11.05.2018

 

Дыра как инструмент безопасности или как ловить APT «на живца».

 

Коллеги, целью данной статьи желание поделиться опытом годичной эксплуатации нового класса IDS-решений на основе Deception-технологий.

 

Чтобы сохранить логическую связность этого опуса, считаю нужным начать с предпосылок. Итак, проблематика, которая сподвигла нас смотреть в эту сторону:

 

1.      Направленные атаки – наиболее опасный вид атак, несмотря на то, что в общем количестве угроз их удельный вес невелик. Почему? Потому что каждая направленная атака - это бизнес-проект, который осуществляется хорошо подготовленными и мотивированными специалистами, которые очень хорошо знают, как монетизировать захваченные ресурсы. Именно поэтому ущерб от одной такой успешной атаки может на порядки превышать совокупную стоимость всех остальных кибер-угроз.

 

2.      Какого-то на 100% гарантированно эффективного средства защиты периметра (или комплекса таких средств) пока еще не придумано.

 

3.      Как правило, направленные атаки проходят в несколько стадий. Преодоление периметра - это только одна из начальных стадий, которая (можете закидать меня камнями) большого ущерба для «жертвы» не несет, если это, конечно не DEoS (Destruction of service) атаки (шифровальщики и т.п.). По-настоящему больно начинается позже, когда захваченные активы начинают использовать для пивотинга и развития атаки «в глубину», а мы этого не заметили.

 

4.      Так как мы начинаем нести настоящие потери тогда, когда злоумышленники все-таки добираются до целей атаки (сервера приложений, СУБД, хранилища данных, репозитарии, элементы критической инфраструктуры), логично, что одной из задач службы ИБ является прерывание атак до этого печального события. Но чтобы что-то прервать, надо об этом сначала узнать. И чем раньше – тем лучше.

 

5.      Соответственно, для успешного управления рисками (то есть, снижения ущерба от направленных атак) критично наличие инструментов, которые обеспечат минимальный TTD (time to detect – время с момента вторжения до момента обнаружения атаки). В зависимости от отрасли и региона этот период с среднем составляет 99 дней в США, 106 дней в регионе EMEA, 172 дня в регионе APAC (M-Trends 2017, A View From the Front Lines, Mandiant). В ходе атаки на энергосистемы Украины злоумышленники были в сети около года. И то, мы чаще всего обнаруживаем атаки тогда, когда уже появляются видимые признаки – мы обнаруживаем искаженные или зашифрованные данные, пропажу денег, недоступность сервисов и т.п. Почему?

 

6.      Причин, на самом деле, много. На мой взгляд, основная - неправильное понимание большинством заказчиков концепции defense in depth (эшелонированной обороны). Традиционная связка «межсетевой экран + доменные политики + антивирусы + DLP» - это не эшелонированная оборона, так это все инструменты одного типа, так называемые, preventive controls. Безусловно, они важны и должны быть, но для успешной борьбы с направленными атаками их мало. Они хорошо и быстро могут обнаруживать уже известные угрозы, «отстреливать» китайских script kiddies, но направленную атаку с использованием 0-day они не увидят. Нужны еще и средства мониторинга, анализа и проведения расследований.

 

7.      Что предлагает рынок?

 

·        «Песочницы». Еще один preventive control, который далек от идеала. Есть масса эффективных техник обнаружения и обхода песочниц или whitelisting-решений. Парни с «темной стороны» здесь пока на шаг впереди.

 

·        UEBA (системы профилирования поведения и выявления отклонений) – в теории может быть очень эффективно. Но, на мой взгляд, это когда-то в далеком будущем. На практике – это пока очень дорого, ненадежно и требует очень зрелой и стабильной ИТ- и ИБ-инфраструктуры, где уже есть все инструменты, которые будут генерировать данные для поведенческого анализа.

 

·        SIEM – хороший инструмент для расследований, но что-то новое, оригинальное, увидеть и вовремя показать не в состоянии, потому что правила корреляции суть те же сигнатуры.

 

8.      Соответственно, назрела необходимость в таком инструменте, который бы:

 

·        успешно работал в условиях уже скомпрометированного периметра

 

·        обнаруживал успешные атаки в режиме близком к реальному времени независимо от инструментария и тех уязвимостей, которые используются.

 

·        не зависел от сигнатур/правил/сценариев/политик/профилей и прочих статичных вещей

 

·        не требовал наличия больших массивов данных и их источников для анализа

 

·        позволял бы определять атаки не как некий риск-скоринг в результате работы «лучшей в мире, запатентованной и поэтому закрытой математики», который требует доп.расследования, а практически как бинарное событие – «Да, нас атакуют» или «Нет, все ОК»

 

·        был бы универсальным, эффективно масштабируемым и «внедрябельным» в любой гетерогенной среде, независимо от используемой физической и логической топологии сети.

 

На роль такого инструмента претендуют, так называемые, deception-решения. То есть решения, в основе которых лежит старая добрая концепция ханипотов, но с совершенно другим уровнем реализации. Что же это такое? Deception – это использование техник активного обмана атакующих с применением специализированных ловушек, приманок и других методов активной дезинформации.

 

ДАЛЕЕ:

 

https://www.linkedin.com/pulse/дыра-как-инструмент-безопасности-или-ловить-apt-на-живца-lozikoff/

 

 

 

 

 

 

Примеры внедрений | Законодательство | Политика конфиденциальности | Листовки | Контакты

ООО “СОФТПРОМ.КОМ”, 125434, Москва, Волоколамское ш., 73

тел. +7 495 215 20 10 | почта: russia@softprom.com