В схожей ситуации находится и современная ИТ-индустрия. Зайдя на сайт группы «хактивистов» Anonymous, можно довольно долго листать список их «достижений», которые нанесли немалый ущерб государственным и коммерческим организациям. Они в точности используют эффект новой, неизвестной угрозы против которой нет защиты.
Но Anonymous не так страшны, как могут оказаться конкуренты и киберпреступники, целью которых является коммерческая или государственная тайна, а так же персональные данные.
Причина, по которой происходят взломы серверов и кража данных, кроется в самих производимых атаках, так как они спланированы со знанием архитектуры систем безопасности жертвы и обладают техниками для их обхода.
Почему большинство систем защиты устарели?
Все угрозы можно условно разделить на «традиционные», к которым принадлежит большинство угроз актуальных до 2005 года, и угрозы «нового поколения», появившиеся относительно недавно и актуальны в наши дни.
Задачи традиционных угроз, в большинстве случаев, были больше схожи с актами вандализма. Злоумышленники с детским задором к разрушению создавали искусные, но простые в обнаружении вирусы, которые были предназначены для нанесения вреда компьютеру или сети, но не более. Такие угрозы путешествовали по Интернету, проверяя «открытые двери», а затем пробирались в систему, чтобы сеять хаос. Противодействием такому ПО, являлось создание сигнатурных баз, которые содержали некие параметры, характерные для данного типа угроз. Путем поиска совпадений при банальном подборе и анализе характерных действий, традиционные решения безопасности довольно успешно вылавливали вредоносные элементы из легитимного трафика.
Но угрозы «нового поколения» имеют совершенно иные задачи. Они не стремятся что-либо повредить или сломать. Основной целью современных угроз, является кража данных, для чего они всеми путями стараются получить контроль над сетью, а в качестве характерной черты можно отметить скрытность, именно поэтому их тяжело обнаружить и обезвредить. Причиной, по которой IPS, Firewall, NGFirewall и другие традиционные решения безопасности против них бессильны, является то, что они используют неэффективный сигнатурный метод детектирования.
Угрозы нового поколения
К наиболее опасным угрозам нового поколения принадлежат атаки нулевого дня (zero day attack). Это атаки на уязвимости ОС или приложений, еще не закрытые производителем и на которые антивирусные компании не имеют сигнатур. Такие атаки являются аналогией впервые примененного химического оружия войсками немецкой армии в 1915 году, защита против которого была разработана уже после нанесенного ущерба.
Следующий тип — продвинутые устойчивые атаки (Advanced Persistent Threats-APTs) их еще называют продвинутые направленные атаки (Advanced Targeted Attack-ATA) — изощренные атаки, целью которых является проникновение и установление контроля над сетью жертвы. Они используются для шпионажа, сбора документов, личной переписки, логинов и паролей с последующей их отправкой злоумышленникам. APT-атаки являются трудно определимыми, потому как никакого ущерба не причиняют и могут скрытно находится в сети по несколько лет, выполняя свою задачу.
Большинство компаний тратит свои ИТ-бюджеты на противодействие предыдущему поколению угроз, именно поэтому 95% организаций по всему миру беспомощны против направленных атак. Текущее поколение угроз — уже не детские шалости, а результат серьезной работы профессионалов, бороться с которыми нужно с помощью современных решений.
Киберпреступность сегодня — это многомиллиардная индустрия. Организация направленной атаки с применением APT и Zero-day дело не из дешевых, поэтому атакующие зачастую хорошо скоординированы, оснащены технически и финансово.
Можно выделить три группы атакующих:
- киберпреступники — хакеры или группы хакеров, взламывающие сеть за деньги. Чаще всего охотятся за номерами кредитных карт, которые потом сбывают на черном рынке. Также их могут заинтересовать учетные данные социальных сетей Twitter, Facebook, LinkedIn, котирующихся на черном рынке.
- наемники, спонсируемые государством — хакеры выполняющие заказы правительства по взлому и проникновению в сеть коммерческих и государственных организаций. Данная группа относительно недавно вышла на авансцену хакерской индустрии ее основными игроками является Россия, Китай, Иран и США.
- хактивисты. Хактивизм — это использование цифровых средств для достижения политических целей. В отличие от киберпреступников, хактивисты мотивированы политической идеологией (Anonymous).
Решения для защиты сетевой инфраструктуры от атак нового поколения относятся к классу Next Generation Threat Protection (NGTP) технологичным и инновационным лидером в котором является компания FireEye, Inc. C 2006 года FireEye предлагает набор решений, которые были спроектированы специально для обнаружения и блокирования современных угроз, распространяющихся по всем возможным векторам атак.
Давайте рассмотрим, каким образом решение FireEye обеспечивает обнаружение и блокирование угроз нового поколения (Рис. 1).
На пути в IT-инфраструктуру, вредоносное ПО находится в среде «хорошего» трафика — такого как web, email или во вложенных документах. Чаще всего, это безвредный эксплоит, не представляющий никакой угрозы. Такая скрытность позволяет ему обойти любой метод защиты традиционных решений безопасности, но оказавшись в системе, в определенный момент получить некий инкремент и начать атаку.
Поэтому на первом этапе (1) происходит захват трафика, который в последующем подвергается анализу (2) на предмет известных угроз. Базой для анализа служит облачный сервис DTI (Dynamic Threat Intelligence Cloud), который получает сигнатуры атак с устройств FireEye по всему миру. Данный этап позволяет избежать обработки подозрительного трафика повторно, что важно для разгрузки вычислительных мощностей устройства и экономии времени. После этого FireEye осуществляет анализ трафика на предмет аномалий (3). Сигналом для тревоги может служить встроенный в документ скрипт или ссылка в теле письма. Отобранный по результатам анализа трафик или письмо отправляется в виртуальную среду (4), в основе которой лежит патентованная технология FireEye «Multi-Vector Execution Engine»© (MVX), где и происходит вся «магия». Данная среда предназначена для «детонации» подозрительных объектов и раскрытия всего их вредоносного потенциала. В ней на множестве виртуальных машин, а их в топ устройствах может быть до 200, реализованы всевозможные вариации рабочих станций пользователей с различными версиями ОС, офисных приложений, браузеров и плагинов. FireEye не дает уязвимости определить, что она находится в виртуальной среде и затаиться в ожидании, MVX основан на виртуальной платформе собственной разработки и в отличие от send-box-технологий (которые работают на платформах VMware, HiperV, особенности которых учитываются разработчиками malware) не виден для угроз нового поколения.
Определив угрозу и ее поведение, FireEye пополняет облачный сервис DTI его описанием, которое становится доступным для устройств по всему миру. Смоделировав весь цикл атаки в изолированной среде, FireEye позволяет заблокировать исходящий трафик (callback), который генерируется на зараженных ПК, пытающихся связаться с контролирующим сервером или передать украденные данные (5). Возможность блокировать callback, а также коррелировать угрозы, поступающие по различным векторам (web или почта) делают решения FireEye уникальными и позволяют удерживать ведущую позицию инновационного и технологического лидера с 2006 года.
Приходченко Богдан,
Инженер технической поддержки проектов, Группа компаний БАКОТЕК
