В 2019 году на юге России была выявлена кибератака, целью которой являлась кража конфиденциальных корпоративных документов. Шпионская программа маскировалась под VPN-клиент известного российского поставщика решений в сфере сетевой защиты. Еще один громкий случай – спланированная агрессия, которой подверглись военные организации Индии: используя различные методы (в том числе целевой фишинг), неизвестные скомпрометировали веб-сайт Центра исследований сухопутных войн. И таких инцидентов в последние годы уже не десятки, а сотни.

Киберпреступники активно расширяют набор «отмычек», используя в своих целях даже устройства, не являющиеся в прямом смысле компьютерами. Так, в 2019 году «Лаборатория Касперского» обнаружила серию атак на финансовые и телекоммуникационные компании в Восточной Европе и Средней Азии, основной целью которых была кража денег. Из каждой атакованной финансовой организации злоумышленники пытались вывести по несколько десятков миллионов долларов. В корпоративных сетях телеком-компаний они искали данные для доступа к интересующей их финансовой информации.  Как определили эксперты «Лаборатории Касперского», преступники использовали уязвимости в VPN-решениях, которые были установлены во всех атакованных организациях. На этом фоне кража при помощи мини-компьютера Raspberry Pi 500 мегабайт секретных данных из Лаборатории ракетных двигателей НАСА воспринимается лишь как очередной эпизод.

Прямая и явная угроза

Одна из самых серьезных проблем в сфере информационной безопасности – так называемые продвинутые и долгосрочные угрозы (APT, advanced persistent threat). Иногда специалисты именуют их целевыми кибератаками. Но от этого не легче.

В современный ИТ-лексикон этот термин пришел из военной сферы. Применяющие такой подход злоумышленники, как правило, опираются на значительные ресурсы и развитые технологические компетенции, что позволяет им задействовать широкий набор «наступательных вооружений». В отличие от детских шалостей авторов относительно безобидных компьютерных вирусов, APT – это сфокусированная и очень осторожная осада защитного ИТ-периметра крупного предприятия, которой предшествует длительный период сбора сведений о выбранной жертве.

Наиболее распространенный сценарий таков: прежде всего, агрессор стремится обеспечить себе доступ к целевой технологической инфраструктуре (используя различные уязвимости или человеческий фактор). Затем – пытается «закрепиться» и изучить все расставленные ловушки. И лишь после этого начинается реализация основного плана: сбор информации, создание помех для осуществления коммерческой деятельности или подготовка к масштабной цифровой диверсии в будущем.

Как правило, APT-атаки легко обходят одноуровневую защиту. Но если использовать дополнительные техники обнаружения подобных угроз, возрастает вероятность ошибки со стороны самих злоумышленников. Поэтому современные подходы к противодействию целевым атакам можно описать следующим правилом: «необходимо добиться роста затрат на проведение атаки до такого уровня, когда ее результаты перестают быть прибыльными для агрессора».

По мнению специалистов «Лаборатории Касперского», идеальное решение для защиты от комплексных киберугроз и целевых атак должно иметь вид «слоеного пирога»: несколько уровней технологий обнаружения и – «начинка» из мощного аналитического инструментария.

Именно по такому принципу построено комплексное решение корпоративного уровня Kaspersky Anti Targeted Attack (KATA), включающее в себя несколько разных систем обнаружения для защиты от целевых атак. Подробное описание проекта и масса полезной информации доступно на YouTube-канале компании «Системный софт».

Стратегический арсенал

KATA – мощное средство цифровой обороны, которое может стать для крупного бизнеса одним из важнейших инструментов выявления и реагирования на инциденты информационной безопасности. Оно следит за тем, как корпоративные системы взаимодействуют с внешними сетями (естественно, и Интернетом). Мониторингу подвергаются и трафик, который генерируют сервера и рабочие станции, и каналы электронной почты, и интернет-трафик пользователей. Это необходимо для того, чтобы выявить угрозы, которые традиционными средствами определить нельзя. «Тревогу» КАТА подаст, если в ходе анализа выявит признаки, указывающие на возможную атаку.

Внедрение Kaspersky Anti Targeted Attack позволяет решить следующие задачи:

● обнаружение попыток проникновения в сеть организации

● обнаружение атак, которые уже ведутся внутри корпоративной сети и защита от сбоев, вызванных ими;

● автоматическое блокирование новых угроз при интеграции с другими решениями «Лаборатории Касперского» или сторонними системами

● сокращение финансового ущерба от целевых атак;

● противодействие компрометации корпоративных документов и данных;

● защита деловой репутации и имиджа бренда, которые сегодня зависят от таких факторов, как сохранность конфиденциальных данных пользователей или клиентов, стабильность и доступность сервисов.

Один из важнейших элементов KATA — анализатор целевых атак из «песочницы» (Sandbox), — размещаемой на отдельном сервере изолированной виртуальной среды. В ней можно запустить для проверки подозрительный объект. Даже если он окажется вредоносным, принести вред инфраструктуре компании он не сможет.

Следующий слой «пирога» Kaspersky Anti Targeted Attack Platform — тотальная проверка трафика данных в используемых каналах передачи данных при помощи системы обнаружения вторжений. КАТА взаимодействует с Kaspersky Endpoint Detection and Response (конечно, если оно используется организацией), — решением для расследования инцидентов и реагирования на них.

Вместе с выделенными сенсорами сети, они составляют целую систему точек контроля, охватывающую разные участки. Это позволяет быстро обнаружить комплексные угрозы, которым подвержена инфраструктура заказчика. Причем все случаи обнаружения угроз (даже частичного) мгновенно передаются в анализатор.

Свой вклад в обеспечение корпоративной кибербезопасности вносит и репутационная база угроз. KATA взаимодействует с облачной системой Kaspersky Security Network, которая позволяет быстрее реагировать на уже известные угрозы. Даже если они зарегистрированы минуту назад на другом конце планеты, информация уже содержится в KSN и система сможет обеспечить адекватную защиту инфраструктуры.

При этом, если организация-пользователь по каким-то причинам не хочет обмениваться данными с облачной системой, то она имеет возможность развернуть ее локальную версию, – Kaspersky Private Security Network.

Стратегическая оборона

Платформа KATA ориентирована на использование крупными предприятиями и организациями (в том числе стратегически важными и инфраструктурными), предъявляющими максимально жесткие требования к защите своих киберфизических границ.

Не случайно это решение может задействовать преимущества глобальной репутационной базы «Лаборатории Касперского» даже без необходимости передачи какой-либо информации за пределы организации. То есть, не нарушая требования ИТ-безопасности для корпоративных сетей, используемых в режиме «изоляции» от внешних ресурсов.

Kaspersky Anti Targeted Attack входит в единый реестр российского программного обеспечения, соответствует жестким требованиям ФСБ к средствам обнаружения компьютерных атак и сертифицирована ФСТЭК России.

Впрочем, не менее важным оказывается и международное признание. По итогам 2019 года, согласно рейтингу авторитетной исследовательской группы Radicati, «Лаборатория Касперского» входит в число ведущих игроков глобального рынка противодействия APT-угрозам.

В одном из самых объективных рейтингов Gartner Peer Insights (обзоры тестируемого ПО в нем составляют не аналитики, а сотрудники организаций, где эти решения применяются) КАТА получила максимально возможную оценку — 5 звезд. В нем отмечается, что «…КАТА дает ИБ-аналитику возможность сосредоточиться на сути атаки, а не теряться, изучая ее детали».

И это о многом говорит.