Множество систем безопасности на сегодня являются системами поиска совпадений (сигнатур) и моделей поведения уже известных угроз. Они бессильны против новых атак, на которые ещё нет сигнатур и патчей от производителя. Причем новые атаки, как правило, не имеют цели нанести заметного ущерба, а спроектированы для незаметного, скрытного выполнения вредных действий. Злоумышленников интересует конкретная информационная система компании или государственной организации. С помощью атаки они решают задачи, связанные с кибершпионажем или получением той или иной выгоды от компрометации информационной системы и данных. При этом атакуемый объект всегда защищен и злоумышленникам необходимо уметь обходить защиту. Для этого они задействуют самые разные методы сбора данных и внедрения в информационную систему. В том числе социальную инженерию, эксплуатацию известных и неизвестных (0day) уязвимостей, вредоносные программы и инструменты сокрытия их присутствия в системах.

В большинстве случаев, сценарий атаки следующий:

1. Проникновение. Как правило проникновение в сеть происходит с помощью социальной инженерии. Это может быть атака через браузер, соцсеть, но чаще всего – это социальная инженерия (электронное письмо с подменой адреса на проверенный источник). В письме размещается .pdf или .doc вложение. При открытии вложения выполняется переполнение буфера приложения, эксплоит получает права локального администратора, подменяя соответствующую команду на исполнение.  
2. Установка вредоносных программ. Эксплоит производит исходящую коммуникацию (outbound callback) к управляющему серверу и загружает дополнительный необходимый вредоносный код в виде зашифрованного файла или с подменой расширения файла, например на jpeg. Загруженный файл распаковывается, устанавливается и начинает работать на злоумышленника. Обычно это кей-логгер, который выполняет запись и передачу логинов, паролей, финансовых и корпоративных данных.
3. Кража данных, перевод денег. Данные по зашифрованному каналу передаются злоумышленникам. В отдельных случаях, атакующие могут днями следить за поведением жертвы, наблюдая какие-то закономерности. Чем тщательнее они это делают, тем незаметнее потом можно будет произвести кражу. Например, известен случай, когда злоумышленники поняли, что все операции по переводу денег ниже суммы 150 000 грн не требовали согласования с банком по телефону и удачно этим воспользовались.
4. Распространение и заражение других систем. Налаживание длительного контроля.

           Полноценная защита должна состоять из анализа угроз и расследования взаимосвязи смешанных атак. Такую защиту предлагает, например, компания FireEye. Платформа FireEye является модульной и обеспечивает защиту от угроз на разных этапах их жизненного цикла в режиме реального времени без использования сигнатур. Ядро платформы FireEye это патентованный механизм «Multi-Vector Virtual Execution», который обеспечивает динамический анализ угроз нового поколения в режиме реального времени. Одно устройство может осуществлять анализ на более чем 200 виртуальных машин одновременно.

Особенности решений FireEye:

• обнаруживает и останавливает APT, которые используют зловреды, встроенные в изображения, PDF или ZIP/RAR/TNEF архивы;
• останавливает вредоносный исходящий трафик по множеству протоколов (HTTP, FTP, IRC и прочим);
• блокирует вредоносные URL, используемые при направленных атаках;
• захватывает детали атаки (координаты вредоносных callback, характеристики коммуникаций) для защиты локальной сети, а также для передачи профиля атаки в облачный сервис DTI;
• позволяет сотрудникам ИБ настраивать свои правила и оперативно анализировать Web-объекты для специфических именно для их организации угроз;

• вредоносные объекты, которые обнаруживаются антивирусным ПО могут быть ассоциированы с детальным анализом, предоставляемом NX для эффективного расследования инцидента.

Закажите бесплатную консультацию от наших специалистов по решениям для защиты от сложных угроз.

Заполните форму обратной связи и наши специалисты свяжутся с вами в ближайшее время.