Безліч систем безпеки на сьогодні є системами пошуку збігів (сигнатур) та моделей поведінки вже відомих загроз. Вони безсилі проти нових атак, на які ще немає сигнатури та патчів від виробника. Причому нові атаки, як правило, не мають на меті завдати помітної шкоди, а спроєктовані для непомітного, прихованого виконання шкідливих дій. Зловмисників цікавить конкретна інформаційна система компанії або державної організації. За допомогою атаки вони вирішують завдання, пов’язані з кібершпіонажем або отриманням тієї чи тієї вигоди від компрометації інформаційної системи та даних. При цьому об’єкт, що зазнає атаки, завжди захищений і зловмисникам необхідно вміти обходити захист. Для цього вони задіюють найрізноманітніші методи збору даних та впроваджують їх в інформаційну систему. Зокрема соціальну інженерію, експлуатацію відомих і невідомих (0day) вразливостей, шкідливих програм та інструменти приховування їхньої присутності в системах.

У більшості випадків, сценарій атаки наступний:

1. Проникнення. Як правило проникнення в мережу відбувається за допомогою соціальної інженерії. Це може бути атака через браузер, соцмережі, але найчастіше – це соціальна інженерія (повідомлення електронної пошти з підміною адреси на перевірене джерело). У листі розміщується .pdf або .doc вкладення. При відкритті вкладення виконується переповнення буфера додатку, експлойт отримує права локального адміністратора, підмінивши відповідну команду на виконання. 
2. Встановлення шкідливих програм. Експлойт виробляє вихідну комунікацію (outbound callback) до керуючого сервера та завантажує додатковий необхідний шкідливий код у вигляді зашифрованого файлу або з підміною розширення файлу, наприклад на jpeg. Завантажений файл розпаковується, встановлюється та починає працювати на зловмисника. Зазвичай це кей-логер, який виконує запис і передачу логінів, паролів, фінансових та корпоративних даних.                                                                             
3. Крадіжка даних, переказ грошей. Дані по зашифрованому каналу передаються зловмисникам. В окремих випадках той, хто здійснює атаку, може днями стежити за поведінкою жертви, спостерігаючи певні закономірності. Чим ретельніше вони це роблять, тим непомітніше здійснюють крадіжку. Наприклад, відомий випадок, коли зловмисники зрозуміли, що всі операції з переказу коштів нижче суми 150 000 грн не вимагали узгодженнь з банком по телефону і вдало цим скористалися.       
4. Поширення та зараження інших систем. Налагодження тривалого контролю.

          Повноцінний захист має складатися з аналізу загроз та розслідування взаємозв’язку змішаних атак. Такий захист пропонує, наприклад, компанія FireEye. Платформа FireEye є модульною і забезпечує захист від загроз на різних етапах їхнього життєвого циклу в режимі реального часу без використання сигнатур. Ядро платформи FireEye – це патентований механізм «Multi-Vector Virtual Execution», який забезпечує динамічний аналіз загроз нового покоління в режимі реального часу. Один пристрій може здійснювати аналіз на більш ніж 200 віртуальних машин одночасно.

Особливості рішення FireEye:

• виявляє та зупиняє APT, які використовують шкідливе ПЗ, вбудовані в зображення, PDF або ZIP/RAR/TNEF архіви;
• зупиняє шкідливий вихідний трафік за багатьма протоколами (HTTP, FTP, IRC тощо);
• блокує шкідливі URL, що використовуються при спрямованих атаках;
• захоплює деталі атаки (координати шкідливих callback, характеристики комунікацій) для захисту локальної мережі, а також для передачі профілю атаки в хмарний сервіс DTI;
• дозволяє співробітникам ІБ налаштовувати свої правила та оперативно аналізувати Web-об’єкти для специфічних саме для їхньої організації загроз;

• шкідливі об’єкти, які виявляються антивірусним ПЗ, можуть бути асоційовані з детальним аналізом, що надається NX для ефективного розслідування інциденту.

Замовте безкоштовну консультацію від наших фахівців із рішеннь для захисту від складних загроз.

Заповніть форму зворотнього зв’язку і наши фахівці зв’яжуться з вами найближчим часом.