Как работают направленные ИТ-атаки

Направленные кибер атаки становятся серьезной проблемой для современного общества. Они угрожают не только гражданским объектам инфраструктуры, но и стратегически важным военным центрам.

У направленных атак есть общие черты:

• Исходя из названия проблемы, становится понятным, что целью атаки являются конкретные объекты, а не случайные. Осуществляется она за счет профессионально подготовленной группы.
• Главными инструментами атаки являются 0-day, а также социальная инженерия.
• В случае успешного отражения направленной атаки, стоит ожидать новую. Вероятно, что она будет проходить с иным подходом. Некоторые повторяют атаку спустя годы.
• Целью таких атак являются важные, зачастую компрометирующие материалы, такие как переписки, исходные коды программ и коммерческие тайны.
• Любая направленная атака подразумевает зачистку следов, то есть логов и всего прочего.

Планирование и реализация атаки

Для начала, перечислим основные моменты, которые учитываются и реализуются для проведения успешной атаки. Так можно лучше понять, что нужно предпринять для защиты данных:

• Предварительная разведка объекта, с помощью изучения профилей сотрудников компании за счет их социальных сетей. После этого анализируется схема корпоративной сети, аппаратная и программная часть, включая системы защиты.
• Подборка вектора атаки – это следующий этап, во время которого решается, как именно будет осуществляться взлом. В основном, выбор сводится к атаке непосредственно через ПК сотрудников, либо через те объекты, которые имеют отношение к обеспечению безопасности сети.
• Далее осуществляется сама атака, в ходе которой пытаются захватить все важные узлы сети.
• После захвата происходит укрепление завершенной атаки, за счет подавления действующих систем защиты.
• Далее дело за поиском нужной информации, которая хранится на серверах. Для этого анализируются системы обновления ПО и прочие элементы сети.
• Как только информация была найдена, её доставляют наружу, с помощью архивации и сегментирования данных.
• Последним этапом является зачистка следов, а также закладка небольшого эксплойта, с помощью которого можно будет повторить взлом, но уже гораздо быстрее.

Маскировка атаки

Для реализации направленной атаки необходима подготовка в плане ее маскировки, чтобы избежать раннего обнаружения. Самым простым и эффективным решением является массированная DDoS-атака.

Какие средства защиты можно использовать

Для защиты корпоративной сети понадобятся специализированные программы, которых на рынке великое множество. В основном, нужно уделить внимание защите web-приложений, а также регулярному сканированию сетевого трафика, чтобы иметь возможность вовремя выявить аномалию. Не стоит игнорировать и шифровку кода ПО или сайтов. Для защиты от массированных DDoS-атак могут пригодиться утилиты от Kaspersky, а также аппаратная часть Radware DefensePRO.

Реализация защиты в теории

1. Распространенные межсетевые экраны не способны засекать медленное сканирование со стороны. Поэтому, нужно настроить файрволл NG FW, который будет исследовать любые аномалии.
2. Для предотвращения прямого вторжения, пригодятся специальные ловушки и песочницы. Первые способны поднять тревогу до заражения, приняв на себя первый удар. Песочницы, в свою очередь, могут моделировать ту среду, которая нужда вредоносному ПО. Таким образом, за счет раскодирования и моделирования администраторы могут проанализировать, что именно содержится в ПО или полученном архиве.
3. В случае успешно проведенной атаки, необходимо вовремя проанализировать ее уровень угрозы и степень распространения в сети. Если все сделать правильно, то можно локализовать атаку и не дать злоумышленникам украсть данные. В другом случае, можно узнать, какая информация была скомпрометирована.
4. После всей суматохи, наступают разбирательства. Для начала, нужно смоделировать атаку и зафиксировать все детали. Многие делают это с помощью Forensic Analysis. После получения всех улик и составления отчета нужно обращаться в суд.

Защита от атаки на практике

Очень часто, направленные атаки в России проводятся за счет хорошо известных, брутфорсов и массированными DDoS-атаками. Итак, что нужно сделать для защиты от вышеуказанных проблем:

1. Регулярно обновлять каждое средство защиты.
2. Создать профили потоков между хостами, которые будут мониториться.
3. Создать четкие правила в сети и разграничить доступ.
4. Создать утилиту для тестирования безопасности внутри сети.
5. Регулярно оптимизировать настройки сети со стороны ПО и аппаратной части.
6. Установить доступ к магистральному каналу, чтобы перенаправить на него DDoS-атаку.
7. Регулярно мониторить форумы хакеров (можно с помощью краулеров) с целью обнаружения уязвимостей, лежащих в открытом доступе.

Организация защиты кода

Это актуально для ИТ-компаний, создающих ПО, то есть, пишущих код. Здесь помогут специализированные программы для анализа целостности файлов, частоты обращений к ним, а также попыток внесения изменений. Помимо этого, нужно регулярно отслеживать возможные уязвимости как в сети, так и в аппаратной части.

Безопасность пользовательского оборудования и ПО

Многие взломы происходят за счет пользовательских ресурсов. Банальный троян может украсть персональные данные, скомпрометировать счета и т.д. Это огромная проблема для компаний, работающих с клиентскими данными. Поэтому нужно изолировать ПК пользователей и их сеть от основных направлений, считая их заранее уязвимыми.

Итог

Направленные атаки – это серьезная проблема для компаний. Поэтому нужно учесть все их возможные векторы, не слишком надеяться на реализованные средства защиты и организовать беспрерывный мониторинг сети. Гонка технологий – это не миф, поэтому никто не может гарантировать себе 100% безопасность, но можно до минимума снизить риски, за счет правильной профилактики.

Уберечь корпоративную сеть от кибер посягательств поможет эффективная профилактика, состоящая из множества шагов. Мы организуем надежную защиту вашей бизнес сети и гарантируем 100% безопасность. Обращайтесь!