Riktade attacker. Riktade attacker och hur man hanterar dem


Varje år förbättrar organisationer sina affärsverktyg, introducerar nya lösningar och komplicerar samtidigt sin IT-infrastruktur. Nu, i en situation där ett företags e-postserver fryser, viktig information raderas från ändpunkter, eller driften av det automatiserade systemet för att generera fakturor för betalning störs, stannar affärsprocesserna helt enkelt.

Benjamin
Levtsov

Vicepresident, chef för Corporate Division av Kaspersky Lab

Nikolai
Demidov

Teknisk konsult för informationssäkerhet Kaspersky Lab

Genom att inse det växande beroendet av automatiserade system blir företag också allt mer oroade över informationssäkerhet. Dessutom beror vägen till att skapa ett informationssäkerhetssystem på situationen i en given specifik organisation - på de incidenter som har ägt rum, specifika anställdas övertygelser - och bildas ofta "underifrån", från individuella delsystem för informationssäkerhet till övergripande bild. Resultatet är ett flerstegs, one-of-a-kind system som består av olika produkter och servicearbete, komplex, vanligtvis unik för varje företag, där informationssäkerhetsspecialister kan:

  • skanna filer med hjälp av slutpunktssäkerhetssystem;
  • filtrera e-post och webbtrafik med gatewaylösningar;
  • övervaka integriteten och oföränderligheten av filer och Systeminställningar;
  • övervaka användarbeteende och reagera på avvikelser från normala trafikmönster;
  • skanna omkretsen och det interna nätverket efter sårbarheter och svaga konfigurationer;
  • implementera identifiering och autentiseringssystem, kryptera diskar och nätverkskopplingar;
  • investera i en SOC för att samla in och korrelera loggar och händelser från delsystemen som nämns ovan;
  • beställa penetrationstester och andra tjänster för att bedöma säkerhetsnivån;
  • få systemet att överensstämma med kraven i standarder och utföra certifieringar;
  • lära personalen grunderna i datorhygien och lösa ett oändligt antal liknande problem.

Men trots allt detta har antalet framgångsrika, d.v.s. attacker mot IT-infrastrukturer som når sitt mål minskar inte, men skadorna från dem växer. Hur lyckas angripare övervinna komplexa system säkerhet, vanligtvis unik i sin sammansättning och struktur?

Begreppet riktad attack

Det är dags att ge en definition som exakt återspeglar konceptet med en riktad attack. En riktad attack är en kontinuerlig process av obehörig aktivitet i det attackerade systemets infrastruktur, fjärrstyrd manuellt i realtid.

För det första är detta just en process - en aktivitet i tiden, en viss operation och inte bara en engångsteknisk åtgärd.

För det andra är processen utformad för att fungera i en specifik infrastruktur, är utformad för att övervinna specifika säkerhetsmekanismer, specifika produkter och involvera specifika anställda i interaktion. Det bör noteras att det finns en betydande skillnad i tillvägagångssättet för massutskick av standardskadlig programvara, när angripare strävar efter helt andra mål - i huvudsak att få kontroll över en separat slutpunkt. Vid en riktad attack är den utformad för offret.

För det tredje sköts denna operation vanligtvis av en organiserad grupp professionella, ibland internationella, beväpnade med sofistikerade tekniska verktyg, i huvudsak ett gäng. Deras aktiviteter liknar verkligen en militär operation i flera steg. Angripare sammanställer till exempel en lista över anställda som potentiellt kan bli "ingångsporten" till företaget och kontaktar dem via i sociala nätverk, studeras deras profiler. Efter detta är uppgiften att få kontroll över offrets arbetsdator löst. Som ett resultat blir hans dator infekterad och angriparna går vidare för att ta kontroll över nätverket och direkt begå kriminella handlingar.

I en riktad attacksituation, gör det inte datorsystem slåss med varandra, och människor - vissa attacker, andra - återspeglar en väl förberedd attack, med hänsyn tagen svaga sidor och funktioner hos motåtgärdssystem.

För närvarande blir termen APT (Advanced Persistent Threat) alltmer utbredd. Låt oss titta på dess definition. APT är en kombination av verktyg, skadlig programvara, mekanismer för att utnyttja nolldagssårbarheter och andra komponenter som är speciellt utformade för att implementera denna attack. Praxis visar att APT används upprepade gånger och upprepade gånger i framtiden för att utföra upprepade attacker med en liknande vektor mot andra organisationer. En riktad, eller riktad, attack är en process, en aktivitet. APT är ett tekniskt verktyg som låter dig genomföra en attack.

Vi kan lugnt säga att den aktiva spridningen av riktade attacker bland annat beror på en kraftig minskning av kostnaden och arbetskostnaderna för att genomföra själva attacken. Ett stort antal tidigare utvecklade verktyg tillgängliga hackergrupper, ibland finns det inget akut behov av att skapa exotiska skadlig programvara från början. De flesta moderna riktade attacker är baserade på tidigare skapade exploateringar och skadlig kod, endast en liten del använder helt nya tekniker, som huvudsakligen klassificeras som APT-hot. Ibland används helt lagliga verktyg skapade för "fredliga" syften som en del av en attack – vi återkommer till det här problemet nedan.

Stadier av en riktad attack

Detta material kommer att beskriva huvudstadierna av en riktad attack, visa skelettet av den allmänna modellen och skillnaderna i penetrationsmetoderna som används. Expertgruppen har en idé om att en riktad attack som regel går igenom 4 faser i sin utveckling (Fig. 1).


I fig. Figur 1 visar de fyra faserna av en riktad attack, och visar dess livscykel. Låt oss kort formulera huvudsyftet med var och en av dem:

1. Förberedelse - huvuduppgiften för den första fasen är att hitta målet, samla in tillräckligt med detaljerad privat information om det, baserat på vilken, identifiera svaga punkter i infrastrukturen. Bygg en attackstrategi, välj tidigare skapade verktyg tillgängliga på den svarta marknaden, eller utveckla de nödvändiga själv. Vanligtvis kommer planerade penetrationssteg att testas grundligt, inklusive oupptäckbarhet av standardverktyg för informationssäkerhet.

2. Penetration - den aktiva fasen av en riktad attack med olika tekniker social ingenjörskonst och nolldagars sårbarheter för primär infektion av målet och för intern spaning. Efter att spaningen är klar och identiteten för den infekterade värden (server/arbetsstation) har fastställts, kan ytterligare skadlig kod laddas ner via kontrollcentret på angriparens kommando.

3. Spridning – fasen av konsolidering inom infrastrukturen, främst på offrets nyckelmaskiner. Utöka din kontroll så mycket som möjligt, justera versioner av skadlig kod om nödvändigt via kontrollcenter.

4. Att uppnå målet är nyckelfasen i en riktad attack beroende på den valda strategin, den kan använda:

  • stöld av sekretessbelagd information;
  • avsiktlig ändring av sekretessbelagd information;
  • manipulation av företagets affärsprocesser.

Utförs i alla stadier erforderligt skick för att dölja spår av riktad attackaktivitet. När en attack är klar händer det ofta att cyberbrottslingar skapar en "Point of Return" för sig själva, vilket gör att de kan återvända i framtiden.

Första fasen av riktad attack - Förberedelser

Identifiera målet

Antal framgångsrika, d.v.s. attacker mot IT-infrastrukturer som når sitt mål minskar inte, men skadorna från dem ökar. Hur lyckas angripare övervinna komplexa säkerhetssystem, som vanligtvis är unika i sin sammansättning och struktur?
Svaret är ganska kort: genom att förbereda och utföra komplexa attacker som tar hänsyn till målsystemets egenskaper.

Vilken organisation som helst kan bli ett mål för en attack. Och allt börjar med en order, eller allmän spaning, eller, mer exakt, övervakning. Under långtidsövervakningen av det globala affärslandskapet använder hackergrupper offentliga verktyg, såsom RSS-flöden, officiella Twitter-konton för företag, specialiserade forum där olika anställda utbyter information. Allt detta hjälper till att identifiera offret och målen för attacken, varefter gruppens resurser går till det aktiva spaningsstadiet.

Insamling av information

Av förklarliga skäl lämnar inte ett enda företag information om vilket tekniska medel den använder, inklusive för informationsskydd, interna bestämmelser och så vidare. Därför kallas processen för att samla in information om ett offer intelligens. Underrättelseverksamhetens huvudsakliga uppgift är att samla in riktad privat information om offret. Alla små saker är viktiga här och kommer att hjälpa till att identifiera potentiella svagheter. Arbetet kan använda de mest icke-triviala tillvägagångssätten för att få fram privat primärdata, till exempel social ingenjörskonst. Vi kommer att presentera flera sociala ingenjörstekniker och andra intelligensmekanismer som används i praktiken.

Metoder för spaning:

1. Insider.

En riktad attack är en kontinuerlig process av obehörig aktivitet i det attackerade systemets infrastruktur, manuellt fjärrstyrd i realtid.

Det finns ett sätt att söka efter nyligen uppsagda företagsanställda. En före detta företagsanställd får en inbjudan till en rutinintervju för en mycket frestande tjänst. Vi vet att en erfaren rekryteringspsykolog kan prata med nästan vilken anställd som helst som tävlar om en tjänst. Från sådana människor får de en ganska stor mängd information för att förbereda och välja en attackvektor: från nätverkstopologin och säkerhetsåtgärderna som används till information om andra anställdas privatliv.

Det händer att cyberbrottslingar tar till muta de personer de behöver i ett företag som har information eller går in i en förtroendekrets genom vänlig kommunikation på offentliga platser.

2. Öppna källor.

I det här exemplet utnyttjar hackare företags skrupelfria inställning till pappersmedia, som slängs i papperskorgen utan ordentlig förstörelse bland skräpet, rapporter och intern information kan hittas eller till exempel företagswebbplatser som innehåller riktiga namn anställda i allmänhetens tillgång. De erhållna uppgifterna kan kombineras med andra sociala ingenjörstekniker.

I en situation med en riktad attack är det inte datorsystem som slåss med varandra, utan människor: vissa attackerar, andra slår tillbaka en väl förberedd attack som tar hänsyn till svagheterna och egenskaperna hos motverkanssystem.

Som ett resultat av detta arbete kan attackorganisatörerna ha ganska fullständig information om offret, inklusive:

  • anställdas namn, e-post, telefon;
  • arbetsschema för företagsavdelningar;
  • intern information om processer i företaget;
  • information om affärspartners.

Statliga upphandlingsportaler är också en bra informationskälla om de lösningar som kunden har implementerat, inklusive informationssäkerhetssystem.

Vid första anblicken kan exemplet ovan verka obetydligt, men det är det faktiskt inte. Den listade informationen används framgångsrikt i social ingenjörskonst, vilket gör att en hackare enkelt kan vinna förtroende genom att arbeta med den mottagna informationen.

3. Social ingenjörskonst.

  • Telefonsamtal på uppdrag av interna medarbetare.
  • Sociala media.

Med hjälp av social ingenjörskonst kan du uppnå betydande framgång med att få konfidentiell företagsinformation: till exempel i ärendet telefonsamtal en angripare kan utge sig för anställd informationstjänst, ställ rätt frågor eller be att få prestera rätt kommando på datorn. Sociala nätverk är ett bra sätt att fastställa vänkretsen och intressen för rätt person sådan information kan hjälpa cyberbrottslingar att utveckla rätt strategi för att kommunicera med ett framtida offer.

Strategiutveckling

Strategin är obligatorisk för genomförandet av en framgångsrik riktad attack, den tar hänsyn till hela handlingsplanen i alla stadier av attacken:

  • beskrivning av stadierna av en attack: penetration, utveckling, uppnående av mål;
  • social ingenjörskonstmetoder, utnyttjade sårbarheter, bypass standardmedel säkerhet;
  • stadier av attackutveckling med hänsyn till möjliga nödsituationer;
  • konsolidering inom, ökade privilegier, kontroll över nyckelresurser;
  • dataextraktion, spårborttagning, destruktiva handlingar.

Skapar ett stativ

Förlitar sig på insamlad information, börjar en grupp angripare skapa en monter med identiska versioner av den utnyttjade programvaran. En testplats som gör det möjligt att testa penetrationsstegen på en befintlig modell. Öva olika tekniker för hemlig implementering och kringgå standardåtgärder för informationssäkerhet. I huvudsak fungerar stativet som huvudbryggan mellan den passiva och aktiva fasen av penetration in i offrets infrastruktur. Det är viktigt att notera att det inte är billigt för hackare att skapa ett sådant stativ. Kostnaden för att utföra en framgångsrik riktad attack ökar för varje steg.

Utveckling av en uppsättning verktyg

Cyberkriminella står inför ett svårt val: det är viktigt för dem att välja mellan de ekonomiska kostnaderna för att köpa färdiga verktyg på skuggmarknaden och arbetskostnaderna och tiden att skapa sina egna. Skuggmarknaden erbjuder nog brett välja olika verktyg, vilket avsevärt minskar tiden, förutom i unika fall. Detta är det andra steget som markant särskiljer den riktade attacken som en av de mest resurskrävande bland cyberattacker.

Låt oss titta på verktygsuppsättningen i detalj: som regel består en verktygsuppsättning av tre huvudkomponenter:

1. Kommandocenter, eller Kommando och Kontrollcenter(C&C).

Grunden för angriparnas infrastruktur är C&C kommando- och kontrollcenter, som säkerställer överföring av kommandon till kontrollerade skadliga moduler, från vilka de samlar in resultatet av sitt arbete. Fokus för attacken är personerna som utför attacken. Oftast finns centra på Internet med leverantörer som tillhandahåller tjänster för hosting, samlokalisering och virtuell maskinuthyrning. Uppdateringsalgoritmen, som alla algoritmer för interaktion med "värdar", kan ändras dynamiskt tillsammans med skadliga moduler.

2. Penetrationsverktyg som löser problemet med att "öppna dörren" för den attackerade fjärrvärden:

  • exploit - skadlig kod som utnyttjar sårbarheter i programvara;
  • validator - skadlig kod som används i fall av primär infektion, kan samla in information om värden, överföra den till C&C för vidare beslutsfattande om utvecklingen av attacken eller dess fullständiga avbrytning på en specifik maskin;
  • Downloader – Dropper leveransmodul; Nedladdaren används extremt ofta i attacker baserade på social engineering-metoder, den skickas som en bilaga i e-postmeddelanden;
  • Dropper leveransmodul är ett skadligt program (vanligtvis en trojan), vars uppgift är att leverera det huvudsakliga nyttolastviruset till det infekterade offrets maskin, utformat för att:
    • säkra inuti en infekterad maskin, dold start, processinjektion efter att maskinen har startat om;
    • Injicera i en legitim process för att ladda ner och aktivera Payload-viruset över en krypterad kanal, eller extrahera och starta en krypterad kopia av Payload-viruset från disken.

Kodexekvering sker i en injicerad legitim process med systemrättigheter, är sådan aktivitet extremt svår att upptäcka med standardsäkerhetsverktyg.

3. Lastens viruskropp. Den huvudsakliga skadliga modulen i en riktad attack, nedladdad till den infekterade värden av Dropper, kan bestå av flera ytterligare funktionella. moduler, som var och en kommer att utföra sin egen funktion:

APT (Advanced Persistent Threat) är en kombination av verktyg, skadlig programvara, mekanismer för att utnyttja nolldagars sårbarheter och andra komponenter som är speciellt utformade för att implementera denna attack.

  • tangentbord spion;
  • skärminspelning;
  • Fjärranslutning;
  • distributionsmodul inom infrastruktur;
  • interaktion med C&C och uppdatering;
  • kryptering;
  • rengöring av spår av aktivitet, självförstörelse;
  • läsa lokal post;
  • söka efter information på disken.

Som vi kan se är potentialen hos den övervägda uppsättningen verktyg imponerande, och funktionaliteten hos modulerna och teknikerna som används kan variera mycket beroende på målattackplanerna. Detta faktum betonar det unika med denna typ av attack.

Sammanfattande

Det är viktigt att notera ökningen av riktade attacker riktade mot företag inom olika marknadssektorer (andra risker finns i fig. 2), den höga komplexiteten i deras upptäckt och den kolossala skadan från deras handlingar, som inte kan garanteras att upptäckas senare långsiktigt. I genomsnitt upptäcks en riktad attack 200 dagar efter dess aktivitet 1, vilket innebär att hackarna inte bara uppnådde sina mål, utan också kontrollerade situationen i mer än ett halvår. Organisationer som har upptäckt närvaron av APT i sin infrastruktur kan inte heller reagera ordentligt och minimera risker och neutralisera aktivitet: personal som ansvarar för informationssäkerhet är helt enkelt inte utbildad för att göra detta. Som ett resultat avbryter vart tredje företag sin verksamhet i mer än en vecka i ett försök att återta kontrollen över sin egen infrastruktur, och ställs sedan inför en komplex incidentutredningsprocess.


Den globala genomsnittskostnaden för ett företag på grund av en större incident är 551 000 USD, vilket inkluderar förlorade affärsmöjligheter och systemavbrott, såväl som driftskostnader. professionella tjänster för att eliminera konsekvenserna 2.

Hur en attack utvecklas, metoder för att kringgå standardsäkerhetsåtgärder och utnyttja nolldagshot, social ingenjörskonst, spridning och döljande av spår när nyckelinformation stjäls, och mycket mer, finns i följande artiklar i ”Anatomy of a Targeted Attack”-serien.

___________________________________________
1 Enligt statistik från Kaspersky Lab.
2 Data från studien "Business Information Security" utförd av Kaspersky Lab och B2B International 2015. Mer än 5 500 IT-specialister från 26 länder, inklusive Ryssland, deltog i studien.

Den främsta trenden senare år kallas en förskjutning i tyngdpunkten från massattacker till riktade, eller riktade sådana, riktade mot ett specifikt företag, organisation eller statlig myndighet. Och det visar sig inte vara särskilt lätt att motstå dem, även om det är möjligt.

Traditionella massvirusepidemier är banal vandalism, som generellt sett inte ger någon materiell utdelning. Får bara tvivelaktig berömmelse, som dessutom inte varar för länge och som med största sannolikhet slutar i arrestering och en lång fängelsestraff. Riktade attacker är en helt annan sak. Här används medel för cyberangrepp eller för direkt stöld Pengar, eller information som är lätt att tjäna pengar på, till exempel betalkortsuppgifter eller personuppgifter, vars svarta marknad är mycket utvecklad.

Konkurrenter kan också ligga bakom riktade attacker. Deras mål kan vara all slags know-how, information om kommande projekt och nya produkter och annan information som är viktig för verksamheten. Den här typen av information kan dock stjälas på andra sätt, till exempel med hjälp av illojala medarbetare. Användningen av riktade attacker är dock ofta mindre besvärlig ur organisatorisk synvinkel och tar kortare tid, och materialkostnaderna kan vara lägre.

Underrättelsetjänster visar också stort praktiskt intresse för den här typen av verktyg. Denna kategori är den mest lömska och farliga, eftersom det med största sannolikhet inte finns något direkt materiellt motiv bakom deras handlingar, men samtidigt har de betydande resurser och kvalificerad personal, både sina egna och anställda. Förresten, bakom den senaste tidens mest uppmärksammade handlingar, i synnerhet den sensationella attacken mot Sony Bilder, det stod inhyrda hackare där. Reportrar från den ökända brittiska tabloiden News of the World, som fångades under övervakning, tog också hjälp av cyberlegosoldater.

Målet för hacktivister och cyberspioner kan inte bara vara information, utan också olika typer av sändningssystem och kontrollkomplex, vilka attacker kan leda till enorma skador. Så dessa föremål kan bli ett mål för terroristattacker.

Som ett resultat, enligt en global undersökning gjord av konsult- och revisionsföretaget PricewaterhouseCoopers (PwC), har riskerna förknippade med cyberattacker konsekvent varit bland de fem bästa sedan 2012. Denna typ av hot nämns också som ett av de främsta hindren för affärstillväxt, eftersom säkerhetstjänster ofta förhindrar implementeringen av nya kritiska IT-system på grund av rädsla för deras möjliga sårbarhet för cyberattacker. PwC-undersökningen noterade också en betydande ökning av cyberattacker, som uppgick till 60 % från år till år. Den genomsnittliga kostnaden för en cyberattack per företag, enligt "2014 Cost of Cyber ​​​​Crime Study" utförd av Ponemone Institute, vars resultat sammanfattades hösten 2014, var 2,3 miljoner dollar.

Den största faran med cyberattacker är för stora företag. De har betydande mängder kontanter eller likvid information som lätt kan tjäna pengar på. Och själva faktumet att hacka kan bli föremål för utpressning, eftersom regulatoriska och ryktemässiga risker är höga, varav skadan kan vara högre, ibland många gånger, än kostnaderna för stölden som sådan. Också offentligt sändning av alla typer av smutstvätt kan orsaka stor skada, vilket var fallet med Sony Pictures eller offren för övervakning av News of the Worlds reportrar. Små företag kanske helt enkelt inte accepterar samma kortbetalningar och de hanterar inte stora mängder personuppgifter.

De mest mottagliga för attacker är företag inom industrier som bränsle- och energikomplexet, telekommunikation, avancerad, militärt industrikomplex. Det är för dem som det är lättare att stjäla något från en konkurrent än att skapa en analog framgångsrik produkt"från början".

Riktad attack. Hur det är gjort

Det hela handlar om att kontroll över vilken enhet som helst inom det attackerade företagets nätverk beslagtas, och därifrån får man tillgång till affärsapplikationer och/eller filservrar. Därefter samlas informationen som angriparna behöver in och överförs till sin destination, vanligtvis indirekt.

I regel används fjärrkontrollverktyg för PC eller servrar för sådana ändamål. Det svåraste är att avgöra exakt var i företagsnätverk du kan hitta den information som krävs. Så det kräver preliminär spaning eller närvaron av en medbrottsling inuti. Till exempel behöver du veta på vilken plattform CIS för det attackerade företaget är byggt. Och proceduren för att få den nödvändiga informationen i system baserade på 1C, SAP, Oracle, Microsoft är betydligt annorlunda.

Det är också extremt vanligt att stöld av väldigt många kategorier av information är helt automatiskt läge. Sådana verktyg är mest efterfrågade, eftersom problemet med brist på personal för angripare också är mycket akut. Kontrollcentren för många botnät låter dig konfigurera individuella noder inte bara för att skicka skräppost eller utföra DDoS attacker, men också att söka och överföra olika kategorier av data till en anvisad plats: inklusive detaljer bankkort eller autentiseringsdata för fjärrbanksystem (RBS). Dessutom kan botnet-klienter anpassas för att passa dina behov för en separat, ganska rimlig avgift. Till exempel, författaren till en av de "populära" banktrojanerna debiterade cirka 2 000 $ för att uppdatera sitt program.

Tekniken för att introducera skadlig programvara är också väldigt enkel, även om den förändras över tid. Nu är det mycket mindre sannolikt att användare öppnar körbara filer, och företag e-postservrar sådana bilagor kan vara blockerade. Det finns dock andra metoder. Till exempel, locka dig till en infekterad sida. Att förbereda det tar bara några minuter. I Nyligen Det är mer populärt att använda dokument i följande format som behållare för skadlig programvara: Microsoft Office eller Adobe PDF. Under ryska förhållanden underlättas detta av de etablerade traditionerna att arbeta med e-post. Dessutom infekterar själva botnäten automatiskt datorer i massor, inklusive företagsdatorer. För detta ändamål används alla typer av sårbarheter i programvara. En HP-studie från 2014 visade att 70 % av företagsprogramvaran innehåller sårbarheter. Mycket ofta tränger skadlig programvara in genom offentliga oskyddade Wi-Fi-nätverk, som många ansluter sina arbetsdatorer till.

Ibland kombineras båda tillvägagångssätten. När angripare inser att deras bot har kommit in i ett nätverk, till exempel en bank eller butikskedja, implementeras ett fjärrkontrollsystem på de infekterade datorerna, från vilket de utför det som boten inte kan göra.

Det finns sätt att penetrera nätverket med hjälp av andra enheter, till exempel skrivare, MFP:er och vissa typer av nätverksutrustning. Deras firmware har också sårbarheter, ofta allvarliga, och samtidigt uppdateras samma firmware mycket mer sällan än OS på arbetsstationer och servrar, och det är precis vad angripare drar nytta av. Och IT-personal kommer ofta, som de säger, inte ens runt för att korrekt konfigurera nätverksutrustning. Så du kan väldigt ofta hitta en switch, router eller punkt trådlös åtkomst, där de inte hann ändra fabrikslösenordet, vilket är välkänt. Om lösenord används är detta ofta inte ett problem för angripare. Att hacka WEP-protokollet tar därför bara några minuter även på en smartphone. Och det är precis vad många, inklusive ryska detaljhandelskedjor, använder för att skydda sina trådlösa nätverk. Metoder för hackning och det säkrare WPA-protokollet har dykt upp, men denna process kan redan ta timmar.

Sårbar utrustning kan hittas med hjälp av krigskörning. Denna metod kan vara ganska tidskrävande men är billig och enkel att utföra. Det var precis så de amerikanska detaljhandelskedjorna Targets och TJX sensationella hackningar genomfördes, under vilka flera tiotals miljoner äventyrades kreditkort, och skadorna uppmättes i miljarder dollar. Men återigen, du måste veta väl var den nödvändiga informationen finns.

Dessutom, enligt PwC, antalet incidenter relaterade till verksamheten externa företag. Detta beror dock oftast på att skyddsnivån som tillhandahålls av externa entreprenörer är betydligt lägre, vilket angripare ofta utnyttjar. Det händer också att vissa typer av förändringar i Informationssystem bidragit från utvecklare, både interna och externa. Vanligtvis, vi pratar om om regelbundna överföringar av pengar (mycket små) till brottslingars konton. Men sådana fall observeras inte alltför ofta.

Hur man identifierar och motverkar attacker

Som nämnts ovan är traditionella skyddsmedel, främst antivirus och brandväggar, ineffektiva mot skadlig programvara som används i riktade attacker. Så många utövare av informationssäkerhet rekommenderar att man överväger att en attack redan är på gång.

Som regel upptäcks själva attacken på grund av upptäckten av atypisk nätverksaktivitet. Till exempel när volymen nättrafik plötsligt ökade av någon okänd anledning, vilket ledde till en märkbar ökning av räkningarna från teleoperatören. Eller så upptäcktes att dataflöden går till ett land där det definitivt inte finns några leverantörer, köpare, kunder eller partners.

Naturligtvis bör du inte lita på det faktum att en av personalen kommer att upptäcka ett sådant faktum och stoppa skadlig aktivitet. Men klasser av säkerhetsverktyg som attackdetektering och förebyggande system (IDS/IPS) eller händelseövervaknings- och korrelationssystem (SIEM) gör att de kan identifieras. Som 2014 års Cost of Cyber ​​​​Crime Study visade sparade de som implementerade dem i genomsnitt $5,3 miljoner per företag på grund av högre effektivitet.

Det är viktigt att notera att både IDS/IPD och SIEM-system är öppen källkod och inte kostar något att licensiera. Du behöver bara tilldela serverkraft, och dessa verktyg fungerar utmärkt i en virtuell miljö. Det är också värt att komma ihåg att leveranspaketet för de flesta brandväggsmjukvara och hårdvara på marknaden även inkluderar IDS/IPS-system, vars kapacitet mycket väl kan vara tillräcklig.

Som ett resultat är inträdesbarriären inte så hög. dock baksidanär behovet av noggrann konfiguration, som dessutom behöver uppdateras då och då. Samtidigt behöver du också goda kunskaper om din egen infrastruktur. Detta gäller dock fullt ut kommersiella system. För ett år sedan genomfördes jämförande tester av ledande IDS/IPS-system "out of the box" på Habrahabr-portalen. Resultatet var nedslående: systemen missade i bästa fall hälften av attackerna, och dessa var välkända scenarier (http://habrahabr.ru/company/it/blog/209714/).

För ett SIEM-system är det också viktigt att säkerställa säkerheten för händelseloggar under ganska lång tid, med vilka problem ofta uppstår. De når stora volymer(upp till tiotals gigabyte per arbetsdag), och det finns alltid inte tillräckligt med lagringskapacitet. Plus, återigen, behovet av noggrann installation av en kvalificerad specialist.

Specialiserade verktyg dyker också upp, uteslutande inriktade på att bekämpa riktade attacker, som dyker upp i arsenalen hos ett antal leverantörer, inklusive BlueCoat, CheckPoint, InfoWatch. Detta är dock en ganska ung klass av programvara med ett stort antal "barnsjukdomar", och den bör användas med viss försiktighet.

Det är också nödvändigt att regelbundet genomföra penetrationstester och under förhållanden som är så nära stridsförhållandena som möjligt. Detta är det enda sättet att identifiera potentiella säkerhetshål som kan utnyttjas av angripare.

Att öka personalens medvetenhet är viktigt. Det är nödvändigt att regelbundet klargöra vilka metoder angripare kan använda, hur man ska agera under förhållanden för vissa incidenter och liknande. Ju färre de som potentiellt kan följa angriparnas ledning, desto bättre.

Hur hanterar man riktade attacker? Självklart behöver vi någon form av teknisk lösning som kan kombineras bästa idéerna för att upptäcka okända hot. Men innan vi pratar om det är det värt att bestämma vad som anses vara en riktad attack och förstå hur de fungerar.

Nyheten fortsätter att blinka: "Som ett resultat av en riktad attack lyckades kriminella stjäla två miljarder dollar från 40 banker och finansinstitut runt om i världen...", "...Mer än 500 energi-, metallurgiska och byggföretag blev offer av en attack riktad mot industriföretag än i 50 länder...", "...Effektiv och välplacerad skadlig programvara utformad för att utföra attacker på SWIFT-systemet gjorde det möjligt för cyberbrottslingar att stjäla miljoner..." och så vidare och så vidare. på.

Riktade attacker (aka APT) är ett verkligt gissel i vår tid, och mer än ett företag på flera miljoner dollar har redan byggts på att skydda mot dem. Du tittar på vilken utställning som helst som är dedikerad till informationssäkerhet, och du ser: för försäljningssidan är APT nu en viktig del förslag, och för köparen - ett av de akuta problemen. Dessutom är det inte längre relevant bara för stora företag, lärt av bitter erfarenhet, utan också för medelstora och till och med små. Om en angripare vill komma till ett företag kan en liten entreprenör mycket väl vara ett mellanmål.

Inte bara ord

Tyvärr är termerna "riktad attack" och "riktad attack" felaktiga. Varför? Låt oss påminna om den klassiska definitionen av en datorattack: "En datorattack är en riktad otillåten påverkan på...". Sluta, sluta, det räcker redan! Det visar sig att varje attack har ett mål och inte bara ett "riktat".

Ett utmärkande drag för riktade attacker är att angriparen aktivt och intelligent närmar sig att välja en ingångspunkt till en specifik infrastruktur, analyserar informationen som cirkulerar i dess komponenter under ganska lång tid och använder den insamlade informationen för att få tillgång till värdefull information.

Jag hör indignerade rop från publiken: "Folk förlorar pengar, men han håller fast vid villkoren!" Den akademiska noggrannheten i beskrivningen av problemet är dock extremt viktig för att skapa just den "silverkulan" universell lösning, som Ivan Novikov skrev om.

Forskare tittar vanligtvis på isolerade aspekter av attacker och gör ingen heltäckande analys av problemet. Därför är metoder för att identifiera och bekämpa attacker i en redan utsatt miljö också ofullkomliga.

Till exempel är många säkerhetsmetoder och system baserade på statiska listor med mönster, det vill säga heuristiska analysbaser, vita listor, signaturbaser och så vidare. Sådana listor är dock ineffektiva för att identifiera "okonventionella" hot, där angripare försöker dölja sin närvaro i en komprometterad infrastruktur.

En metod som i enlighet med kraven i olika informationssäkerhetsstandarder garanterar frånvaron av en inkräktare i systemet är skapa och underhålla slutna betrodda mjukvaru- och hårdvarumiljöer. Detta är hur "papperssäkerhet" eliminerar kompromisser i alla skeden.

Tyvärr, ur praktisk synvinkel, är denna metod ineffektiv. Moderna mjukvaru- och hårdvarumiljöer byggs vanligtvis på hård- och mjukvara olika tillverkare, som använder olika tillvägagångssätt i utvecklingen, olika metoder uppdateringar och support. Det är orealistiskt att undersöka alla produkter för att se om de innehåller bokmärken, och utan detta fungerar inga pålitliga miljöer.

En annan metod för att skydda värdefulla resurser från riktad obehörig åtkomst är baserad på fysisk isolering av skyddade föremål. Och det är också ineffektivt under verkliga förhållanden. Även om det är möjligt att stänga alla sidokommunikationskanaler som skulle kunna användas av angripare för att extrahera data, kvarstår den mänskliga faktorn. Ofta skapas sidokommunikationskanaler av människor som interagerar med system, antingen oavsiktligt eller avsiktligt.

Problemlösning

Det visar sig att det är praktiskt taget omöjligt att undvika risken för kompromisser. Följaktligen behövs system för att upptäcka okända attacker i en redan utsatt miljö. Denna klass av lösningar kallas stolt post-brach ("efter hacking") och löser oftast problemet med respons/mitigation, det vill säga respons och mildring.

Men i verkligheten finns det inte så många metoder och lösningar som bygger på deras bas för att snabbt upptäcka hot (detektion efter intrång). Till exempel är en av dem fällnätverk, som är allmänt kända som "honeypots".


En korrekt designad fälla kan faktiskt hjälpa till att upptäcka en riktad attack i ett visst skede. Men samtidigt är det osannolikt att den klassiska honungskrukan hjälper till att identifiera andra punkter där angriparen är närvarande.

Kända metoder adaptiv utbyggnad av fällsystem, samt söka efter anomalier i hur systemkomponenter fungerar. Det är mycket svårare att hitta rekommendationer om hur man väljer distributionsalternativ för honeypot. Hur många falska arbetsstationer behöver du på nätverket? Vilka falska konton ska jag skapa och på vilka maskiner? Det är ännu svårare att analysera data som erhålls på detta sätt. "Okej, Google, någon använde ett falskt konto på vår revisors dator. Så vad är det nu?"

Oidentifierad ≠ övernaturlig

För att inte skapa terminologisk förvirring kommer vi att använda termen "okänt datorattack" Detta kan inkludera, men är inte begränsat till, riktade attackegenskaper. En okänd datorattack är en kontinuerlig riktad obehörig påverkan som använder mjukvara eller hårdvara med sådana driftsparametrar som inte tillåter säkerhetslösningar att upptäcka det i realtid.

Låter det komplicerat? Det handlar verkligen om tre nyckelfunktioner: kontinuitet, målmedvetenhet och icke-trivialitet.

Kontinuitet- en egenskap som bestämmer tidsintervallet under vilket angriparen sparar obehörig åtkomst till eller påverkar en resurs. Speciellt riktade attacker kännetecknas av långvarig kontroll av närvaropunkter i målinformationssystemet.

Fokus- en egenskap som bestämmer graden självgjorda från angriparens sida att implementera obehörig åtkomst eller påverkan och tar hänsyn till målinfrastrukturens individuella egenskaper.

Icke-trivialitet för attackdetekteringssystem är detta en egenskap som bestämmer svårigheten att upptäcka denna klass av attacker av det attackerade objektets försvarssystem. Förknippas med målmedvetenhet. Detta nyckelegenskap att utvärdera effektiviteten av skyddsmetoder och system.

Attacklivscykel

Varje cyberattack kan delas in i etapper, vars namn kom till oss från militärvetenskap. Varje steg innebär en uppsättning strategier och metoder för deras genomförande. Och för varje steg finns förebyggande åtgärder och insatsstrategier.



Låt oss titta på varje steg i attackens livscykel med hjälp av exempel och illustrera strategier för att implementera stegen. Låt oss ringa angriparen Vasily.


Tänk på att dessa scenarier endast är specialfall från olika taktik och medel som en angripare kan använda.

Intelligens, förberedelse

Under spaning försöker Vasily upptäcka ingångspunkter till målinfrastrukturen. För att göra detta studerar han noggrant rapporten från sin webbläsare som skannade en offentlig webbapplikation som ägs av offret.

Dessutom Vasya, analysera produktionen sökmotorer, letar efter exploateringsbara resurser vars IP-adresser ligger inom målorganisationens adressintervall.

Vasily hittade profilerna för flera anställda i organisationen på sociala nätverk och deras företags e-postadresser. Baserat på de mottagna uppgifterna utarbetade Vasily följande handlingsplan.

  1. Försök att äventyra arbetsstationerna för upptäckta anställda.
  2. Om detta misslyckas kommer Vasily att försöka använda offentliga utnyttjande för att attackera organisationens servrar som är tillgängliga från Internet, samt Wi-Fi-routrar på företagets kontor.
  3. Parallellt med de två första stegen kommer Vasily att leta efter sårbarheter i en offentlig webbapplikation i hopp om att en komprometterad applikation ska ge honom tillgång till den interna infrastrukturen.

För att implementera allt detta förbereder Vasily texten i ett brev med en skadlig bilaga till anställda, anpassar utnyttjandet som hittats och startar också en lösenordssökning för adminpanelen för den upptäckta webbresursen.

Leverans, drift, säkring

Vilken punkt tror du har större chans att lyckas? Kanske har du sett rapporter från konsultföretag och säger att det här är en webbapplikation. Eller så kommer du ihåg den mänskliga faktorn och personalens inkompetens i informationssäkerhetsfrågor och antar att ett nätfiskemail med en bilaga kommer att vinna. Men Vasya bryr sig inte om vad du tycker, eftersom han redan sitter med en bärbar dator på företagets kontor och väntar på att de anställdas mobila enheter ska ansluta.

På ett eller annat sätt, resultatet av detta steg: den nedladdade skadliga koden skickas till Vasilys kontrollserver.

Handling

Det är här det roliga börjar. I praktiken visar det sig ofta att en angripare tvingas utföra en hel specialoperation och skapa nya närvaropunkter för att säkerställa konstant kontroll(beständig). Han kommer att behöva genomföra spaning inom den komprometterade infrastrukturen och gå mot värdefulla resurser. Detta kallas lateral rörelse: det är osannolikt att tillgången till revisorns dator kommer att tillfredsställa Vasilys kunder - de är snarare intresserade av företagets immateriella rättigheter. Tja, i slutändan kommer Vasya att behöva utföra en omärklig datautmatning (exfiltrering).

Opposition

Naturligtvis bör motverkansskedet börja tidigare, och inte efter alla beskrivna steg. Men ibland händer det att de börjar leta efter Vasily efter att han försvunnit med värdefull data. Och ofta händer detta inte bara på grund av den försvarande partens inkompetens. Vasily hade helt enkelt tillräckligt med tid att studera offret innan han påbörjade några aktiva handlingar, och kände väl till alla skyddssystem. Och det finns ofta många Vasilys, och några av dem är gömda bland interna anställda.

Det är av de skäl som beskrivits ovan som vi kommer att försöka ta reda på Vasya och hans avsikter även innan han genomför alla stadier av sin attack. För att göra detta måste vi lära oss hur vi upptäcker dess utseende i vår infrastruktur i tid. Jag kommer att ägna nästa nummer av min kolumn åt hur man gör detta.

2013-03-29, fre, 13:03, Moskva-tid

Skadlig programvara som används i avancerade ihållande hot (APT) utvecklas ständigt. Nu kan de i smyg penetrera nätverk, ofta i hälarna på arbetsstationer och flyttbara media. I dag, när arbetsplatserna blir allt mer mobila och utanför kontrollen av företagens IT-säkerhetsinfrastruktur, blir problemet bara intensifierat.

Ett exempel på ett sådant hot är Flame worm, ett nytt vapen för cyberkrigföring som attackerade den iranska energisektorn och nu sprider sig över Mellanöstern. Skadlig programvara Flame1, upptäckt av Kaspersky Lab-specialister, är känd som "ett av de mest sofistikerade hoten genom tiderna." Och även om Flame-viruset ursprungligen var tänkt att sabotera Irans kärnkraftsprogram, hemsöker det fortfarande säkerhetsexperter. Faktum är att det nu har spridit sig utanför målinfrastrukturen och infekterat företagssystem runt om i världen.

Dess föregångare var Stuxnet-viruset, som designades specifikt för att infektera och störa de system för tillsynskontroll och datainsamling (SCADA) som kontrollerade Irans urananrikningscentrifuger. Framgången för detta skadliga program överträffade förväntningarna från dess skapare: utrustningen gick in i ett okontrollerat driftläge med en kurs mot självförstörelse. Tyvärr spred sig Stuxnet även utanför sina iranska mål och började infektera SCADA-system i Tyskland och sedan i andra länder runt om i världen.

Både Flame och Stuxnet är komplexa riktade hot. Dessa är nästa generations vapen för militära operationer som kontrolleras av regeringar, terrorister och välfinansierade cyberbrottssyndikat. Dessa skadliga program, utrustade med flera funktioner för att dölja sina aktiviteter, syftar främst till att stjäla immateriell egendom, militära planer och andra värdefulla företagstillgångar.

De mest troliga offren för detta krig kommer dock att vara medelstora och små företag, som kommer att hamna i korselden om de inte distribuerar en omfattande säkerhetsinfrastruktur för att skydda slutpunkter. De dagar då medelstora och stora företag kunde njuta av relativ anonymitet eller snåla med säkerhetsfunktioner är förbi. Komplexa, riktade hot och zero-day attacker blir allestädes närvarande och obevekliga.

Utveckling av hot

En gång i tiden skickades hot massvis, oftast via mejl. Offret lockades in i en fälla med ett nätfiskemeddelande som påstods vara från en utländsk finansiär eller en sedan länge förlorad släkting. Även om dessa hot var potentiellt farliga skickades de urskillningslöst. Dessutom kunde de ha upptäckts och förhindrats med hjälp av grundläggande säkerhetsåtgärder. Dessa typer av attacker fortsätter att dominera internet. Men på senare tid har nivån av sofistikerade hot ökat avsevärt: komplexa riktade hot och nolldagsattacker blir nu vanligare, vilket skapar rädsla och oro bland användarna.

Under de senaste åren har de mest uppmärksammade attackerna med komplexa riktade hot försvagat även de mest otroliga scenarier. Operation Aurora: attack mot Google. Under 2009, denna attack av kinesiskt ursprung genom sårbarheter i Windows Internet Explorer var mottagen källa och andra typer av immateriella rättigheter som tillhör Google och ett 30-tal andra globala företag.

Attack mot RSA. Tack vare denna hackingattack mot företagets ledande teknologi, SecurID-nycklar, vars tillförlitlighet säkerhetslösningsleverantören var så stolt över, kunde cyberkriminella 2011 infiltrera systemen hos amerikanska militära entreprenörer: Lockheed Martin, Northrop Grumman och L3 Communications.

Oak Ridge National Laboratory. Ett laboratorium för energidepartementet var tvungen att stängas av när administratörer upptäckte att en nätfiskeattack exfiltrerade känslig data från en server.

GhostNet. Detta nätspionagenätverk, bestående av 1 295 infekterade datorer i 103 länder, riktade sig mot ett antal anhängare av den tibetanska självständighetsrörelsen, såväl som andra stora organisationer, inklusive lokala ministerier, utrikeskommissioner, ambassader, internationella och icke-statliga organisationer.

ShadyRat. Som en del av denna högprofilerade kampanj hackades nätverken av statliga myndigheter, ideella organisationer och stora företag i 14 länder runt om i världen, med totalt 70 berörda organisationer.

Huvuddrag

Dessa dagar går avancerade riktade hot och nolldagsattacker hand i hand och får omfattande mediebevakning. Och ändå, vad är de och hur skiljer de sig från hot som trojaner eller maskar?

Det är säkert att säga att detta inte är vanliga amatörattacker. Av namnet framgår att sådana hot fungerar på grundval avancerad teknik, samt flera metoder och vektorer för riktade attacker mot specifika organisationer för att få konfidentiell eller hemligstämplad information.

Skapare av komplexa riktade hot skiljer sig mycket från hotförfattare som manusbarn som lanserar SQL-attacker, eller den genomsnittliga skadlig programvara författare som hyr ut botnät till högstbjudande. Brukar vara så här avancerade hot planeras av stora, organiserade syndikat med hela team av experter till sitt förfogande som har till sitt förfogande en mängd olika underrättelseinsamlingstekniker. Eftersom dessa hot fungerar långsamt, tyst och kan dölja sina spår, föredras de alltmer av cyberkriminella, fientliga regeringar, terrorister och brottssyndikat.

Arbetsschema

I komplexa riktade hot använder cyberbrottslingar skadlig programvara för att få personlig information som hjälper till att genomföra attackens andra skede. Efter detta används individuella sociala ingenjörsteknologier, vars mål är att infiltrera organisationen genom dess själva svaghet: slutanvändare.

i detta skede attacker riktar sig mot individer som har tillgång till önskade konton. Detta innebär användning av övertygande brev som utger sig vara från HR eller annan pålitlig källa. Ett slarvigt klick på ett sådant brev och cyberkriminella har fri tillgång till organisationens mest värdefulla information, men ingen misstänker det ens. När ett komplext, riktat hot väl får tillgång till ett system, använder det en mängd olika trojaner, virus och annan skadlig kod. De infekterar nätverket och skapar många "bakdörrar" som kan finnas kvar i oändlighet på arbetsstationer och servrar. Hela denna tid flyttar hotet oupptäckt från en dator till en annan på jakt efter ett givet mål.

Zero-day bedrifter

Zero-day exploits är alltid favoritverktyget för komplexa riktade hot. Detta catchy namn fångar kärnan i hot som drar fördel av säkerhetsbrister i program innan leverantören fixar dem eller ens vet om deras existens. Det går alltså mindre än en dag mellan den första attacken och korrigeringen - "noll dagar". Som ett resultat har cyberbrottslingar fullständig handlingsfrihet. Utan rädsla för repressalier drar de fördel av en attack som det inte finns något känt försvar för.

Skadlig programvara som utnyttjar nolldagssårbarheter kan orsaka allvarlig skada på en organisation utan att märkas. De syftar till att stjäla skyddad information som källkod, immateriella rättigheter, militära planer, försvarsindustridata och andra regeringshemligheter som används i spionage. När en organisation får reda på en attack blir det en mardröm för PR-avdelningen. Skadan uppgår till miljoner: trots allt är det nödvändigt att inte bara granska säkerhetsinfrastrukturen, utan också betala rättegångskostnader, samt hantera konsekvenserna av kundutflödet. För att inte tala om hur mycket ansträngning, tid och pengar som går åt till att återställa rykte och kundernas förtroende.

Komplexa riktade hot och nolldagars utnyttjande är långt ifrån nya fenomen. De användes första gången för flera år sedan, långt innan dessa termer kom in i säkerhetspersonalens folkspråk. Hittills har många organisationer inte ens insett att de för flera månader (och ibland år) sedan blev offer för en dold "nolldags"-attack. Enligt Verizons datasäkerhetsbrottsrapport upptäcks 2,44 % av dessa immateriella intrång inte förrän år senare.

Exempel: En rapport publicerad av Christian Science Monitor3 fann att redan 2008 var tre oljebolag – ExxonMobil, Marathon Oil och ConocoPhilips – offer för riktade cyberattacker utförda med komplexa riktade hot. Under attackerna (förmodligen av kinesiskt ursprung) laddade cyberbrottslingar upp Fjärrserver kritiskt viktig information om antalet, värdet och placeringen av upptäckta oljefält i världen. Faktumet om företagets attack upptäcktes dock först efter att FBI rapporterade att konfidentiell information hade stulits från dem.

År 2011 tog komplexa riktade hot med rätta en av de första platserna bland säkerhetshot. Det är trots allt på grund av dem som företag som Sony, Epsilon, HBGary och DigiNotar led enorma förluster i år. För att inte tala om RSA, som förlorade nästan 40 miljoner filer med engångslösenord för elektroniska nycklar. Totalt kostade RSA4-säkerhetsfelet företaget cirka 66 miljoner dollar, medan Sony5:s förluster från förlusten av 100 miljoner skivor uppgick till 170 miljoner dollar.

I slutet av 2011 fanns det minst 535 datasäkerhetsintrång, vilket resulterade i förlust av 30,4 miljoner poster. Många företag har fallit offer för ett antal sensationella attacker i år, rapporterar Privacy Rights Clearinghouse. Och detta är bara en liten del av de kända kränkningarna, eftersom det varje år finns tusentals säkerhetsintrång som inte upptäcks eller inte avslöjas.

Det är möjligt och nödvändigt att försvara sig mot komplexa riktade hot. Skyddsmetoder kommer att diskuteras i artikeln "Komplexa riktade hot: att säkerställa skydd."


2024 gtavrl.ru.