Подводя итоги 2015 года, в «Лаборатории Касперского» констатировали, что, хотя вирусов в прошедшем году стало меньше, они в среднем стали «качественнее» (см. «Вирусы-2015: хуже меньше, да лучше», Computerworld Россия, 15 декабря 2015). Как отметил заместитель директора по исследованиям и разработке «Лаборатории» Сергей Гордейчик, представляя в середине февраля новое решение компании, Kaspersky Anti Targeted Attack Platform, наиболее продвинутые злоумышленники перешли от «случайных» атак к целенаправленным.
Обычные атаки составляют 99% их общего числа, но на них приходится лишь 10% ущерба. А 90% потерь (прямые убытки плюс расходы на восстановление информационных систем) вызывают атаки целевые, на которые приходится всего 1%. В среднем ущерб составляет 2,54 млн долл. для крупной компании и 84 тыс. долл. — для компании малого или среднего масштаба.
Жертву целевой атаки долго изучают, выясняют, какие защитные средства она применяет («неоценимую помощь» в этом нередко оказывают объявления о соответствующих тендерах), оценивают защищенность ее партнеров — очень часто на предприятие «заходят» не напрямую, а через менее защищенные системы контрагентов.
Реализуются атаки тоже с выдумкой. Так, попросив на всякий случай экспертов «Лаборатории» проанализировать, почему зависают банкоматы, в одном из банков обнаружили, что злоумышленниками «захвачен» контроллер домена сети банкоматов. Сделано это было через маршрутизаторы на периметре сети банка. При этом в банкоматы не устанавливался зловредный код — грабители использовали стандартные средства, применяемые программистами при наладке работы устройств, а потому системы противодействия их работу не заметили. В ИТ-системах банка никаких следов эти действия не оставили. Злоумышленники получали информацию о картах клиентов банка, но «монетизировали» свои знания через другие банки. Собственно, поэтому в банке так спокойно относились к проблемам с банкоматами — сам он деньги не терял, а терявшие деньги банки взлому не подвергались, и где искать корень проблем, им было непонятно.
Сенсоры KATAP отслеживают происходящее в защищаемой сети, выявляют подозрительную активность, после чего полученная информация изучается в аналитическом центре Источник: «Лаборатория Касперского» |
«Не обязательно быть целью, чтобы быть жертвой», — резюмировал Гордейчик.
Еще в одной компании-жертве заметили что-то неладное лишь благодаря ошибке оператора хакерской сети — тот должен был отдать команду на шифрование дисков зараженных компьютеров частных лиц, но случайно «зацепил» и один из подконтрольных корпоративных. Выяснилось, что проникновение произошло более полугода назад, под контролем хакеров находится более 500 компьютеров, с которыми внешне ничего не происходит.
В среднем целевая атака, по данным «Лаборатории», остается необнаруженной более 214 дней. А может остаться необнаруженной вообще: после достижения поставленных целей злоумышленники стараются замести следы. Поэтому и противодействовать таким атакам надо комплексно.
Kaspersky Anti Targeted Attack Platform (КАТАР) предоставляет как многочисленные технические средства, разработанные в «Лаборатории Касперского», так и услуги по анализу инцидентов, включая расследование причин и результатов состоявшихся случаев вторжения. Сенсоры KATAP отслеживают происходящее в защищаемой сети, выявляют подозрительную активность, а в аналитическом центре изучается полученная информация, в том числе с привлечением ресурсов антивирусного облака Kaspersky Security Network. Подозрительные объекты помещаются в «песочницу», в которой исследуется поведение потенциально вредоносных объектов без риска для действующих ИТ-систем.
Поскольку атака готовится долго, с изучением всех слабых (как технически, так и организационно) мест жертвы и ее окружения, то для обороны необходимо, чтобы ответственные за безопасность, помимо прочего, умели смотреть на свою компанию со стороны, глазами хакеров, это даст возможность прогнозировать их действия. В «Лаборатории» уверяют, что обладают доступом на специализированные закрытые хакерские форумы, где обсуждаются цели и методы атак. Такого рода контрразведывательная деятельность может помочь в организации упреждающих действий еще до начала атаки.
«Лаборатория Касперского» не первопроходец в области таких решений. Но, как заверил Вениамин Левцов, вице-президент по корпоративным продажам и развитию бизнеса, компания не опоздала с выпуском KATAP. Сейчас на этом рынке много игроков, но большинство из них предлагают продукты, которые задач по противодействию целевым атакам на самом деле не решают. У них нет ни опыта борьбы с атаками, ни возможности хотя бы отчасти заглянуть в планы потенциальных агрессоров.
У «Лаборатории» уже идет около дюжины «пилотов» в России и за рубежом, но в этом году от нового бизнеса не ждут существенных доходов — планируется получить несколько миллионов долларов, из них около трети в России.