Чего добиваются киберпреступники? Похитить деньги или данные. Зашифровать содержимое баз данных и получить выкуп. Привести в неработоспособное состояние инфраструктуру организации. Можно назвать еще сотни целей хакеров, и большинство из них будут связаны с тем, чтобы получить выгоду от своих действий «здесь и сейчас».

Но есть множество организаций, которые представляют для злоумышленников иной, долгосрочный интерес. Проникнув внутрь периметра такого предприятия, хакеры ведут себя тихо и незаметно. И для этого есть весьма веские причины: шпионаж, постоянная продолжительная кража данных или технологий, которые разрабатываются компанией.

Наконец, расставленные в инфраструктуре «жучки» могут использоваться как мина замедленного действия, которая будет приведена в действие в подходящий момент. Иными словами, задача такого нападения – создание постоянной угрозы, о которой жертва как правило не знает. Называются такие атаки АРТ (Advanced Persistent Threat – Постоянная серьезная угроза).

Как развивается АРТ

АРТ-атаки – сложный и продолжительный процесс. Начинается он с проникновения злоумышленников в пределы периметра организации, которое, как правило, заканчивается размещением вредоносного кода на одном или нескольких узлах инфраструктуры. Затем зловред начинает «прощупывать» инфраструктуру, находить в ней уязвимости и отправляет эти данные в «центр управления», а также создает новые точки входа внутрь периметра.

Когда хакеры понимают, что жертва атаки контролируются ими, они начинают действовать: красть данные или другую конфиденциальную информацию, контролировать работу предприятия, пытаться следить через организацию за ее контрагентами. Вся собранная информация передается при этом на промежуточный сервер – он помогает замести следы и не быть обнаруженными службой безопасности предприятия.

В период АРТ-атаки преступники используют множество инструментов. Если для первичного проникновения как правило достаточно фишингового письма или взломанного пароля, то затем часто применяются иные методы. Чаще всего наблюдение за организацией ведется в автоматическом режиме и может продолжаться несколько месяцев или даже лет.

Стоит отметить, что организация АРТ-атаки под силу только продвинутым хакерским группировкам. Слишком сложен инструментарий их проведения, а преступники должны обладать весьма серьезными компетенциями, чтобы не только совершить удачный взлом защиты, но и сохранять его в тайне от ИБ-специалистов компании-жертвы.

Много технологий, единая платформа

Защита от АРТ-атак так же сложна и многогранна, как и она сама. Учитывая разнообразие инструментария и методов киберпреступников, защита от АРТ тоже должна использовать целый комплекс технологических средств. Именно такой подход предлагают, к примеру, в «Лаборатории Касперского» – платформу Kaspersky Anti Targeted Attack.

Она в качестве базового решения использует Kaspersky EDR Expert, продвинутую версию системы обнаружения угроз и реагирования на них. Его возможности дополняют многочисленные модули, среди которых выделяются Kaspersky Security для почтовых серверов и для интернет-шлюзов. Они контролируют наиболее часто используемые злоумышленниками точки входа, электронную почту и веб-трафик, фильтруют вредоносный контент, запрещают передачу конфиденциальной информации.

Кроме того, в состав Kaspersky Anti Targeted Attack входит песочница для анализа угроз и моделирования инцидентов – KATA Sandbox, а также аналитические модули, которые позволяют вести мониторинг киберрисков, расследовать инциденты, а кроме того в автоматическом режиме пользоваться компетенциями вендора.

В качестве источников данных Kaspersky Anti Targeted Attack использует репутационную информацию Kaspersky Security Network и портал Kaspersky Threat Intelligence. Доступно и проведение ретроспективного анализа, даже в тех случаях, когда данные зашифрованы, а конечные устройства недоступны: все данные постоянно собираются и хранятся в централизованном хранилище платформы.

Что умеет Kaspersky Anti Targeted Attack

Возможности платформы практически закрывают потребности крупной организации, находящейся в сфере потенциального интереса организаторов целевых атак, в технических средствах защиты. Она не просто «закрывает» от проникновения периметр на всех возможных уровнях. Сетевую активность хакеров Kaspersky Anti Targeted Attack контролирует по 80 протоколам, в том числе по 53 протоколам прикладного уровня.

Кроме того, платформа способна сопоставлять ИБ-события на пользовательских рабочих станциях с сетевыми событиями – это позволяет практически мгновенно определить атакуемую «точку входа», вне зависимости от того, какую операционную систему использует уязвимая машина (российские операционки, к слову, поддерживаются платформой в полном объеме).

Наконец, нужно отметить еще одно важное качество Kaspersky Anti Targeted Attack. Эта платформа дает компаниям не только надежную техническую защиту, но и возможность получить повседневный рабочий инструмент для специалистов служб безопасности. Это способствует проведению многомерного анализа и визуализации данных о состоянии информационной безопасности на предприятии.

Не менее важно, что почти все эти операции проводятся автоматически, а это дает время сотрудникам ИБ-подразделений заняться иными, весьма важными задачами, включая работу в области регламентирования.

Кому предназначена Kaspersky Anti Targeted Attack

Kaspersky Anti Targeted Attack – сложная платформа, использование которой предполагает наличие у компании развитых ИБ-компетенций. Основная ее аудитория – крупный бизнес с собственными ИБ-службами. Но сложность платформы не только объяснима, но даже необходима – она призвана противостоять наиболее сложным и комплексным киберугрозам.

Конечно, использование Kaspersky ATA потребует от предприятия вложений в инфраструктуру для развертывания решения и содержание персонала. Но инвестиции в безопасность – не те расходы, на которых стоит экономить. Последствия успешной АРТ-атаки «стоят» куда дороже: скомпрометированных данных, похищенных коммерческих секретов и потерянного на годы имиджа.