Защита от целевых атак

«Серебряной пули» от таргетированных кибератак (Advanced Persistent Threat, APT), к сожалению, нет: противодействовать им можно лишь многоуровневой организацией безопасности. При этом нужно учитывать и новые требования регуляторов, и достижения прогресса (в частности, распространение мобильных и облачных технологий). Обеспечение ИБ становится непрерывным процессом, а не «заморозкой» системы в эталонном состоянии.

В этом разделе мы рассказываем о средствах защиты и противодействия современным угрозам, которые позволяют обеспечить требования Регуляторов и различных стандартов. Это далеко не полный перечень решений, с которыми мы работаем – опираясь на свой опыт, выбрали наиболее интересные из области защиты от целевых атак.

Вендор: Kaspersky Lab (Россия)

«Лаборатория Касперского» – партнер «Сервионики», поэтому мы имели возможность изучить платформу Kaspersky Anti Targeted Attack Platform (KATA) более чем детально. Подход, который рекомендует «Лаборатория Касперского» – применять меры обнаружения на уровнях рабочих мест и сети, использовать интеллектуальную «песочницу» и подробный журнал событий.

Особого внимания заслуживает механизм ретроспективного динамического анализа — Targeted Attack Analyzer. Он использует столь популярные сегодня технологии машинного обучения и информацию репутационного сервиса KSN (или KPSN для автономных сетей) при обработке данных с сетевых сенсоров и агентов на рабочих станциях и серверах для выявления аномалий и оповещения о необходимости реагирования. Отдельные подозрительные объекты могут быть автоматически отправлены на анализ в «песочницу» (Advanced Sandbox) — элемент, задачей которого является обнаружение неизвестных или подозрительных файлов в изолированной среде, а также техник сокрытия запуска, используемых злоумышленниками.

Решение Kaspersky Anti Targeted Attack Platform сертифицировано ФСБ России.

Вендор: Palo Alto Networks (США)

Большинство целевых атак начинается с заброски эксплойта. Чаще всего это файл одного из популярных форматов (PDF, RTF, DOC, PPT, XLS и т.д.), который пользователь скачал в интернете, получил по электронной почте или скопировал с внешнего носителя. Palo Alto Networks предлагает защиту от "угроз нулевого дня" на основе трех элементов:
  • NGFW на уровне сети (см.раздел «БЕЗОПАСНОСТЬ СЕТИ), 
  • TRAPS на рабочих станциях и серверах, 
  • облачного сервиса WildFire.

TRAPS – уникальное решение для защиты рабочих станций и серверов, которое анализирует 130+ типов злонамеренного поведения (вирусы, эксплойты и т.д.). TRAPS - это агент (<25 Мб на диске, <40Мб в оперативной памяти во время работы, загрузка процессора <1%), который локально анализирует файлы по сотням характеристик за долю секунды. Когда TRAPS встречает исполняемый файл, который не может определить, он запрашивает WildFire с хешем этого файла до того, как он будет запущен. TRAPS поддерживает любые платформы на базе Microsoft Windows, настольные компьютеры, серверы, системы промышленного контроля, терминалы, виртуальные инфраструктуры, виртуальные машины, встроенные системы и т. п. Более того, TRAPS практически не потребляет ресурсов и позволяет защитить любые процессы. Поэтому решение идеально подходит для специализированных систем - таких, как ATM, POS или SCADA, а также для многих других отраслевых приложений с уникальными процессами, защита которых не должна влиять на их работу.

WildFire – это облачный, автоматизированный сервис анализа угроз и крупнейшая распределенная сенсорная система, ориентированная на выявление и предотвращение неизвестных угроз по всем протоколам. WildFire это в том числе «облачная песочница» Palo Alto Networks, однако для Заказчиков, которые не хотят передавать свои файлы в облако, предлагается «локальная песочница» в виде устройства WF-500. Аналитика WildFire основана на информации собственной команды аналитиков Palo Alto Networks – «Unit42», технологических партнеров, «песочниц» WildFire, NGFW, TRAPS, DLP-системы Aperture, баз Palo Alto Networks DNS и URL (PAN-DB).

Вендор: Check Point Software Technologies (Израиль)

Кроме работы с межсетевыми экранами, мы осуществляем интеграцию других решений CheckPoint – эмуляцию и извлечение угроз (Threat Emulation и Threat Extraction соответственно) средствами аппаратных устройств SandBlast, оптимизированных для процессов эмуляции. Threat Emulation обеспечивают изолированную безопасную среду (песочницу), в которой производится запуск программ и открытие файлов с последующим наблюдением за их действиями, а также выявление злонамеренной активности. Threat Extraction модифицирует передаваемые файлы, удаляя из них активное содержимое (которое может быть вредоносным) и сохраняя смысловую часть документа. Безопасная копия документа направляется пользователю, а оригинал – на анализ в модуль Threat Emulation; если документ будет признан безопасным, пользователь сможет скачать его.

В идеологии CheckPoint необходимо контролировать все возможные каналы передачи потенциально опасных файлов, включая пересылку через Интернет, по электронной почте и загрузку на рабочие станции пользователей. Контроль обеспечивается следующими способами:

  1. Шлюз безопасности (NGFW) CheckPoint перехватывает передаваемые через него файлы, в том числе по протоколу SSL. Файлы направляются на анализ на локальные устройства SandBlast либо в облако CheckPoint. При этом Шлюз безопасности задерживает передачу файла до получения результата проверки.

  2. Устройство SandBlast подключается как MTA – Mail Transfer Agent (SMTP‑сервер) и осуществляет пересылку почты. Передаваемые файлы изымаются для проверки Threat Emulation и заменяются модифицированными файлами с вырезанным потенциально опасным содержимым (Threat Extraction).

  3. SandBlast Agent, устанавливаемый на рабочие станции пользователей в виде агента, а также в качестве плагина к браузерам. Данное ПО осуществляет отправку получаемых файлов на устройство SandBlast для проверки.

    Хотите узнать о других решениях в области комплексной информационной безопасности, с которыми мы работаем? Свяжитесь с нами:

    Заказать звонок Задать вопрос