Предотвращаем сложные угрозы и отсекаем целевые атаки
Заканчивается 2019 год, и в преддверии нового десятилетия самое время взглянуть на происходившее в сфере информационной безопасности — традиционно подобное делается раз в пять лет. Но первая же попытка осмыслить сухие статистические показатели приводит к серьезному беспокойству: показатели, характеризующие негативное состояние в отрасли, носят пугающий характер. Достаточно поднять статистику начиная с 2015 года, любезно предоставленную специалистами Gartner, чтобы понять: битва между киберпреступниками и службами информационной безопасности развернулась нешуточная, а ее основной фронт сместился с индивидуальночастного сегмента в область крупного корпоративного бизнеса. А это уже свидетельствует о том, что мировое сообщество имеет дело не с хакерамиодиночками, а с объединениями, серьезными, хорошо организованными и прекрасно оснащенными техническими средствами и высококлассными специалистами.
Согласно одному из отчетов Gartner, в 2017 году затраты на продукты и услуги в области информационной безопасности достигли $86,4 млрд, превысив на 7% показатель 2016 го. Но уже в 2018 м потолок поднялся до $93 млрд, а прогнозы на 2020–21 годы предполагают еще более впечатляющий скачок. И еще: за двухлетний период (20152017й гг.) в США число вакансий, востребованных в сегменте информационной безопасности, увеличилось с 209 тысяч до 350 тысяч, то есть на 67%. И это не предел — рост продолжается, и характер его если не лавинообразный, то весьма близкий к таковому. Впрочем, подобное можно видеть не только в США: аналогичные процессы идут в других странах, кстати, Россия не исключение. В Китае вообще недавно приняли закон о кибербезопасности и к 2021 году собираются оснастить не менее 80% крупных предприятий оборудованием для сетевой безопасности, предоставленным местным поставщиком.
Поединок брони и снаряда
Создается впечатление, что все прекрасно: информационная безопасность на подъеме, защитные сетевые инфраструктуры укрупняются и развиваются, ряды опытных бойцов невидимого фронта непрестанно пополняются… К сожалению, именно таким образом трактуют эти цифры многие недальновидные комментаторы — зачастую попросту не понимая реальности, скрывающейся за столь впечатляющим «ростом». На деле это должно не радовать, а настораживать, поскольку любому специалисту в области кибербезопасности понятно: борьба идет упорная, и методы защиты, прекрасно действовавшие лет пять назад, уже не способны справиться с наплывом атак на информационные структуры.
Очевидно, что число киберпреступников хакеров и продуктов их деятельности — вредоносного ПО, шпионажа, взломов и утечек данных — увеличивается гораздо быстрее, чем количество противостоящих им спецов из сектора ИБ. Разумеется, виной такому явлению в первую очередь деньги: в преступном мире их, как известно, больше.
Что же случилось? Ничего особенного: «всего лишь» сместился вектор внимания злоумышленников. Вирусы и троянские кони, программывымогатели и шифровальщики не исчезли — они стали частью инструментария атакующей стороны, которая ныне не разменивается на мелкие нападки на частный сектор, а предпочитает организованно наносить удары по солидным бизнессообществам. Преследуя различные цели: от банального финансового хищения в особо крупных размерах до заказной парализации бизнеспроцессов, чтобы устранить конкурентов.
Кто же представляет эти структуры? Как правило, это организованные объединения киберпреступников — хактивисты («борцы за благие цели»), наемники («заказные бизнескиллеры»), конкуренты («в бизнесе нет друзей») и правительственные силовые инфоструктуры («мы все знаем!»). Во втором эшелоне идут обыкновенные киберпреступники («продам тому, кто дороже заплатит») и внутренние злоумышленники («зарплата маленькая, надо как-то жить!»).
Единственное, что их всех объединяет, — только то, что объектом их внимания являются данные, деньги, репутация и устойчивость (стабильность) объекта атаки. А вот типы атак различны, и если случаи вроде сливания базы клиентов на флешнакопитель или подделки счетов можно выявить и купировать, то серьезные действия, зачастую длящиеся несколько месяцев, так просто оставить без внимания нельзя — если их не вычислить на начальном этапе или хотя бы в процессе подготовки, то пиши пропало. Впрочем, уже подсчитано, что только затраты на устранение последствий состоявшейся целевой атаки увеличиваются в среднем на 200%, если действия по восстановлению компаниицели начинались через неделю или позднее после атаки (результаты глобального исследования рисков корпоративной ИТбезопасности от «Лаборатории Касперского»).
Симбиоз AI и опыта
Что же делать? В первую очередь — учиться. Тезис «врага следует знать в лицо» актуален как никогда, а следовательно, надо учиться новому. И не «снизу», а «сверху» — зачастую именно недостаточная проработка вопросов киберугроз высшим менеджментом становится причиной серьезнейших проблем для предприятия. Впрочем, об этом прекрасно сказал главный аналитик Gartner Сид Дешпанде: «Повышение осведомленности генеральных директоров и советов директоров о влиянии инцидентов безопасности на бизнес и меняющемся правовом ландшафте привело к к росту инвестиций в защитные продукты и услуги в сфере кибербезопасности. Однако повышение безопасности — это не только инвестиции в новые технологии. Как показал недавний всплеск глобальных инцидентов в области безопасности, правильное выполнение основ никогда не было более важным. Организации могут значительно улучшить свое положение в области безопасности, просто занявшись вопросами базовой защиты и рисками, связанными с такими элементами, как управление уязвимостями, ориентированное на угрозы, централизованное управление журналами, внутренняя сегментация сети, резервное копирование и общее усиление безопасности системы».
Рецепт в принципе понятен. Успешное противостояние сложным угрозам, пролонгированным атакам и хорошо спланированным преступным акциям возможно, если задействовать системы искусственного интеллекта, базы знаний и скомбинировать это все с существующими средствами распознавания киберугроз. Одно из таких решений разработано в «Лаборатории Касперского» и носит название Kaspersky Anti Targeted Attack Platform (KATA). Это не продукт, это именно платформа, выполняющая такие задачи, как мониторинг сетевого трафика в режиме реального времени и последующий разбор поведения подозрительных объектов в защищенной области («песочнице»).
Причем анализ ведется на уровне механизмов и общеиспользуемых протоколов с дополнительным импортом данных из союзных продуктов — в частности, Kaspersky security for Linux Mail Server (KLMS) или, например вебшлюз Kaspersky Web Traffic Security (KWTS).
Умная «песочница»
Следующий этап — обработка данных посредством внушительного комплекса механизмов, в их числе антивирусный сканер Anti Malware engine, среда виртуального исполнения Sandbox, модуль обнаружения вторжений Intrusion Detection System, облачный репутационный сервис Kaspersky Security Network (KSN), репутационный список вредоносных ресурсов "URL Reputation", технология анализа поведения на конечных устройствах "Targeted Attack Analyzer", механизм обработки специализированных YARAправил YARA engine, а также Mobile Attack Analyzer, который выполняет проверку исполняемых файлов формата APK в облачной инфраструктуре на основе технологии машинного обучения. Результатом является набор решений (вердиктов), позволяющих судить о присутствии в исследуемой цепочке признаков многоступенчатой атаки и/или скрытых угроз. Система нестатична: механизм машинного обучения способен непрерывно увеличивать точность распознавания киберугроз и корректнее отслеживать атаки на самых ранних этапах. Сформированные в результате работы КАТА вердикты не только информируют — они являются предикатами к реагированию других модулей, то есть могут быть направлены в межсетевые экраны, почтовые шлюзы (например, в Kaspersky Secure Mail Gateway) или в решения по защите рабочих мест.
Упомянутая «песочница» идентична механизму в других продуктах только по названию. Эта изолированная виртуальная среда предназначена для безопасного исполнения подозрительных объектов. С ее помощью можно без опасения наблюдать за их поведением и оценивать потенциальные угрозы. К слову, такая задача не только для оператора: в помощь человеку предоставлены многочисленные сенсоры, объединенные в многоуровневую структуру. Посредством сетевых сенсоров, вебсенсоров, почтовых сенсоров, сенсоров рабочих мест KATA контролирует каждый уровень корпоративной ИТинфраструктуры, проводя объемный, расширенный мониторинг и обнаружение возможных атак.
Что же в итоге? Как видно из краткого описания, Kaspersky Anti Targeted Attack Platform осуществляет мониторинг сетевого трафика в режиме реального времени, проводит исследование поведения подозрительных объектов в «песочнице», параллельно накапливает данные от подсистемы проактивной защиты рабочих мест. В итоге формируется понимание того, что происходит в масштабах корпоративной ИТинфраструктуры: сопоставляя и анализируя все имеющиеся факторы и событийный ряд на разных уровнях (включая сеть, рабочие места и глобальную среду), KATA способна распознать и обнаружить комплексные угрозы в очень кратком временном интервале (сопоставимом с реальным временем) и предоставить максимум дополнительных данных для упрощения расследования случившихся инцидентов.
Максимальная защита
Является ли КАТА панацеей и не пора ли трубить на всех перекрестках о революционном решении? Разумеется, нет, ведь ландшафт угроз непрерывно изменяется и индивидуализируется. Но и принимать продукт «Лаборатории Касперского» за «еще один антивирус» тем более нельзя. На сегодня он является реальной силой, способной противостоять мощной атакующей киберсистеме, что подтверждают результаты независимых исследований. Так, Kaspersky Anti Tageted Attack Platform успешно справилась с тестированием ICSA Labs, которое длилось 37 дней и включало 1104 теста: 585 атак и 519 проверок на ложные срабатывания (в первую очередь новые и малоизвестные угрозы). Обнаруженных атак — 100%, ложных срабатываний — ноль: результат явно неплох, что и подтверждено сертификатом ICSA Labs Advanced Threat Defense (ATD).
Сами разработчики утверждают, что успех противостояния современным таргетированным атакам и сложным угрозам зависит от множества факторов, среди которых главенствующими являются не разовые мероприятия (в том числе развертывание платформы КАТА), а циклический процесс, предусматривающий регулярную оценку последних угроз и эффективности системы ИТбезопасности. В целом же, по мнению специалистов «Лаборатории Касперского», максимальной эффективности защиты информационной структуры предприятия можно достичь только если использовать адаптивную стратегию. Ее ключевыми особенностями являются предотвращение, обнаружение, реагирование и прогнозирование.