Целенаправленные атаки стали сегодня практически обыденным явлением. Еще лет пять-семь назад на различных ИБ-конференциях обязательно был доклад (или даже секция), посвященный ответу на вопрос «что такое APT-атака». Эксперты спорили о трактовке термина, теоретизировали по поводу мотивации атакующих и возможного ущерба при реализации АРТ-атак. Сейчас каждая вторая государственная или корпоративная информационная инфраструктура так или иначе уже оказывалась под прицелом целенаправленной атаки. Почему это происходит? Что наиболее уязвимо? И можно ли что-то предпринять для самозащиты?

Тотальная цифровизация с сюрпризом

Информационные технологии с той или иной степенью глубины проникли почти во все сферы жизни, активно идет информатизация общества. На уровне государства приняты или разрабатываются различные программы (такие как «Информационное общество» и «Цифровая экономика»), семимильными шагами выводящие в информационное пространство все большее число инфраструктур. В конкурентной среде сложилось четкое понимание, что проведение атак, нацеленных на получение необходимой информации, обещает существенные преимущества. Криминал также идет в ногу со временем и уже во многом перешел в киберпространство.

Таким образом, если еще в начале этого десятилетия за APT-атаками стояли преимущественно окологосударственные структуры, то сейчас организаторами могут оказаться и коммерческие компании (в рамках промышленного шпионажа и конкурентной разведки). Появилось множество различных схем монетизации таких атак: это и прямая кража денег, если говорить о финансовом секторе, и продажа информации, баз данных или просто доступа в инфраструктуры крупных государственных и коммерческих организаций.

Действительно, накопленная нами статистика говорит о том, что около 71% всех атак совершается именно ради финансовой выгоды и еще около 23% – в целях кибершпионажа. При этом от каждой пятой атаки пострадали государственные структуры. Приведенные показатели релевантны не только для Российской Федерации, но и для любой другой страны (с небольшими отклонениями). Например, около 54% всех атак, произошедших в I квартале 2017 г., были целенаправленными. По итогам 2016 г. их количество достигло 62% общего объема, тогда как еще пять лет тому назад на них приходилось всего 10–15%. Очевидно, что сейчас «страшилка» под названием «APT-атака» превратилась в суровую правду жизни.

Отметим, что общий рост процента атак указанного типа вызван еще и тем, что государственная политика в области информационной безопасности все больше и больше требует от владельцев информационных инфраструктур (особенно критических) не заниматься «бумажной» безопасностью, а выстраивать правильные процессы по выявлению, реагированию и локализации компьютерных инцидентов с использованием правильных технологий. Сейчас бурно и широко обсуждается Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Процесс создания государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) на текущий момент также находится в активной фазе. В рамках ГосСОПКА регуляторы в явном виде требуют сообщать о компьютерных инцидентах и организовывать процессы их выявления и реагирования на них. И в ближайшие год-два мы столкнемся с всплеском публичной информации о различных целенаправленных атаках на коммерческий и государственный сектора, так как владельцы этих критических информационных инфраструктур начнут активно внедрять современные средства обнаружения и защиты, а самое главное – выстраивать нужные процессы и будут или своевременно детектировать, или с огорчением узнавать, что они уже стали жертвами целевых атак. Все это и приведет к росту статистики по общему числу APT-атак – во многом за счет владельцев критических информационных инфраструктур, которые, выстроив соответствующие процессы обработки инцидентов ИБ, с удивлением узнают, что владельцами, скажем, собственного контроллера домена уже год-два являются не только они сами.

Фишинг как универсальная открывашка

Expert Security Center Positive Technologies на протяжении последних трех лет наблюдает практически одинаковые тактики организации целенаправленных атак. Скажем, вы являетесь участником крупной международной выставки наподобие «Армия-2017», МАКС-2017 или любого другого мероприятия. Тогда готовьтесь получать фишинговые письма, в которых будут рассказывать о правилах участия, аккредитации или предлагать ознакомиться со списками участников мероприятий и правилами их проведения. Эти письма будут приходить именно тем сотрудникам, которые действительно участвовали в мероприятиях ранее, либо тем, кто по своим должностным обязанностям вынужден открывать все приходящие письма. Или фишинговые письма, рассказывающие о повышении зарплат в наступающем году с приложенным приказом (или его проектом) по крупной госкорпорации. При этом и письмо, и документы могут обладать настоящими реквизитами. И отправитель, на первый взгляд, будет казаться «правильным», и логотипы, и даже номер и стиль оформления приказа могут мало отличаться от стандартов, принятых в организации. Ну какой сотрудник устоит от соблазна открыть его и прочитать? Ведь это те вопросы, которые всегда всех интересуют. С точки зрения психологии – это безотказный прием.

Действительно, социальная инженерия – один из наиболее распространенных методов целевых атак, который основан на недостаточной осведомленности сотрудников компании в вопросах безопасности. Нарушитель может выведать данные для доступа к ресурсам в личной переписке. В рамках проведения тестов на проникновение наши эксперты фиксируют, что в среднем 24% пользователей осуществили переход по поддельной ссылке. Доля испытуемых, которые ввели свои учетные данные в заведомо ложную форму аутентификации или загрузили исполняемый файл, в 2016 г. составила около 15%.

Задача злоумышленника в принципе довольно проста. Достаточно найти всего одно-два слабых звена, и инфраструктура многотысячной корпорации может быть скомпрометирована. А дальше стандартный путь: эксплуатация уязвимости, повышение привилегий, закрепление в инфраструктуре и получение информации.

Бороться или плыть по течению?

Вопрос выявления целенаправленных атак волнует многих. При этом постоянно при обсуждении самих APT-атак и способов их обнаружения слышатся разные термины: deep analyze (глубинный анализ), machine learning (машинное обучение), deep machine learning (углубленное машинное обучение), ueba (User & Entity Behavior Analytics – анализ поведения пользователей и объектов), anomaly detection (выявление аномалий) и прочие вариации слов, вроде понятных по отдельности, но совершенно не понятных во встречаемых комбинациях. Какое решение выбрать? С machine learning или deep machine learning? На самом деле без разницы: ландшафт угроз активно меняется, угрозы сегодняшнего дня таковы, что нет абсолютно защищенных систем (есть лишь системы, которые взломаны уже сейчас или будут взломаны завтра). Если вы оказались целью APT-атаки, то рано или поздно атака станет успешной. Вопрос только в том, когда вы обнаружите, что уже не только вы являетесь хозяином собственной инфраструктуры. Среднее время присутствия APT-групп в инфраструктуре, как показывает наш опыт, составляет три года, а в некоторых организациях этот срок достигал и пяти лет.

Напрашивается закономерный вопрос: какова же главная цель службы информационной безопасности? Неужели остается лишь сложить руки и плыть по течению? Ни в коем случае! Последние изменения в законодательстве ставят владельцев критических информационных инфраструктур перед реальной необходимостью переходить от внедрения технологий к внедрению процессов. Только грамотно выстроенные процессы помогут не допустить серьезных бизнес-потерь. При этом акцент должен быть сделан не на выстраивании высокой гранитной стены вокруг инфраструктуры организации, а на процессах, которые позволят сократить время присутствия злоумышленника в инфраструктуре. Если провести аналогию с бастионами замка, то необходимо вовремя обнаруживать, что в замок пытаются проникнуть через колодец или делают подкоп. И уже под эти новые вызовы адаптировать средства защиты и процессы по реагированию на инциденты.

Однако необходимо понимать, что подобные процессы не всегда можно создать быстро и самостоятельно. А самое главное – для большинства компаний это может оказаться нереализуемой задачей из-за финансовых ограничений и неспособности конкурировать на рынке высококвалифицированных кадров. Для организации мониторинга и оперативного отслеживания целенаправленных атак на инфраструктуру часто необходим внушительный штат сотрудников. В методических рекомендациях по созданию ведомственных центров ГосСОПКА, к примеру, упоминаются три роли сотрудников первой линии мониторинга, а в режиме 24×7 с запасными людьми и руководителем это превращается в 11 человек. И это при условии, что два человека в смену будут справляться с объемом событий информационной безопасности, а если событий окажется больше, то может понадобиться и три-четыре человека на первой линии. Причем в команде должны быть и эксперты довольно высокой квалификации, чтобы распознать и оперативно (а главное – правильно) отреагировать на новые техники и тактики APT-группировок.

Anti-APT не работает, когда бардак на периметре

Для примера рассмотрим последние тренды APT-атак на финансовый сектор. Для того чтобы проникнуть в инфраструктуру, злоумышленники могут даже не обходить средства защиты организации. Они просто выберут партнера, контрагента интересующей организации, который менее защищен, но с которым есть тесное взаимодействие, и используют его инфраструктуру для атаки или попытаются мимикрировать под него. Еще один не менее замечательный ход – атаковать от имени регулятора. Так, например, действует APT-группировка Cobalt. В течение первого полугодия 2017 г. во время расследования инцидентов мы наблюдали, как они активно использовали эту тактику в своих атаках на банковский сектор стран СНГ. Что можно сделать, чтобы не оказаться в числе жертв подобных атак? По большому счету необходимо соблюдать ряд простых принципов:

• внедрять современные средства защиты и после внедрения не забывать о них;
• обязательно организовывать процесс анализа результатов работы этих средств защиты. И иметь всегда один-два плана действий на случай обнаружения нештатной ситуации;
• всегда иметь наготове команду расследования инцидентов, которая сможет грамотно и быстро локализовать инцидент и оперативно на него отреагировать в случае обнаружения целевой атаки.

При этом нет никакого смысла покупать дорогое anti-APT решение, если дела плохо обстоят со средствами защиты от простейших атак. Ведь нередко владельцы масштабных и сложных информационных инфраструктур уверены, что уж с безопасностью-то у них все в порядке и им бы только научиться выявлять целенаправленные атаки. И вот они уже запускают долгий процесс пилотирования и выбора anti-APT решения, а потом случается эпидемия вируса-шифровальщика (вроде WannaCry или NotPetya, как это было недавно), и эти же самые организации оказываются в числе жертв. И все это по причине банального незнания собственного периметра: что на нем расположено, какие там функционируют сервисы, а вдобавок еще и время устранения критических уязвимостей исчисляется месяцами. В таких условиях никакое anti-APT решение не поможет. Ну и, конечно, ни в коем случае нельзя забывать о тренингах и обучении сотрудников по тематике информационной безопасности. Ведь основной вектор реализации целенаправленных атак – это, как уже отмечалось, не что иное, как фишинговые письма.