Технологии против кибератак

Целевые кибератаки – самые сложные с точки зрения защиты, потому что их проводят не просто интересующиеся хакерством одиночки, пробующие свои силы, а высокооплачиваемые профессионалы на заказ. Они не ограничены во времени и ресурсах, у них есть четкая цель – проникнуть за периметр безопасности. И чаще всего для реализации таких атак применяется вредоносный код «нулевого дня», который «не видят» антивирусы. Антивирусы сканируют наши компьютеры с использованием шаблонов вирусных сигнатур, то есть проверяют наличие уже «засветившегося» где-то вредоносного кода. Если в базе сигнатур нет данных, то зараженный новым вирусом файл антивирус попросту «не увидит». 

Вижу цель – не вижу препятствий

Конечные цели сложной, направленной на конкретную организацию атаки могут быть разные, начиная от кражи конфиденциальных данных и заканчивая остановкой работы всей IТ-инфраструктуры. В мире самыми известными случаями успешных масштабных кибератак стали:

  • выведение из строя более 1000 центрифуг по обогащению урана в Иране –2009 г., вирус Stuxnet, ущерб сопоставим с массированным авианалетом;
  • полное выведение из строя 30 тыс. компьютеров крупнейшей нефтяной компании Saudi Aramco – 2012 г., вирус Shamoon, несколько дней простоя, миллионные убытки.

Случались и другие громкие взломы, останавливаться на них не будем. Для Украины яркий пример целевой кибератаки – вирус Petya, прогремевший в июне 2017 г. Масштабы перечисленных инцидентов впечатляют и, казалось бы, мир должен был сделать соответствующие выводы. Но, увы. В марте 2019 г. от целевой кибератаки пострадала норвежская компания Norsk Hydro. Пришлось на время даже остановить производство, а финансовые потери исчисляются миллионами долларов. 

Что же делать? 

Ведь количество и сложность киберугроз постоянно растут, а на фоне все большей информатизации общества становятся более опасными. 

Прежде всего, нужно признать, что сегодня любую систему защиты рано или поздно можно обойти, 100% гарантий не стать жертвой кибератаки не существует. В этих условиях необходимо особое внимание уделить задаче постоянного мониторинга состояния IТ-инфраструктуры и максимально быстрому обнаружению подозрительных событий. 

Способов решения этой задачи много: от построения сложного и дорогостоящего Security Operation Center до «точечного» применения отдельных инновационных инструментов. Да, и такой «некомплексный» подход в ряде случаев может быть достаточно эффективным, особенно для компаний с ограниченными финансовыми возможностями. Действительно, ведь далеко не всем по силам построить собственный SOC, да и не всем он нужен. 

Инструменты защиты 

Как избежать взлома? Можно использовать продвинутые системы анализа поведения пользователей в сети (системы класса User Behavior Analysis). Это может быть следующий шаг в развитии антивирусов (системы класса Endpoint Detect & Response, в которых сигнатурный анализ дополнен анализом поведения запущенных в операционной системе процессов), решения, основанные на технологии введения злоумышленников в заблуждение (системы класса Deception). На последнем, как наиболее простом в развертывании и эксплуатации типе решений, мы и остановимся.

Технология Deception вошла в ТОП-3 самых перспективных в области киберзащиты, по версии аналитического агентства Gartner. В чем ее суть? Данная технология работает по принципу колокольчика, натянутого на леске. В рамках корпоративной сети развертываются ложные цели: фейковые рабочие станции, сервера, другие устройства (спектр поддерживаемых имитаций очень широк), которые будут демонстрировать больше уязвимостей, чем настоящие. Угрозы для реальной инфраструктуры, равно как и накладных расходов на их поддержку не требуется – все ложные цели являются всего лишь эмуляциями в оперативной памяти специализированного сервера, каждой из которых присвоен отдельный IP-адрес. Обычные пользователи в повседневной работе их не видят. А вот злоумышленники, проникая в сеть, прежде всего начинают ее разведку – сканирование, обнаруживают уязвимые компьютеры и попадают в ловушку. 

Любая попытка взаимодействия с ложной целью, и тем более ее «заражения», приводит к сработке, которую в реальном масштабе времени фиксирует сотрудник безопасности. Причем не имеет значения, какой инструмент использует хакер. Даже если будет применен тот самый вредоносный код «нулевого дня», сработка все равно будет – ведь есть факт взаимодействия с ложной целью, и этого достаточно. «Ложную картину мира» для хакера можно дополнить, разместив на реальных компьютерах фейковые данные, которые обычно собирают взломщики – логины и пароли, ссылки на сетевые диски. На профессиональном жаргоне это называется «хлебные крошки» для хакера. При попытке их использовать это так же приведет к сработке в системе мониторинга. 

Deception мгновенно способно обнаружить угрозы. При этом результаты расследований известных в мире инцидентов говорят, что среднее время обнаружения взлома может составляет 90-100 дней. В Украине был случай, когда хакеры более года были незамеченными внутри сети одной из крупных компаний. Несмотря на то что технология Deception относительно новая, на рынке существуют зрелые решения для применения в IТ-инфраструктурах любого масштаба. 

Не забывайте, что кибератаки были, есть и будут, и гарантий безопасности на 100% не существует. Но защититься реально, для этого есть все возможности. 

Алексей Швачка, эксперт по кибербезопасности, технический директор компании «Октава Киберзахист»