированную картину и понять, какое из них наиболее оптимально для решения конкретных задач организации. Поэтому зачастую складывается ошибочное мнение о том, как эффективно противостоять современным атакам. Наш опыт взаимодействия с отечественным бизнесом позволяет сформировать список наиболее распространенных заблуждений на этот счет.
Миф 1: песочницы заменяют антивирус
Нет, нет и еще раз нет. Песочницы – эффективная мера детектирования вредоносных файлов, которые не определяются стандартными антивирусными средствами. Использование песочниц не отменяет, а дополняет применение антивируса на серверах и рабочих станциях, почтовых и web-шлюзах и других средствах защиты периметра.
Миф 2: песочницы позволяют блокировать таргетированные атаки
Основной функционал песочниц – выявление вредоносных файлов, передаваемых по сети. Более того, так как в большинстве случаев песочницы работают с зеркалированным трафиком, функции блокировки возлагаются на другие средства защиты (например, IPS или FW). Не стоит удивляться и тому, что блокироваться будут лишь вторая и последующие попытки скачивания вредоносного файла. Иными словами, не исключены ситуации, когда он сначала попадет на компьютер жертвы, а уже потом определится как зловред. Важно понимать, что сама по себе песочница лишь детектирует вредоносный файл, а для локализации и устранения заражения требуются дополнительные инструменты.
Миф 3: песочницы полностью контролируют сетевой трафик
В действительности песочницы контролируют только тот трафик, который на них зеркалируется (и только определенные типы файлов). То есть если на песочницу направляется почтовый трафик, то анализу будут подвергаться только вложения электронной почты. Если же песочница интегрируется с Web Gateway, то анализироваться будут только файлы, загружаемые через web, в то время как вредоносы, получаемые по электронной почте, будут достигать своей цели.
Миф 4: песочницы детектируют любые 0-day атаки
Это не совсем верное утверждение. Песочницы анализируют только определенные типы файлов (например, doc/docx, pdf, exe и т.д.) и только в определенном программном окружении (Windows XP/7/8, MS Office 2007/2010/2013 и т. д.). Таким образом, атака, которая использует иные механизмы доставки вредоноса, может быть не детектирована. Другой вопрос в том, что на сегодняшний день большинство вредоносного ПО распространяется как раз путем отправки и загрузки наиболее распространенных форматов файлов (MS Office, Acrobat и т. д.), поэтому песочницы достаточно эффективны и позволяют выявлять большинство атак.
Миф 5: средства сетевой безопасности защищают от 0-day
В действительности FW, IPS, web- и email-шлюзы требуют наличия локальной или облачной песочницы. По сути они просто выделяют из трафика файлы и отправляют их на анализ в песочницу. Преимуществом в этом случае является более плотная интеграция компонентов. Если песочница определила файл как зараженный, автоматически формируется соответствующая сигнатура и распространяется по всем средствам защиты периметра (при условии, что все они от одного производителя, разумеется).
Навигация по решениям
Средства защиты уже есть и продолжают появляться, предлагая довольно интересные механизмы. Gartner выделяет пять направлений защиты от APT (см. рис.). Причем они не заменяют, а взаимно дополняют друг друга.
Five Styles of Advanced Threat Defense
Рис.1 Направления защиты от АРТ
А вот говорить об эффективности таких механизмов нужно аккуратно, так как она напрямую зависит от качества их настройки и эксплуатации.
Основными технологическими направлениями защиты на сегодня являются песочницы, анализ аномальной сетевой активности (например, на базе NetFlow) и поведенческий анализ рабочих станций. Все большую актуальность набирают также специализированные решения по обнаружению и выявлению ботов в корпоративных сетях, в частности Bot-Trek Threat Detection Service (TDS) от компании Group-IB и Check Point Anti-Bot. А в 2016 году «Лаборатория Касперского» обещает пополнить рынок собственным комплексным решением для защиты от целевых атак и кибершпионажа.
Песочницы имитируют рабочие станции организации. Получаемые из Интернета файлы запускаются в этих песочницах и проводится их анализ. Если запускаемый файл влечет за собой деструктивное воздействие, то он определяется как зараженный. Соответствующих решений на российском рынке сегодня немало, в том числе отдельные специализированные – FireEye, TrendMicro Deep Discovery, LastLine, а также продукты, интегрируемые с другими решениями портфеля производителя: McAfee (Intel Security) Advanced Threat Defense, PaloAlto WildFire, BlueCoat Malware Analysis Appliance, HP TippingPoint Advanced Threat Appliance (ATA), CheckPoint Threat Emulation (TE).
Выбор того или иного решения существенно зависит от того, какие средства уже используются в инфраструктуре. Так, если на защите периметра сети уже установлен CheckPoint, McAfee или PaloAlto, весьма логичным будет приобретение и установка соответственно TE Applaince, ATD и WildFire. Если же цель в построении платформонезависимого решения, то имеет смысл внимательнее присмотреться к первой группе продуктов.
Анализ аномальной сетевой активности осуществляется за счет сравнения текущей сетевой активности с построенной эталонной моделью сетевого поведения. Например, компьютер или сервер, которые всегда коммуницируют с некоторым набором определенных сетевых ресурсов по определенным протоколам, вдруг неожиданно начинают пробовать обращаться напрямую к базам данным. Одними из наиболее известных решений этого класса являются Cisco Cyber Threat Defense (CTD) и Lancope.
Поведенческий анализ рабочих станций также основан на сопоставлении активности рабочих станций и эталонной модели. Разница в том, что этот анализ осуществляется не на уровне сети, а на уровне самой рабочей станции с помощью агентов. Не так давно появилась интересная технология, которая отслеживает не только сетевое взаимодействие рабочих станций, но и запускаемые процессы Windows. В случае отклонения от эталонной модели процесс Windows блокируется, тем самым не давая эксплойту выполнить деструктивное воздействие. Практически все производители песочниц осознают эффективность использования агентов и либо включили их в свои портфели, либо планируют включить в ближайшее время. Основной нюанс в том, что все эти технологии предполагают анализ поведения. В этом случае ошибки первого (false positives) и второго рода (false negatives) неизбежны, поэтому эффективность сильно зависит от квалификации сотрудников, настраивающих и эксплуатирующих эти решения.
Немного о деньгах...
Естественно, наиболее эффективным является использование комбинаций различных механизмов защиты и непрерывный мониторинг. С другой стороны, реализация такого проекта потребует немалых затрат: в зависимости от масштабов от 30 000 до нескольких сотен тысяч долларов, что с учетом текущей экономической ситуации требует серьезного подхода и обоснования.
Возможным вариантом при планировании инвестиций может стать поэтапное закрытие каналов распространения угроз. Например, по-прежнему одним из самых распространенных способов является распространение вирусов по электронной почте и через скачиваемые из Интернета файлы. Таким образом, можно начать с использования песочницы в связке с web- и email-шлюзами, что позволит существенно повысить эффективность противодействия современным атакам.
Юрий Черкас, руководитель направления инфраструктурных ИБ-решений центра информационной безопасности компании «Инфосистемы Джет»
