Advanced Persistent Threat - розставляємо крапки над - i

Advanced Persistent Threat - розставляємо крапки над "i"

Найчастіше експерти ставлять знак рівності між цілеспрямованими атаками (Targeted Attack) та APT. На наш погляд, це не зовсім коректне визначення. Термін АРТ визначає насамперед характер, а чи не спрямованість загрози. При цьому така атака цілком може бути і масовою, спрямованою практично на всіх без розбору або якусь галузь. Але залишимо точний переклад для філологів: що дійсно важливо розуміти, то це те, що АРТ – це не просто загроза, це – загроза, яка багато років перебуває серед нас. З урахуванням існуючої геополітичної ситуації можна сміливо стверджувати, що ТОП-100 банків, державних, промислових, оборонних, телекомунікаційних компаній умовно можна розділити на два типи: тих, хто вже розслідує АРТ у своїй інфраструктурі, і тих, хто поки що немає.

У принципі, до усвідомлення того, ким і чим є АРТ, індустрія щільно підійшла лише останніми роками. І зараз експерти починають більш менш синхронно говорити про методи виявлення, включаючи аномалії, пісочниці, індикатори компрометації, тактики, техніки та процедури атакуючих, модно звані Kill Chains, або "вбивчими ланцюжками".

Характеристики та етапи атаки

Наступний етап – це підготовка інструментарію. Залежно від рівня підготовки угруповання інструментарій може бути унікальним і містити в собі експлойти для раніше невідомих уразливостей (у тому числі в системах ІБ), модулі обходу засобів захисту, механізми роботи в ізольованих мережах, унікальні модулі виведення інформації за периметр організації. Подібні інструменти часто залишаютьсянепоміченими по п'ять і більше!

Після створення інструментарію відбуваються етапи доставки, експлуатації, закріплення в інфраструктурі тощо. Усі вони неодноразово описані і з незначними варіаціями є у багатьох статей.

Оцінка противника

Уявіть, що ви зіткнулися з АРТ віч-на-віч. Погодьтеся, не найприємніший факт. Тим більше, статистика Mandiant показує, що лише 31% просунутих атак рано чи пізно виявляє сама організація, а 69% стають нам відомими завдяки пильним сусідам та стороннім організаціям (а то й зовсім із новин у ЗМІ). Так чи інакше ми виявили, що наша мережа нам більше не належить. Що далі? Необхідно зібрати максимум інформації про противника, скласти його портрет і відповісти собі на кілька запитань:

Хто мета: чи є атака масовою чи цілеспрямованою, хто ще є чи може бути жертвою, який принцип вибору жертв (країна без розору, галузь, група компаній, конкретна компанія)?
Як: який канал проникнення зловмисника в інфраструктуру, які сліди він залишив у системі, як організовано канал управління та канал виходу за периметр компанії?
Коли: коли почалася атака, був отриманий доступ до чутливих даних, чи користувалися привілеями Х, який підтверджений часовий інтервал присутності зловмисника – тижні, місяці, роки?
Чим: сліди якого інструментарію є і чим ще могли користуватися зловмисники?
Хто: якими є рівень технічного оснащення, кваліфікації, вартості реалізації, масштабованості атаки, можлива країна та потенційно наявні ресурси?
Що: що тепер є зловмиснику: які дані отримали, а що ще не скомпрометовано?
Навіщо: мотивація атакуючого – щохотів, що одержав, що не встиг отримати?

Відповіді на ці питання дозволять якісно класифікувати атакуючих та сформувати план усунення наслідків та мінімізації виникнення аналогічних загроз у майбутньому. Однак на практиці пошук відповідей на них буває досить складним. Як показує досвід, рівень зрілості компанії у питаннях протидії та розслідування інцидентів, пов'язаних з АРТ, зростає не пропорційно найкращим світовим практикам, а пропорційно до кількості особисто зібраних граблів.

Складності експертизи

Як правило, технічна експертиза утруднена кількома факторами. По-перше, це відсутність або некоректні налаштування журналів подій: прогалини централізованого збору та зберігання, налаштування журналування "за замовчуванням" або низька інформативність самих подій (особливо у кастомних ІТ- та бізнес-системах).

По-друге, недостатнє збагачення та підтвердження логів даними з мережевого трафіку: необхідний контроль не лише за трафіком зовнішнього периметра, а й за внутрішньою мережею, метадані якої дозволяють відновити картину на момент інциденту та отримати цінні дані (у тому числі артефакти зловмисника, які можуть бути знищені або самознищені на робочих станціях і серверах).

По-третє, відсутність правильних інструментів для визначення мережевих та хостових аномалій, а також відсутність аналітики загроз і паперовий Threat Intelligence, який на практиці буває часто не застосовний через відсутність точок глибокої інтеграції в інфраструктуру компанії. А ще не прийнято ділитися інформацією про інциденти та інформацію, та й принципи Information Sharing та призначення TLP зможуть пояснити далеко не багато експертів.

Ще одне питання: як часто бізнес готовий витрачати ресурси компанії напідготовку до відображення, усунення наслідків та/або розслідування APT? Найчастіше керівники думають, що "наша компанія не цікава", "нам нема чого ховати", "ми надто маленькі", "все, що має ціну, не підключено до Інтернету", "наша ГІС має купу сертифікатів" тощо. Безумовно, вартість збитків досить важко порахувати, і ми тут не говоримо про виведення з ладу конкретного сервісу, а йдеться про інформацію – кібершпигунство та крадіжку даних. При подібних атаках виявляється скомпрометованою вся інфраструктура - і найчастіше, щоб вилікуватися повністю, необхідне повне відновлення всіх ІТ-систем.

Таким чином, на одній чаші терезів лежить вартість відновлення безпечного функціонування систем (починаючи від заливання операційних систем і прошивок і до заміни апаратних складових у тому випадку, коли йдеться про руткіти). На іншій – пильність, передбачливість та готовність захищати свій бізнес від кіберзагроз. Ефективність такого балансу та вікно потенційних можливостей зловмисника безпосередньо залежатимуть від того, наскільки серйозно організація підійде до тієї чи іншої загрози вже зараз.