Защита от целевых атак
«Серебряной пули» от таргетированных кибератак (Advanced Persistent Threat, APT), к сожалению, нет: противодействовать им можно лишь многоуровневой организацией безопасности. При этом нужно учитывать и новые требования регуляторов, и достижения прогресса (в частности, распространение мобильных и облачных технологий). Обеспечение ИБ становится непрерывным процессом, а не «заморозкой» системы в эталонном состоянии.
В этом разделе мы рассказываем о средствах защиты и противодействия современным угрозам, которые позволяют обеспечить требования Регуляторов и различных стандартов. Это далеко не полный перечень решений, с которыми мы работаем – опираясь на свой опыт, выбрали наиболее интересные из области защиты от целевых атак.
Вендор: Kaspersky Lab (Россия)
«Лаборатория Касперского» – партнер «Сервионики», поэтому мы имели возможность изучить платформу Kaspersky Anti Targeted Attack Platform (KATA) более чем детально. Подход, который рекомендует «Лаборатория Касперского» – применять меры обнаружения на уровнях рабочих мест и сети, использовать интеллектуальную «песочницу» и подробный журнал событий.
Особого внимания заслуживает механизм ретроспективного динамического анализа — Targeted Attack Analyzer. Он использует столь популярные сегодня технологии машинного обучения и информацию репутационного сервиса KSN (или KPSN для автономных сетей) при обработке данных с сетевых сенсоров и агентов на рабочих станциях и серверах для выявления аномалий и оповещения о необходимости реагирования. Отдельные подозрительные объекты могут быть автоматически отправлены на анализ в «песочницу» (Advanced Sandbox) — элемент, задачей которого является обнаружение неизвестных или подозрительных файлов в изолированной среде, а также техник сокрытия запуска, используемых злоумышленниками.
Решение Kaspersky Anti Targeted Attack Platform сертифицировано ФСБ России.
Вендор: Palo Alto Networks (США)
Большинство целевых атак начинается с заброски эксплойта. Чаще всего это файл одного из популярных форматов (PDF, RTF, DOC, PPT, XLS и т.д.), который пользователь скачал в интернете, получил по электронной почте или скопировал с внешнего носителя. Palo Alto Networks предлагает защиту от "угроз нулевого дня" на основе трех элементов:- NGFW на уровне сети (см.раздел «БЕЗОПАСНОСТЬ СЕТИ),
- TRAPS на рабочих станциях и серверах,
- облачного сервиса WildFire.
TRAPS – уникальное решение для защиты рабочих станций и серверов, которое анализирует 130+ типов злонамеренного поведения (вирусы, эксплойты и т.д.). TRAPS - это агент (<25 Мб на диске, <40Мб в оперативной памяти во время работы, загрузка процессора <1%), который локально анализирует файлы по сотням характеристик за долю секунды. Когда TRAPS встречает исполняемый файл, который не может определить, он запрашивает WildFire с хешем этого файла до того, как он будет запущен. TRAPS поддерживает любые платформы на базе Microsoft Windows, настольные компьютеры, серверы, системы промышленного контроля, терминалы, виртуальные инфраструктуры, виртуальные машины, встроенные системы и т. п. Более того, TRAPS практически не потребляет ресурсов и позволяет защитить любые процессы. Поэтому решение идеально подходит для специализированных систем - таких, как ATM, POS или SCADA, а также для многих других отраслевых приложений с уникальными процессами, защита которых не должна влиять на их работу.
WildFire – это облачный, автоматизированный сервис анализа угроз и крупнейшая распределенная сенсорная система, ориентированная на выявление и предотвращение неизвестных угроз по всем протоколам. WildFire это в том числе «облачная песочница» Palo Alto Networks, однако для Заказчиков, которые не хотят передавать свои файлы в облако, предлагается «локальная песочница» в виде устройства WF-500. Аналитика WildFire основана на информации собственной команды аналитиков Palo Alto Networks – «Unit42», технологических партнеров, «песочниц» WildFire, NGFW, TRAPS, DLP-системы Aperture, баз Palo Alto Networks DNS и URL (PAN-DB).
Вендор: Check Point Software Technologies (Израиль)
Кроме работы с межсетевыми экранами, мы осуществляем интеграцию других решений CheckPoint – эмуляцию и извлечение угроз (Threat Emulation и Threat Extraction соответственно) средствами аппаратных устройств SandBlast, оптимизированных для процессов эмуляции. Threat Emulation обеспечивают изолированную безопасную среду (песочницу), в которой производится запуск программ и открытие файлов с последующим наблюдением за их действиями, а также выявление злонамеренной активности. Threat Extraction модифицирует передаваемые файлы, удаляя из них активное содержимое (которое может быть вредоносным) и сохраняя смысловую часть документа. Безопасная копия документа направляется пользователю, а оригинал – на анализ в модуль Threat Emulation; если документ будет признан безопасным, пользователь сможет скачать его.
В идеологии CheckPoint необходимо контролировать все возможные каналы передачи потенциально опасных файлов, включая пересылку через Интернет, по электронной почте и загрузку на рабочие станции пользователей. Контроль обеспечивается следующими способами:
-
Шлюз безопасности (NGFW) CheckPoint перехватывает передаваемые через него файлы, в том числе по протоколу SSL. Файлы направляются на анализ на локальные устройства SandBlast либо в облако CheckPoint. При этом Шлюз безопасности задерживает передачу файла до получения результата проверки.
-
Устройство SandBlast подключается как MTA – Mail Transfer Agent (SMTP‑сервер) и осуществляет пересылку почты. Передаваемые файлы изымаются для проверки Threat Emulation и заменяются модифицированными файлами с вырезанным потенциально опасным содержимым (Threat Extraction).
-
SandBlast Agent, устанавливаемый на рабочие станции пользователей в виде агента, а также в качестве плагина к браузерам. Данное ПО осуществляет отправку получаемых файлов на устройство SandBlast для проверки.
Хотите узнать о других решениях в области комплексной информационной безопасности, с которыми мы работаем? Свяжитесь с нами:
Полезно знать
-
Система управления офисной печатью «Принт-Икс» включена в Реестр российского программного обеспечения
-
Тотальный диктант в облаке «Сервионики» признан лучшим проектом года в номинации «Цифровизация образования» конкурса GlobalCIO
-
iKS Consulting определил новые темпы развития российского облачного рынка