APT (advanced persistent threat) – это пример той аббревиатуры, которая приводит в состояние обеспокоенности как любого CISO, так и рядового сотрудника отдела безопасности.
APT-атаки представляют собой целенаправленные (таргетированные) атаки, защита от которых требует грамотно выстроенной системы защиты, зрелости процессов информационной безопасности, высокой компетенции и обширного опыта.
В чем же состоит опасность APT-атак и в чем они схожи и отличны от иных атак?
Первое и самое главное отличие APT-атак – это наличие четко определенной цели (при чем в качестве таковой может выступать как отдельный объект, так и целые сектора экономики). При этом под целью необходимо понимать и конечный результат компрометации инфраструктуры, в качестве которого могут выступать:
Масштабность конечных задач определяет второе отличие APT-атак – тщательную подготовку. При этом этап подготовки может являться достаточно длительным и включать следующие элементы:
Здесь особо стоит подчеркнуть, что (как это ни странно) организации-жертвы зачастую упрощают жизнь злоумышленникам. Особенно это касается государственных органов. Большинство данных об имеющихся технологиях и защитных решениях можно получить, всего-навсего проанализировав сайт госзакупок. На котором размещается информация о планируемых приобретениях с указанием подробной спецификации. С одной стороны в этом ничего страшного, однако с другой – дает злоумышленнику представление об имеющихся средствах, а вместе с ними и о подходах и технологиях защиты.
Этап подготовки не является самоцелью, он направлен на дизайн решения, которое позволит успешно преодолеть все защитные рубежи. При этом при проработке методов, средств и способов атаки в большинстве случаев созидаются уникальные решения, которые основаны на полученной ранее информации. Они могут состоять как из программной составляющей, так и из организационной и включать в себя:
Кроме непосредственно подготовки вредоноса (а чаще целого их набора), детально прорабатываются векторы проникновения.
Можно выделить следующие основные:
В лидерах рассылка особым образом подготовленных почтовых сообщений. При этом это далеко не обычный фишинг в обывательском его понимании. Злоумышленники пристально следят за событиями и важными вехами в жизни организации-цели и формируют письмо таким образом, что оно фактически ничем не отличается от легитимного: содержит айдентику компании, релевантный стиль изложения, отправлено в рабочее время, затронут актуальный круг вопросов.
Эксплуатацию уязвимостей публичных сервисов тоже никто не отменял. Однако зачастую для проникновения используются 0-day, которые целенаправленно ждут своего часа для конкретной организации. Но также встречаются случаи эксплуатации давно известных уязвимостей (привет WannaCry, BlueKeep и иже с ними). Стоит обратить внимание на то, что информация о многих 0-day после успешных APT-атак попадает в публичное пространство. Фактически злоумышленники, использовав ту или иную уникальную уязвимость для компрометации своей цели, делятся новым результатами своего труда со всем миром. Чему очень рады владельцы бот-сетей, очень бысро берущие на вооружение очередной подарок профессиональных хакеров.
Однако, в последнее время на первое место выходит атака через цепочку поставок (supply chain), суть которой заключается в компрометации целевой инфраструктуры транзитивно через компрометацию подрядной организации и/или вендора, распространяющегося то или иное ПО (мы все еще помним про информацию на сайте госзакупок). Прочитать о supply-chain на примере нашумевшей атаки на Solar Winds можно в обзоре наших коллег.
Здесь нужно заострить внимание на непреложной истине: уровень Вашей безопасности определяется уровнем безопасности наиболее уязвимого элемента. В свете атаки на цепочку поставок безопасность любой организации (в том числе и Вашего бизнеса) является производной от уровня безопасности подрядных организаций. Фактически складывается парадоксальная ситуация, при которой все Ваши усилия, затраты, время ставятся в прямую зависимость от третьей стороны, уровень защищенности которой является загадкой.
Этап доставки вредоноса (независимо от способа его попадания в сеть) является лишь началом длительного жизненного цикла и деятельности злоумышленников в сети организации-жертвы. Следующим после него идет этап закрепления и распространения по локальной сети. В отличие от "простых" атак (например, вирусов-шифровальщиков) APT-атаки преследуют долгосрочные цели. А это значит, что злоумышленникам необходимо как можно дольше оставаться незамеченными. Иногда они, закрепившись в сети, не предпринимают никаких зловредных действий, ожидая часа X. Для того, чтобы максимально долгое время сохранять инкогнито, в последнее время все чаще используются легитимные средства (например, PsExec или WMI), функционирование которых не вызывает подозрений как у средств защиты, так и службы информационной безопасности. При этом не редки случаи, когда используются бесфайловые вредоносы, которые исполняются в оперативной памяти и оставляют очень мало следов своей жизнедеятельности.
Тщательная подготовка, необходимость написания уникальных вредоносов, исследования, направленные на поиск 0-day – все это обусловливает высокую конечную стоимость проведения атаки. А следовательно, и значимость цели. Безусловно, основными жертвами APT-атак выступает крупный бизнес, государственные организации и критическая информационная инфраструктура.
Но это не значит, что всем остальным можно спать спокойно. И вот почему:
Данные факты подстегивают необходимость готовности к противостоянию APT-угрозам практически всех.
При этом успешное противодействие подготовленным злоумышленникам требует круглосуточной готовности к активному противоборству. Защита от APT-атак может быть успешна только при наличии:
Противостояние APT-атакам – это прежде всего противостояние высококвалифицированным профессионалам своего дела (зачастую, имеющим звания и специальное вооружение). И это противостояние является непрерывным процессом, требующим постоянного внимания.
Команда «Киберзащиты» обладает необходимыми решениями, компетенциями, успешным опытом противостояния APT-угрозам.
Наше Anti APT решение позволит обезопасить Ваш бизнес от посягательств злоумышленников.