Все, что нужно знать об APT

[KL FC Bot]

Сегодня мы довольно много говорим о вредоносном ПО, которое вторгается в нашу повседневную жизнь. Что-то из этого списка более опасно, что-то менее, что-то ориентировано на обычных пользователей, а что-то — на компании. Компании, кстати, в этом списке еще и потому, что интеллектуальная собственность представляет немалую ценность. Расширенная постоянная угроза (Advanced persistent threats, APT) является одной из самых опасных, существующих в настоящее время. В ходе Европейской конференции RSA-2013 мы встретились с Нилом Такером, специалистом по вопросам стратегии безопасности WebSense, Хайме Бласко, директором AlienValut Labs, и Костином Райю, руководителем центра глобальных исследований и анализа угроз «Лаборатории Касперского». Все вместе мы обсудили характеристики этой угрозы и способы защиты от нее.

 

Расширенные постоянные угрозы — довольно угрожающе звучит, верно? Тем не менее они всегда где-то рядом уже несколько лет. «Расширенные» потому, что в этих атаках используются более сложные инструменты, чем те, которые обычно применяют киберпреступники. «Постоянная» потому, что брешь в корпоративной сети пробивается непрерывно, и это может длиться месяцами, а то и годами. Отсюда вывод, что такие атаки организуются против каких-либо корпораций. Тем не менее частные пользователи тоже не могут быть в безопасности, так как сами по себе не являются интересной целью для преступников крупного масштаба. Однако если кто-то из вашего окружения — родственник, член семьи, друг — занимает заметный пост в крупной компании, то в этом случае вы можете стать полезным киберпреступнику, ищущему выход к этой компании. Ущерб от таких атак намного более существенный, чем от атак простых хакеров. Как  объяснил Нил Такер: «Они используют различные векторы, различные типы эксплойтов и самые разнообразные виды уязвимостей доступа к конфиденциальным данным компании». Так что же является основной целью подобных атак? Вы будете удивлены, но основной целью таких атак является интеллектуальная собственность компаний.

Интеллектуальная собственность — основная цель

Основной целью таких атак является интеллектуальная собственность компаний.

Большинство компаний хранят важную информацию в сети. Патенты, инновационные проекты, готовые результаты, порой даже конфиденциальные данные — все это хранится в сети. Основная цель APT — интеллектуальная собственность. Исполнители атаки определяют сотрудников, которые имеют доступ к нужной информации и при этом желательно не в курсе всех вопросов безопасности. Именно они будут теми тоннелями, через которые злоумышленники и будут проникать в сеть и завладевать нужной им информацией. «Если в вашей компании есть информация подобного рода, вы должны быть в курсе этих типов угроз и использовать все необходимые средства, существующие в настоящее время, для защиты объектов интеллектуальной собственности», — предупредил Хайме Бласко. Но исполнители угрозы могут и не заниматься шпионажем.  Они могут нанести серьезные повреждения сети и парализовать всю систему функционирования компании. Как объяснил Костин Райю: «У нас были случаи, когда такие атаки приносили прямой ущерб деятельности компании. Например, целевая атака против нефтяной компании Saudi Aramco парализовала 30 000 компьютеров в августе прошлого года. Так что хотя основной мишенью постоянной расширенной угрозы и является интеллектуальная собственность, но подобная атака может вызвать паралич всей сети, а следовательно, и деятельности компании».

Теперь, когда мы разобрались с целями этих атак, вам, наверное, интересны методы и способы борьбы против них?

Панацеи нет, но это не значит, что защищаться бесполезно

Целевые атаки или APT будут актуальны до тех пор, пока компании будут обладать привлекательной информацией.

Первое, что нужно знать, как говорят все трое наших экспертов, — это то, что абсолютного противоядия нет. Тем не менее каждый из них дал нам некоторые рекомендации, позволяющие свести риск к минимуму. Никаких волшебных рецептов нет, но некоторые действия и процессы должны быть использованы, как о том говорит Хайме Бласко: «Очевидно, вы ждете готовых рецептов, чтобы защититься от угроз, но я считаю правильным комплексное решение из определенных технологий, процессов и особенностей поведения. Я считаю сочетание всего этого наиболее важным». Костин Райю добавил: «Изучение жертв APT также очень полезно. Изучая их, мы замечаем, что 95% жертв стали таковыми из-за недостаточно высоких норм безопасности. Они не знали о возможных рисках, не устанавливали все патчи обновления и не использовали актуальное антивирусное программное обеспечение. И они попали под атаку. Прежде всего компаниям необходимо убедиться, что в системе установлены все последние обновления, самые свежие версии операционных систем и используются безопасные браузеры (такие как FireFox или Chrome) со всеми обновлениями. Однако необходимо также обучать пользователей. Если вам удастся проделать все это, то вы будете неплохо защищены от направленных атак». Нейл Такер считает, что важное значение имеет просвещение сотрудников: «Это образование должно проводиться на всех уровнях компании. Не стоит недооценивать киберпреступников, но если вы все знаете о возможных рисках и приняли все меры безопасности, то с вами постараются не связываться».

В заключение этой беседы с экспертами можно с уверенностью сказать, что целевые атаки или APT будут актуальны до тех пор, пока компании будут обладать привлекательной информацией. Пока готового и общего решения этой проблемы нет, но профилактика и образование являются серьезными барьерами перед возможной опасностью. Всегда помните, что 100-процентной безопасности не существует, поэтому надо постоянно проявлять бдительность.

Читать далее >>