Қаз
Социальные сети

Поделиться

Что такое кибератаки и как с ними бороться?

  • 7 июля 2021 г.
Что такое кибератаки и как с ними бороться?

В арсенале киберпреступников  большое количество разновидностей атак, инструментов и методов. Некоторые - универсальны, другие - предназначены лишь для выполнения специфических задач. Один из таких инструментов — целевые кибератаки (advanced persistent threat, APT). Первыми термин APT начали использовать специалисты компании Lockheed Martin. Изначально так называли лишь атаки, направленные на военные и государственные объекты. Сейчас термин APT используют для обозначения всех сложных атак, цель которых — направленное многоходовое проникновение в инфраструктуру для несанкционированной эксплуатации инфраструктуры жертвы в корыстных или личных целях. Как правило, APT-атаки тщательно готовятся. Они направлены на конкретные компании или организации. Организаторы таких атак в подавляющем большинстве случаев — преступные группировки со значительными ресурсами.

Насколько опасны APT-атаки и почему они эффективны? Поскольку эта разновидность атак готовится и реализуется хорошо подготовленными специалистами, то APT-атаки — один из наиболее опасных аспектов деятельности киберпреступников. 
Главная особенность APT-атак в том, что их сложно обнаружить. Вредоносное программное обеспечение часто подписывается скомпрометированными цифровыми сертификатами реально существующих организаций. Такой метод маскировки позволяет обманывать антивирусное ПО, так что зловредный софт остается в сети предприятия или организации долгое время. Организаторы APT-атак используют модульную структуру атакующего ПО. Каждый модуль выполняет определенную задачу на конкретном этапе атаки. В результате обнаружить деятельность злоумышленников еще сложнее. Чем позже жертва обнаруживает вторжение, тем сложнее смягчить возможные негативные последствия для бизнеса.
 
Этапы подготовки и реализации атаки
APT-атаки отличаются друг от друга, поскольку готовятся индивидуально, но есть общие для всех этапы.
  • Разведка на местности. Киберпреступники изучают инфраструктуру предполагаемой жертвы. Чем больше информации о ней злоумышленник может найти в доступных источниках, тем проще определить векторы будущих атак.
  • Активная фаза. После того, как злоумышленники получают необходимую информацию о жертве или жертвах, начинается следующий этап. Чаще всего это социальная инженерия, подбор паролей, эксплуатация уязвимостей и ошибок в конфигурации оборудования. Цель этого этапа — получение доступа к внутренним корпоративным системам. На этом этапе жертва уже может видеть признаки APT-атаки. Например, частое поступление фишинговых писем сотрудникам, необычное поведение IT-систем, уничтожение логов событий и т.п. Доступ к информации еще сохраняется. Киберпреступники до определенного момента маскируют свою деятельность, закрепляясь в инфраструктуре и оставляя бэкдоры.
  • Изучение инфраструктуры изнутри. Получив доступ к определенным ресурсам, злоумышленник переходит к выявлению критичных для жертвы систем. На этом этапе деятельность киберпреступников становится хорошо заметной, хотя и не во всех случаях. Вовремя отреагировав, можно сорвать атаку. Обязательно нужно установить, как злоумышленник попал в сеть организации, какие ресурсы скомпрометированы, где и как установлены бэкдоры. Без расследования жертва рискует получить продолжение атаки.
  • Финал APT-атаки. Это получение киберпреступниками максимально возможного контроля над инфраструктурой и активами жертвы. Дальнейшая несанкционированная эксплуатация инфраструктуры жертвы может быть какой угодно: кража средств, нарушение работоспособности промышленных систем, атака других систем при помощи уже скомпрометированной.
Методы и инструменты борьбы с APT-атаками
Специалисты по информационной безопасности выделяют следующие методы и инструменты.
  • Система ловушек Honey Tokens. При условии грамотной настройки ловушки позволяют выявить признаки присутствия злоумышленника и вовремя принять меры, направленные на защиту активов компании.
  • Аппаратные устройства однонаправленной передачи данных. На базе таких устройств/систем совместно с файерволами можно организовывать хорошо защищённые сегменты сети. Передача трафика через такие устройства выполняется в одном направлении. Отсутствие обратной связи осуществляется при помощи гальванической развязки. Для систем, требующих двунаправленный трафик, используются схемы с двумя  однонаправленными устройствами. При такой защите злоумышленнику становится довольно сложно получить доступ в защищенную область из-за отсутствия обратной связи.
  • SIEM-система. Позволяет агрегировать и анализировать события из ИТ-систем.  Грамотно развернутая и правильно настроенная система позволит специалистам вовремя отреагировать на возникающие угрозы, которые могут являться частью АРТ-атаки.
Кроме того, компаниям и организациям, которые заботятся о безопасности и устойчивости своей IT-инфраструктуры, необходимо регулярно оценивать уровень защищенности периметра сети компании при помощи профессионального пентестера. Качественно проведенное тестирование позволяет получить информацию во всех деталях об уровне защищенности и предстоящих необходимых мероприятиях, нацеленных на повышение уровня защищенности. В результате тестирования, опираясь на отчеты, можно спланировать организационные и технические меры для устранения уязвимостей, чем существенно снизить риск развития сложной атаки.
Бороться с хорошо организованными APT-атаками сложно, но не невозможно. Для этого стоит выполнять комплекс действий - как административных, так и технических:
  • Регулярно повышать уровень осведомленности сотрудников в части ИБ. Заказывать проведение учебных фишинговых рассылок.
  • Разрабатывать и регулярно обновлять политики по ИБ. Каждый сотрудник, вне зависимости от занимаемой должности, должен понимать их смысл и выполнять точно то, что требуется.
  • Определять критичные активы компании которые необходимо защищать/наблюдать.
  • Доверять администрирование своих ИТ/ИБ-систем профессионалам. Небрежное администрирование дает злоумышленникам дополнительные возможности для атак.
  • Максимально широко использовать журналирование в критичных ИТ-системах с обязательным бэкапированием журналов в защищенное хранилище.
  • Использовать средства сбора и корреляции событий  для отслеживания  повышения привилегий пользователей в системах, подбора паролей, аномальных сетевых активностей в часы наименьшей нагрузки, обнаружения нетипичного исходящего или входящего трафика.
  • Регулярно устанавливать обновления безопасности на ИТ-системы.
  • Использовать средства защиты конечных систем, ограничивать привилегии пользователей.
  • Использовать NGFW-сетевые устройства с актуальными подписками на обновления.
  • Использовать средства контроля привилегированных пользователей.

 

По материалам интернета

Подписывайтесь на наши соцсети и будьте в курсе всех событий!
Facebook Youtube Instagram Вконтакте Форум качества Телеграм

Подписаться

Комментарии

Чтобы оставить комментарий зарегистрируйтесь или войдите

Авторизация через

Мы ежедневно предоставляем вам актуальные для Республики Казахстан объективные новости, видеорепортажи и информационно-аналитические материалы о качестве жизни в нашей стране и за рубежом.