1С Продажа и Услуги
Сохранение конфиденциальности данных в современном мире требует больших усилий. Киберпреступники применяют все более изощренные и сложно прогнозируемые атаки. В числе жертв оказываются как простые обыватели, так и крупные организации. В этот раз разберем целевые, долговременные атаки на крупные компании.
Что такое APT-атака?
APT (Advanced Persistent Threat) – это многоэтапная, скрытная и развивающаяся во времени кибератака, которая может продолжаться неделями или даже годами, оставаясь незамеченной. По данным Лаборатории Касперского в мире насчитывается свыше сотни целевых атак ( APT-атак). В отличие от массовых вирусных кампаний, направленных «на всех подряд», APT-угрозы нацелены на конкретные организации и работают по тщательно продуманному сценарию. Она проводится хорошо организованной группой хакеров, главная цель которых – скрытное нахождение в системе, кража данных, саботаж или шпионаж.
Такие группировки зачастую используют комбинацию методов:
✔ уже известный нам фишинг (читайте статью про социальную инженерию),
✔ эксплуатацию уязвимостей,
✔ вредоносные вложения, подмена USB или использование зараженного USB-носителя в целевой системе,
✔ взлом VPN,
✔ атаки на цепочку поставок (supply chain атаки).
Какие предприятия интересны APT-группировкам?
Организация APT-атак требует значительных усилий, поэтому чаще всего они направлены на:
✔ государственные структуры (цель: получение секретных данных или нарушение работы);
✔ финансовые организации (цель: кража денег и внутренней информации);
✔ крупный бизнес и промышленность (цель: промышленный шпионаж, саботаж, компрометация цепочек поставок);
✔ ИТ и телеком (цель: получения доступа к клиентским данным или инфраструктуре).
Тем не менее, это не значит, что малые и средние предприятия могут игнорировать эту угрозу. Хакеры используют эти компании, как ступеньки лестницы к более крупным организациям.
Как развивается APT-атака: основные этапы?
Итак, главная цель APT-атаки – обеспечить долговременный доступ к системе жертвы. Достижение результата осуществляется поэтапно:
1. Разведка. Это подготовительный этап, на котором идет сбор информации о цели, включая инфраструктуру, сотрудников, поставщиков.
2. Получение доступа. При помощи фишинга, эксплойтов, заражённых документов или вредоносного ПО киберпреступники проникают в информационный периметр организации.
3.Закрепление в системе. Вредоносное ПО позволяет создать сеть бэкдоров и туннелей, по которым киберпреступники могут продвигаться внутри системы без риска быть обнаруженными.
4. Продвижение вглубь. Оказавшись внутри системы, хакеры начинают использовать уязвимости системы, взламывать пароли для получения привилегированных (более высоких) прав доступа, что дает им больший контроль над системой.
5. Распространение вширь. Проникая все глубже в систему с помощью привилегированных прав, хакеры попытаться получить доступ к другим серверам и защищенным сегментам сети.
6. Наблюдение и долговременное присутствие. Находясь внутри системы, хакеры получают полное представление о том, как она работает, о ее структуре, уязвимостях. Это позволяет им легко собрать всю нужную информацию и планировать дальнейшие действия для использования инфраструктуры в своих интересах.
Злоумышленники могут продолжать этот процесс практически бесконечно, скрывая свое присутствие. А потом могут выйти из системы достигнув поставленной цели. При этом они часто оставляют открытым черный ход в систему, чтобы в будущем снова получить доступ к ней.
Можно ли отследить целевую атаку?
Самое опасное свойство APT-атаки – ее скрытность. В отличие от обычных киберинцидентов, которые просто заметить (какие-либо сбои в работе, недоступность сервисов, массовое заражение рабочих станций), APT-группировка стремится работать тихо и незаметно.
Однако есть способы определить, что компания подверглась целевой атаке. Скрытую угрозу могут выдать следующие косвенные признаки:
1. Фишинговые сообщения в электронной почте
Хакерам нужен «пропуск» в систему, поэтому они часто используют электронную почту для фишинговой рассылки. На подготовительном этапе злоумышленники выбирают темы, которые могут вызвать интерес у нужных им сотрудников.
2. Необычный сетевой трафик
Регулярная активность в ночное время или в часы, когда компания не работает, должны вас насторожить. Это особенно актуально, если вход в систему осуществляется сотрудниками руководящего звена с высоким уровнем доступа к ресурсам. Киберпреступники могут находиться на другом конце света, чем может объясняться необычное время входа в систему. Также они стараются действовать, когда в офисе мало или вообще нет работников , которые могли бы заметить и остановить подозрительную активность.
3. Распространение троянов-бэкдоров
Для обеспечения постоянного доступа к компьютерам хакеры часто используют трояны-бэкдоры. Такие программы позволяют злоумышленникам удаленно подключаться к компьютерам в скомпрометированных сетях и отправлять/получать команды.
3. Подозрительное перемещение данных
Основная цель хакеров – добыть конкретную информацию. Не оставляйте без внимания случаи пересылки больших пакетов информации, изменения месторасположения файлов или перемещения данных с сервера на сервер, частые подозрительные DNS-запросы.
4. Несоответствия в журналах событий
Обратите внимание, если логи доступа и операций содержат пробелы или вовсе отсутствуют за ключевые моменты времени. Можно заметить стирание или подмену записей, касающихся учётных записей с повышенными правами.
6. Множество «несвязанных» инцидентов
На первый взгляд – рядовые проблемы: заражённый файл, подозрительный вход, ошибка базы данных. Но при анализе событий безопасности в системе мониторинга или отслеживания последовательности кибер-атаки в SIEM-системах через правила корреляции выясняется, что они связаны в единую цепочку атаки.
Как защититься от APT-атак?
Хотя целевые атаки считаются достаточно сложным типом атак, ваша компания может принять меры для их предотвращения.
Для защиты от APT-атак применяется целый ряд инструментов:
1) Решения класса SIEM. Их основные функции – сбор, хранение, управление данными с целью выявления угроз и последующим реагированием на них. Например, решение RuSIEM, которое на ранней стадии выявляет инциденты ИБ, в том числе сложные целенаправленные атаки.Другие решения также представлены на нашем сайте
2) Применение специализированных сервисов, анализирующих исходящий трафик и блокирующих подключения к фишинговым доменам и серверам, связанных с APT-группами, что позволяет останавливать кибератаки на раннем этапе.
3) Песочница (Sandbox). Это виртуальная среда, в которой безопасно запускаются все приложения. ИБ-специалисты анализируют их поведение, и, если возникают подозрения, блокируют приложение. В нашем каталоге вы так же можете познакомиться с некоторыми из них4) Ограничьте права пользователей. Не предоставляйте автоматически права администратора сотрудникам, которым они не нужны. Об этом отдельно поговорили в статье про DLP-системы.
5) Повышайте киберграмотность своих сотрудников. Проведите тренинг по информационной безопасности. Расскажите, на что нужно обратить внимание, что делать и кого уведомлять в случае обнаружения чего-то подозрительного.
Применяйте специализированные сервисы, предназначенные для повышения киберграмотности.
Целевые атаки – это постоянная угроза, которая требует комплексного подхода. Проще и эффективнее внедрить превентивные меры, чем разбираться с последствиями долгосрочного контроля со стороны злоумышленников. В этом случае потребуется обеспечить защиту на всех уровнях, в том числе, обучить и проверять персонал.
Для этого лучше обратиться за помощью к специалистам по информационной безопасности БелИнфоНалог. Мы выполним необходимый анализ вашей ИС и подберем эффективные методы защиты от кибератак.