Лабораторія Касперського - запускає рішення для боротьби з найбільш руйнівними атаками.

Сьогодні «Лабораторія Касперського» представляє два нові корпоративні рішення для протидії найскладнішим кіберзагрозам із тих, з якими стикаються компанії по всьому світу: Захист від цільових атак (Kaspersky Anti Targeted Attack Platform) та Експертиза в галузі кібербезпеки (Kaspersky Security Intelligence Services).

Logbook та переломний момент

Наприкінці 2014 року "Лабораторія Касперського" випустила інструмент моніторингу спрямованих атак - . Якщо подивитися на нього сьогодні, то можна побачити щось на кшталт частоколу:

Все більше нових атак виявляється і аналізується, і хто знає, скільки там поки що не виявлених.

2015 ознаменував собою переломний момент для організацій по всьому світу: для надійного забезпечення безпеки одного захисного периметра стало не вистачати. Саме в нього підприємства роками вкладали кошти, і захист рубежів від проникнення залишається важливим, але тепер компаніям ще треба вміти виявляти спрямовані чи просунуті кібератаки під час їхньої дії, а також прогнозувати майбутні погрози.

І ось тут зустрічається ціла низка проблем.

Зростання тенденцій

Насамперед, складність інфраструктури підприємств неухильно зростає, через це все складніше виявляється тримати в полі зору всі елементи та збирати оперативні дані, якщо щось піде не так.

Спрямовані атаки власними силами — не разові події: це процеси, які тривають упродовж тривалого часу.

Згідно зі статистичними даними, зібраними «Лабораторією Касперського» за останні кілька років, у середньому спрямована атака може тривати 214 днів до її виявлення. Деякі можутьзалишатись непоміченими протягом п'яти років. Багато часу може пройти від самого проникнення до безпосереднього початку шкідливої ​​активності, як-от ексфільтрація даних або крадіжка грошей.

Спрямовані атаки не лише тривалі за часом, а й часто структурно надзвичайно складні. Ось наприклад один реалістичний сценарій.

Банк виявляє проблему із банкоматом. Обстеження показує, що на машину встановили USB-сніфер, який застосовувався для збору даних про власників карток, які раніше користувалися цим банкоматом. Крім того, крім клієнтів цього конкретного банку банкомат використовували і власники карток інших банків. І ці інші банківські системи були згодом задіяні злочинцями для переведення в готівку коштів.

Як бачимо, структура атаки була складною та розтягнутою у часі, і шкідлива діяльність могла залишатися нерозкритою протягом досить довгого часу. Звичайні засоби захисту периметра не виявили б нападу, якби тільки зловмисники самі не засвітилися якимось чином.

У цьому сценарії немає точного збігу з якоюсь реальною історією, однак і назвати його цілком вигаданим, у сенсі, що не має жодного зв'язку з дійсністю, теж не вийде. Окремі епізоди спостерігалися на власні очі.

Більшість передових загроз зазвичай експлуатують основні вразливості, легальне програмне забезпечення, а також людський фактор. Одна й та наступальна «кампанія» може здійснюватися кількома суб'єктами, і останні кілька років дедалі частіше експерти «Лабораторії Касперського» зустрічаються з «кіберзлочинами як послугою», коли деякі зловмисники пропонують свої ретельно розроблені набори інструментів третім сторонам.

Від останніх у такому разі непотрібно специфічних технічних навичок, потрібні лише гроші та мотивація. Сьогодні нескладно підшукати відповідний набір інструментів та інфраструктуру.

Рідко, але влучно

Протидія спрямованим атакам має на увазі набагато більше, ніж просто охорону периметра. Потрібна комбінація технології та розвідданих, але не кожен бізнес готовий інвестувати в такі передові рішення, при цьому ймовірність спрямованих атак прийнято вважати досить малою.

Як бачимо, спрямовані атаки займають лише 1% всього ландшафту загроз. Але при цьому ступінь їхнього ризику вкрай високий, як і потенційні збитки.

Компанії втрачають у середньому 20 млн. рублів внаслідок однієї атаки, втрати малого та середнього бізнесу становлять близько 893 тисячі рублів. Варто також відзначити, що дрібні підрядники нерідко використовуються для атак на великі організації.

Захиствідцільовихатак(Kaspersky Anti Targeted Attack Platform)

Для того, щоб захистити підприємства від подібних загроз, «Лабораторія Касперського» пропонує передове рішення для виявлення спрямованих атак та широкий спектр послуг безпеки, які допомагають підприємствам відповідати поточним викликам у сфері кібербезпеки та передбачати майбутні загрози.

У рамках нової розробки ми автоматизували вже існуючі та відпрацьовані технології та процеси, що забезпечує гнучке, масштабоване рішення, яке адаптується до мінливого ландшафту загроз.

Kaspersky Anti Targeted Attack Platform є дуже складним рішенням, яке дозволяє компаніям виявляти спрямовані атаки та інші шкідливі дії шляхом ретельного моніторингу мережевої активності, вебу та електронної пошти.

Це дозволяєвиявляти складні атаки на будь-якій стадії, навіть за відсутності шкідливої ​​активності. Підозрювальні дії обробляються за допомогою різних двигунів, у тому числі аналізатор цільових атак та «пісочниця» для винесення остаточного вердикту.

В основі «пісочниці» — понад 10-річний досвід розробки технологій проактивної безпеки. Вона забезпечує безпечне, ізольоване та віртуалізоване середовище для аналізу підозрілих об'єктів та виявлення їх цілей. Аналізатор атак використовує технології обробки даних та машинного навчання для оцінки та комбінації вердиктів різних аналітичних двигунів. Саме тут ухвалюється остаточне рішення щодо попередження ІТ-персоналу.

Платформа Kaspersky Anti Targeted Attack також включає модулі збору даних, такі як мережеві та веб-сенсори, відповідальні за збір даних у мережі та просіювання веб-трафіку, сенсори електронної пошти, що допомагають у визначенні фішингових листів і контролі за пересиланням вкладень, а також сенсорикі кінцевих точок, компонент для збору даних про події в кінцевих точках, що покращує розуміння всієї структури атаки.

Ці технології раніше випробовувалися і використовувалися для потреб «Лабораторії Касперського». На ринку вони представлені вперше.

Kaspersky Anti Targeted Attack Platform доступна як самостійне рішення або в поєднанні з послугами експертів, покликаними прискорити виявлення інцидентів та реагування. Доступність цих послуг дозволяє клієнтам адаптувати рішення для конкретних потреб бізнесу, що робить його ще ефективнішим.

Сервіси інформування про погрози: як відбити атаку до її початку

Сервіси інформування про загрози «Лабораторії Касперського» призначені для задоволення найчастіших потребвеликих організацій, урядових агентств, інтернет-провайдерів, телекомунікаційних компаній та провайдерів керованих сервісів безпеки. Так як традиційних засобів захисту периметра вже не достатньо, необхідні нові методи, щоб заповнити цю прогалину в безпеці. Асортимент послуг на основі унікального досвіду та аналізу загроз «Лабораторії Касперського» розроблений саме для цього.

Експертні сервіси дозволяють підприємствам грати на випередження проти потенційних зловмисників. Фактично, вони охоплюють три основних напрями. Першим з них є тестування на проникнення та оцінка безпеки додатків, що дозволяє корпоративним клієнтам виявити проблемні області (тобто слабкі місця) та передбачити особливості кібератаки, перш ніж вона станеться.

По-друге, передбачено обслуговування навчання основам кібербезпеки, у тому числі програми підвищення обізнаності трудових колективів та тренінги з питань основ кібербезпеки, цифрової криміналістики та аналізу/зворотного інжинірингу шкідливих програм. З урахуванням того, що людський фактор є однією з найпоширеніших причин успіху спрямованих атак, необхідно тримати співробітників у курсі того, з якими погрозами вони можуть зіткнутися і вчити боротися з ними.

Третій та останній вид послуг – це потоки даних про погрози, стеження за ботнетами та розвідзвіти. Останні передбачають зроблені на замовлення доповіді щодо конкретних аспектів ландшафту загроз, а також своєчасні та дієві рапорти про останні та найвитонченіші загрози, з якими можуть зіткнутися підприємства.

---