Қаз
Социальные сети

Поделиться

Что такое кибератаки и как с ними бороться?

  • 7 июля 2021
Что такое кибератаки и как с ними бороться?

В арсенале киберпреступников  большое количество разновидностей атак, инструментов и методов. Некоторые - универсальны, другие - предназначены лишь для выполнения специфических задач. Один из таких инструментов — целевые кибератаки (advanced persistent threat, APT). Первыми термин APT начали использовать специалисты компании Lockheed Martin. Изначально так называли лишь атаки, направленные на военные и государственные объекты. Сейчас термин APT используют для обозначения всех сложных атак, цель которых — направленное многоходовое проникновение в инфраструктуру для несанкционированной эксплуатации инфраструктуры жертвы в корыстных или личных целях. Как правило, APT-атаки тщательно готовятся. Они направлены на конкретные компании или организации. Организаторы таких атак в подавляющем большинстве случаев — преступные группировки со значительными ресурсами.

Насколько опасны APT-атаки и почему они эффективны? Поскольку эта разновидность атак готовится и реализуется хорошо подготовленными специалистами, то APT-атаки — один из наиболее опасных аспектов деятельности киберпреступников. 
Главная особенность APT-атак в том, что их сложно обнаружить. Вредоносное программное обеспечение часто подписывается скомпрометированными цифровыми сертификатами реально существующих организаций. Такой метод маскировки позволяет обманывать антивирусное ПО, так что зловредный софт остается в сети предприятия или организации долгое время. Организаторы APT-атак используют модульную структуру атакующего ПО. Каждый модуль выполняет определенную задачу на конкретном этапе атаки. В результате обнаружить деятельность злоумышленников еще сложнее. Чем позже жертва обнаруживает вторжение, тем сложнее смягчить возможные негативные последствия для бизнеса.
 
Этапы подготовки и реализации атаки
APT-атаки отличаются друг от друга, поскольку готовятся индивидуально, но есть общие для всех этапы.
  • Разведка на местности. Киберпреступники изучают инфраструктуру предполагаемой жертвы. Чем больше информации о ней злоумышленник может найти в доступных источниках, тем проще определить векторы будущих атак.
  • Активная фаза. После того, как злоумышленники получают необходимую информацию о жертве или жертвах, начинается следующий этап. Чаще всего это социальная инженерия, подбор паролей, эксплуатация уязвимостей и ошибок в конфигурации оборудования. Цель этого этапа — получение доступа к внутренним корпоративным системам. На этом этапе жертва уже может видеть признаки APT-атаки. Например, частое поступление фишинговых писем сотрудникам, необычное поведение IT-систем, уничтожение логов событий и т.п. Доступ к информации еще сохраняется. Киберпреступники до определенного момента маскируют свою деятельность, закрепляясь в инфраструктуре и оставляя бэкдоры.
  • Изучение инфраструктуры изнутри. Получив доступ к определенным ресурсам, злоумышленник переходит к выявлению критичных для жертвы систем. На этом этапе деятельность киберпреступников становится хорошо заметной, хотя и не во всех случаях. Вовремя отреагировав, можно сорвать атаку. Обязательно нужно установить, как злоумышленник попал в сеть организации, какие ресурсы скомпрометированы, где и как установлены бэкдоры. Без расследования жертва рискует получить продолжение атаки.
  • Финал APT-атаки. Это получение киберпреступниками максимально возможного контроля над инфраструктурой и активами жертвы. Дальнейшая несанкционированная эксплуатация инфраструктуры жертвы может быть какой угодно: кража средств, нарушение работоспособности промышленных систем, атака других систем при помощи уже скомпрометированной.
Методы и инструменты борьбы с APT-атаками
Специалисты по информационной безопасности выделяют следующие методы и инструменты.
  • Система ловушек Honey Tokens. При условии грамотной настройки ловушки позволяют выявить признаки присутствия злоумышленника и вовремя принять меры, направленные на защиту активов компании.
  • Аппаратные устройства однонаправленной передачи данных. На базе таких устройств/систем совместно с файерволами можно организовывать хорошо защищённые сегменты сети. Передача трафика через такие устройства выполняется в одном направлении. Отсутствие обратной связи осуществляется при помощи гальванической развязки. Для систем, требующих двунаправленный трафик, используются схемы с двумя  однонаправленными устройствами. При такой защите злоумышленнику становится довольно сложно получить доступ в защищенную область из-за отсутствия обратной связи.
  • SIEM-система. Позволяет агрегировать и анализировать события из ИТ-систем.  Грамотно развернутая и правильно настроенная система позволит специалистам вовремя отреагировать на возникающие угрозы, которые могут являться частью АРТ-атаки.
Кроме того, компаниям и организациям, которые заботятся о безопасности и устойчивости своей IT-инфраструктуры, необходимо регулярно оценивать уровень защищенности периметра сети компании при помощи профессионального пентестера. Качественно проведенное тестирование позволяет получить информацию во всех деталях об уровне защищенности и предстоящих необходимых мероприятиях, нацеленных на повышение уровня защищенности. В результате тестирования, опираясь на отчеты, можно спланировать организационные и технические меры для устранения уязвимостей, чем существенно снизить риск развития сложной атаки.
Бороться с хорошо организованными APT-атаками сложно, но не невозможно. Для этого стоит выполнять комплекс действий - как административных, так и технических:
  • Регулярно повышать уровень осведомленности сотрудников в части ИБ. Заказывать проведение учебных фишинговых рассылок.
  • Разрабатывать и регулярно обновлять политики по ИБ. Каждый сотрудник, вне зависимости от занимаемой должности, должен понимать их смысл и выполнять точно то, что требуется.
  • Определять критичные активы компании которые необходимо защищать/наблюдать.
  • Доверять администрирование своих ИТ/ИБ-систем профессионалам. Небрежное администрирование дает злоумышленникам дополнительные возможности для атак.
  • Максимально широко использовать журналирование в критичных ИТ-системах с обязательным бэкапированием журналов в защищенное хранилище.
  • Использовать средства сбора и корреляции событий  для отслеживания  повышения привилегий пользователей в системах, подбора паролей, аномальных сетевых активностей в часы наименьшей нагрузки, обнаружения нетипичного исходящего или входящего трафика.
  • Регулярно устанавливать обновления безопасности на ИТ-системы.
  • Использовать средства защиты конечных систем, ограничивать привилегии пользователей.
  • Использовать NGFW-сетевые устройства с актуальными подписками на обновления.
  • Использовать средства контроля привилегированных пользователей.

 

По материалам интернета

Подписывайтесь на наши соцсети и будьте в курсе всех событий!
Youtube Facebook Instagram Форум качества Телеграм

Подписаться

Комментарии

Чтобы оставить комментарий зарегистрируйтесь или войдите

Авторизация через

Мы ежедневно предоставляем вам актуальные для Республики Казахстан объективные новости, видеорепортажи и информационно-аналитические материалы о качестве жизни в нашей стране и за рубежом.