Разработана и реализована технология защиты от целевых атак

04.12.2017
Разработана и реализована технология защиты от целевых атак
Реализация разграничительной политики доступа (а не детектирование аномалий и вирусов) – это единственный  подход к реализации защиты, который потенциально может обеспечить решение задачи защиты в общем виде от неизвестных, т.е. целевых, атак.
Именно такой подход к защите реализован в нашем продукте КСЗИ «Панцирь+».

Большинство специалистов сходится во мнении относительно следующих особенностей целевых так:
1.    Это атаки, направленные в отношении конкретных коммерческих организаций, отраслей производства или государственных ведомств.
2.    Объектами атаки являются весьма ограниченные какими-либо рамками или целями конкретные информационные системы.
3.    Эти атаки не носят массовый характер и готовятся достаточно длительный период.
4.    Вредоносное ПО, если оно используется при реализации атаки, специально разрабатывается для конкретной атаки, чтобы штатные средства защиты, достаточно хорошо изученные злоумышленниками, не смогли обнаружить ее реализацию.
5.    Для реализации атаки могут использоваться уязвимости нулевого дня.
6.    Как правило, целевые атаки используются для кражи информации, которую легко монетизировать,  либо для нарушения доступности к критически важной информации.
7.    При осуществлении целевой атаки используются те же механизмы взлома, что и при массовых атаках, в частности фишинг. Отличие составляет подготовка атаки с целью предотвращения возможности ее детектирования средствами защиты. Именно применительно к целевым атакам фишинг становится очень актуальной угрозой, поскольку атака в этом случае осуществляется не на абстрактные, а на конкретные физические лица, что может быть учтено методами социальной инженерии.
8.    После обнаружения и идентификации целевой атаки, уже по итогам ее осуществления, об угрозе этой атаки становится известно, она переходит в категорию «массовых» - может массово использоваться злоумышленниками. При этом, как идентифицированная, угроза этой атаки уже может детектироваться средствами защиты, одной из задач которых является обеспечение минимальной продолжительности перехода угрозы атаки из категории целевых в массовые.
Основными средствами защиты от целевых атак сегодня являются средства детектирования всевозможных аномалий (кода, команд, поведения и т.д.). При этом:
1.    Детектирование аномалий в рамках отдельно взятого компьютера, либо корпоративной ИС в целом, осуществляется с целью обнаружения реализуемых, а также частично, либо полностью реализованных атак.
2.    Обеспечивается возможность нейтрализации известных атак на ранних стадиях их осуществления – решается задача защиты информации, что обеспечивается возможностью однозначной идентификации выявленной аномалии как события реализации атаки, как следствие, осуществления автоматической реакции на зафиксированное аномальное событие.
3.    В отношении неизвестных угроз атак, к которым относятся угрозы целевых атак, детектирование аномалий неизбежно связано с ошибками первого (при поверхностном анализе событий) и второго (при глубоком анализе) рода. В данном случае, особенно при глубоком анализе, а иначе какого-либо смысла детектирование аномалий не имеет, технологически невозможна однозначная идентификация выявленной аномалии как события реализации атаки, в результате чего невозможна и автоматическая реакция на зарегистрированное событие, которое лишь с некоторой вероятностью может являться атакой. Задача детектирования аномалий в данном случае сводится не к защите информации, а к проведению соответствующего дальнейшего исследования по зарегистрированному факту реализации атаки, с целью максимально оперативной однозначной идентификации атаки.
4.    После однозначной идентификации аномалии, как атаки (атака становится известной, а ее угроза уже не угроза целевой, а угроза массовой атаки), в отношении этой атаки детектором аномалий уже реализуется защита информации.
Следствие. Детекторы аномалий не позволяют решать задачу защиты  от целевых атак в общем виде, поскольку применительно к целевым (неизвестным)  атакам ими решается задача идентификации этих атак по факту их реализации, уже  с последующей  возможностью защиты от них, но уже как от массовых атак. Защита данными средствами реализуется  не от целевых,  а от массовых атак!
Альтернативный способ защиты, реализуемый современными СЗИ НСД, основан на разграничении прав доступа пользователей к объектам.
Однако использование существующих СЗИ НСД для решения задачи защиты от целевых атак не имеет особого смысла, исходя из того, что угрозу атаки в данном случае несет в себе программа (процесс), а не пользователь. Вместе с тем, именно реализация разграничительной политики доступа (а не детектирование аномалий и вирусов) – это единственный  подход к реализации защиты, который потенциально может обеспечить решение рассматриваемой задачи защиты в общем виде защиту от неизвестных, т.е. целевых, атак.
Именно такой подход к защите реализован в нашем продукте КСЗИ «Панцирь+». Несмотря на то, что КСЗИ «Панцирь+» - это сертифицированная СЗИ НСД, она практически не имеет ничего общего с альтернативными продуктами. Большинство реализованных технических решений, причем именно тех, которые позволяют обеспечивать защиту от целевых атак, компанией запатентовано (внедрены 8 патентов на изобретение).
С реализованной технологией защиты, а так же с особенностями архитектурных решений КСЗИ «Панцирь+», можно познакомиться в презентации продукта, расположенной по ссылке: http://npp-itb.ru/images/docs/alldocs/slides.pdf