реферат. Целенаправленные (таргетированные) атаки. Технологии, средства, примеры, защита
Скачать 29.39 Kb.
|
РЕФЕРАТ на тему «Целенаправленные (таргетированные) атаки. Технологии, средства, примеры, защита» Понятие «таргетированных атак» Таргетированная целевая атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в режиме реального времени, то есть постороннее целевое вторжение. Таргетированные атаки всегда являются заранее спланированными и представляют серьезную угрозу информационной безопасности. Таргетированная атака имеет другие наименования: целевая атака, направленная атака или целевая кибератака. Также используется термин APT — advanced persistent threat, «развитая устойчивая угроза». Термины же «хакерская атака» и «вирусная атака» тоже могут применяться, однако не полностью отражают суть данного вида киберугроз. Направленные сетевые атаки, как правило, сложны в выявлении и имеют тяжелые последствия. Самые известные на сегодняшний день таргетированные атаки: Stuxnet, WannaCry, Petya/NotPetya, Deep Panda, ChostNet. Их практический пример показывает всю опасность таких направленных атак. Целями таргетированных атак, как следует из названия, являются конкретные объекты: информационные системы, организации или люди. Поэтому программное обеспечение создается специально для каждой конкретной целевой атаки. Целенаправленные атаки осуществляются, в основном, для похищения денег с банковских счетов, кражи данных или интеллектуальной собственности, нарушения и манипулирования бизнес-процессами, вымогательства и шантажа. Вот почему важно знать инструменты таргетированных атак, понимать, как выявлять целевые атаки и как защитить данные от похищения. Следует отметить следующие особенности целевых атак, которые отличают их от обычных: адресность; скрытность; продолжительность; использование разнородных инструментов и методов; разработка вредоносного ПО для конкретной атаки; наличие центра управления атакой. Классификация и способы целенаправленных атак Можно выделить следующие типы атак: «Цепочка» (англ. Kill Chain). Кибератака изначально может быть проведена против людей, никак напрямую не связанных с целевой организацией — например, семьи одного из сотрудников. В таком случае заражению подвергается сперва компьютерная система супруга или супруги (доверенного лица) сотрудника организации, далее от их имени отправляется ссылка на какую-либо интересную новость или фото, после чего проникновение в систему продвигается по цепочке вплоть до достижения желаемой цели. Таким образом, нападение может быть выполнено либо через электронную почту, либо через веб-ресурсы с загрузкой вредоносных компонентов из интернета. Атака на конкретное предприятие. Основной задачей здесь является проникновение в информационную систему компании. Обычно производится рассылка сообщений с вредоносными вложениями, которая направлена на всех сотрудников компании и партнеров, с которыми у предприятия установлены доверительные отношения. Атакованы могут быть как рядовые сотрудники, так и руководство. «Охота на китов» (англ. whaling). Это — атака на топ-менеджмент компании с целью получения доступа к экономической или стратегической информации. Часто нападение производится с помощью сайтов, которые посещают руководители компаний определенного сектора экономики. Такие атаки могут быть связаны со шпионажем или конкурентной разведкой. Атака на отрасли экономики — масштабный вид, нацеленный на крупные организации — например, научно-исследовательские институты. Целью является хищение ценной информации. Как правило, подобные атаки проводятся под заказ. Этапы целевой атаки APT APT-атаки состоят из нескольких этапов – от разведки до окончательной эксфильтрации данных, — отправка данных куда-то наружу, и последующих атак. Разведка. Злоумышленники начинают свою кампанию с разведки. Происходит сбор информации (поиск в открытых источниках, социальная инженерия для получения дополнительных данных, мониторинг данных о новых уязвимостях и т. п.). Ведется подготовка к взлому, подбор или даже разработка подходящих инструментов. Проникновение в инфраструктуру. Используя знания и инструменты, собранные на первом этапе, злоумышленник проникает в сеть компании – через эксплуатацию уязвимостей, социальную инженерию, с помощью разных техник обхода защиты. Далее он может использовать внутреннюю разведку, чтобы узнать, где именно оказался, инвентаризировать сеть и продумать пути закрепления в инфраструктуре. Закрепление и распространение в инфраструктуре. На этом этапе злоумышленник обеспечивает себе связь с командным центром, перемещается по сети в поисках доступов к целевым системам или машинам, а также повышает свои привилегии в сети. Достижение цели и эксфильтрация. Злоумышленник решает свою главную задачу – получает конкретные данные, нарушает бизнес-процессы и т. д. Наконец, злоумышленник переводит данные (или денежные средства) за пределы компании. Последующие атаки. Если злоумышленник оставил бэкдор, то сможет вернуться к компании и атаковать ее еще раз в любое время. Примеры APT-атак Deep Panda — группировка, вероятно, из Китая провела атаку на Отдел по управлению персоналом при правительстве США, скомпрометировав более 4 миллионов записей, которые могли содержать подробности о сотрудниках спецслужб. GhostNet— группировка из Китая (согласно исследованиям Information Warfare Monitor) провела атаку с помощью фишинговых писем, сосредоточившись на получении доступа к сетям правительственных министерств и посольств. Были скомпрометированы компьютеры в более чем 100 странах, превратив их камеры и микрофоны в устройства наблюдения. Stuxnet — предположительно, червь, разработанный Израилем и США, для атаки на ядерную программу Ирана. Данное вредоносное программное обеспечение могло нарушать работу машин в иранской ядерной программе без ведома операторов. WannaCry — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая компьютеры под управлением операционной системы Microsoft Windows. После заражения компьютера программный код червя шифрует почти все хранящиеся на компьютере файлы и предлагает заплатить денежный выкуп в криптовалюте за их расшифровку. В случае неуплаты выкупа в течение 7 дней с момента заражения возможность расшифровки файлов теряется навсегда. Petya — программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. Источник угрозы Основным источником угрозы является сложность современных информационных технологий, которые очень открыты и позволяют использовать технологии самым неожиданным образом — например, встроив вредоносное приложение в офисный документ. Не всегда средства защиты, которые работают на шлюзе, могут распознать вредоносный код, нацеленный против приложения на рабочем месте сотрудника. При этом вариантов различных вложений, присоединений, параллельных загрузок оказывается так много, что отдельные устройства защиты уже не могут достоверно определить вредоносность передаваемой через них информации. Основная масса целевых атак проводится через интернет. Для этого злоумышленники могут заразить сайт, который часто посещают потенциальные жертвы, после чего происходит инфицирование компьютерных систем и последующее проникновение вредоносного кода. Также возможно проведение атаки через социальные сети или мессенджеры, когда от человека из списка контактов приходит ссылка с «интересным содержимым». Вполне понятно, к чему приведет переход по такой ссылке. Признаки APT-атак Эти атаки могут быть очень сложными и трудно обнаруживаемыми. Однако есть ряд признаков, позволяющих определить APT-атаку: Целевые фишинговые сообщения в электронной почте. Хакерам нужен вход в систему, и для этого они часто используют электронную почту. Основываясь на данных разведки, проводимой перед атакой, злоумышленники выбирают темы, которые могут вызвать интерес у нужных им сотрудников. Сообщения могут содержать зараженное вложение или ссылку, которая загружает программу, предоставляющую доступ к вашей системе. Это называется мошенничеством с использованием целевого фишинга. Оно отличается от обычного фишинга, когда электронные письма не являются персонализированными, а рассылаются всем подряд с целью «выудить» личную информацию или данные у как можно большего количества людей. Тагетированный фишинг нацелен на конкретных людей в конкретных компаниях, а злоумышленники используют добытую ранее личную информацию, чтобы казаться более убедительными и придавать достоверность своим сообщениям. Любые отправляемые руководителям высшего звена электронные письма с вложениями неизвестных лиц помечаются красным флагом. Очень важно, чтобы сотрудники знали об опасности фишинга и рисках, связанных с открытием вложений и переходом по ссылкам в незапрошенных сообщениях. Старые логины. Следует отслеживать и анализировать количество входов в сеть. Если пользователь заметил, что в нерабочее время выполняется много входов в систему или используются какие-то необычные шаблоны входа, нужно насторожиться. Это особенно актуально, если вход в систему осуществляется сотрудниками руководящего звена с высоким уровнем доступа в вашей сети. Киберпреступники могут находиться в других странах на другом конце света, чем может объясняться необычное время входа в систему. Также они стараются действовать, когда в офисе мало или вообще нет людей, которые могли бы заметить и остановить подозрительную активность. Распространённые трояны-бэкдоры. Для обеспечения постоянного доступа к компьютерам хакеры часто используют трояны-бэкдоры - программы, позволяющие злоумышленникам удаленно подключаться к компьютерам в скомпрометированных сетях и отправлять/получать команды. Это как если бы держать заднюю дверь в доме открытой, чтобы всегда была возможность войти, даже если замок - учетные данные для входа - поменяли. Перемещение данных. Хакеры находятся в нашей системе c определенной целью - добыть конкретную информацию. Не стоит оставлять без внимания случаи пересылки больших пакетов информации, изменения месторасположения файлов или перемещения данных с сервера на сервер. Следует отслеживать информацию, передаваемую с компьютера на компьютер внутри сети, а также данные, отправляемые на внешние устройства. Данные сгруппированы и готовы к экспорту. Необходимо обращать внимание на большие файлы, которые находятся не там, где они должны быть. Часто злоумышленники группируют и сжимают данные, прежде чем экспортировать их из чужой системы. Это позволяет им одновременно перемещать большие объемы данных. Еще один признак того, что хакеры готовятся экспортировать пакеты данных, - это появление архивов, формат которых ваша компания обычно не использует. Защита от таргетированных атак В целевых атаках злоумышленники используют комбинацию различных методов и инструментов, поэтому и подход к защите от них должен быть максимально комплексным. Ниже перечислены основные меры защиты от таргетированных атак: Обучение персонала. Сотрудники компании – самая уязвимая ее точка. Именно поэтому фишинг до сих пор является одним из наиболее популярных и эффективных методов атак. Необходимо проводить регулярное обучение и проверять его эффективность, повышать осведомленность персонала в вопросах информационной безопасности. Кроме того, ИБ-специалисты должны иметь достаточную квалификацию и поддерживать актуальность собственных знаний, поскольку злоумышленники очень быстро развивают свои тактики, техники и инструментарий. Выстраивание процессов реагирования и расследования. Сотрудникам ИБ (информационной безопасности) необходимо четко понимать, как действовать в случае возникновения угрозы. Устранение угроз должно быть максимально оперативным, пока компании не нанесен ущерб. Не во всех организациях есть компетенции по расследованиям – в этом случае можно привлечь сторонних экспертов, которые не только грамотно проведут расследование, но и смогут дать рекомендации по исправлению недостатков защиты. Внедрение новейших технологий. Скорость развития инструментов и тактик злоумышленников настолько высока, что рассчитывать только на предотвращение бессмысленно – нельзя заблокировать абсолютно все. Эффективнее переориентировать подход к защите от сложных атак с предотвращения на раннее обнаружение. При подобном раскладе компания сможет выявить атаку на самых ранних этапах. Чем прозрачнее для пользователей происходящее в сети, тем легче будет найти атаку и минимизировать риски. Защита на периметре будет бессильна, если хакер сумел проникнуть в инфраструктуру, но, если у пользователей есть понимание того, какая активность есть в их внутренней сети, то найти и устранить угрозу будет легче. Защита от таргетированных атак — это комплексная задача, которую нельзя решить, используя какой-либо один продукт. Для достижения цели требуется применять весь спектр средств обеспечения информационной безопасности; только в этом случае можно повысить процент успешного обнаружения и нейтрализации атак. Таргетированные атаки могут быть чрезвычайно разрушительными. Если компания находится в зоне риска, лучший способ уменьшить его — воспользоваться услугами проверенной компании по кибербезопасности. ЗАКЛЮЧЕНИЕ В современном мире киберпреступники могут не только обходить средства защиты информации, но и влиять на пользователей и системы, что сильно усложняет выявление таргетированных атак стандартными средствами защиты. Поэтому необходимо использовать различные алгоритмы и комплексные стратегии, которые позволят собирать информацию о событиях в режиме 24/7, быстро находить следы таких атак, сообщать об инцидентах информационной безопасности, документировать выявленные инциденты, получать статистику угроз через разные виды инфраструктур. Не соблюдение вышеперечисленных мер может привести к непоправимым последствиям, начиная от утечки личных данных и заканчивая утечками государственного масштаба. СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ Постоянная серьезная угроза (киберпреступность) [Электронный ресурс] / Wikipedia: бесплатная энциклопедия в сети интернет. – Wikipedia, 2021. – Режим доступа: https://ru.wikipedia.org/wiki/Постоянная_серьезная_угроза_(киберпреступность)#Опасность_APT-атак – Дата доступа: 14.12.2021. WannaCry [Электронный ресурс] / Wikipedia: бесплатная энциклопедия в сети интернет. – Wikipedia, 2021. – Режим доступа: https://ru.wikipedia.org/wiki/WannaCry – Дата доступа: 14.12.2021. Petya [Электронный ресурс] / Wikipedia: бесплатная энциклопедия в сети интернет. – Wikipedia, 2021. – Режим доступа: https://ru.wikipedia.org/wiki/Petya – Дата доступа: 14.12.2021. Petya [Электронный ресурс] / Wikipedia: бесплатная энциклопедия в сети интернет. – Wikipedia, 2021. – Режим доступа: https://ru.wikipedia.org/wiki/Petya – Дата доступа: 14.12.2021. 5 признаков APT-атаки и советы по ее предотвращению [Электронный ресурс] / Kaspersky, 2021. – Режим доступа: https://www.kaspersky.ru/resource-center/threats/advanced-persistent-threat – Дата доступа: 15.12.2021. Злоумышленники уже могут находиться в сети: что такое APT-угрозы и как защититься [Электронный ресурс] / Cloudnetworks, 2020. – Режим доступа: https://cloudnetworks.ru/analitika/apt-ugrozy-i-kak-zashhititsya/ – Дата доступа: 15.12.2021. Защита от целевых/таргетированных атак: обзор решений для борьбы с сетевыми атаками [Электронный ресурс] / Syssoft, 2019. – Режим доступа: https://www.syssoft.ru/zapisi-vebinarov/zashchita-ot-tselevykh-targetirovannykh-atak-obzor-resheniy-dlya-borby-setevymi-atakami/ – Дата доступа: 15.12.2021. Целевые атаки (включая APT) [Электронный ресурс] / Anti-Malver, 2021. – Режим доступа: https://www.anti-malware.ru/threats/target-attack – Дата доступа: 15.12.2021. Что такое целевая атака: признаки, объекты и последствия [Электронный ресурс] / Ptsecurity, 2019. – Режим доступа: https://www.ptsecurity.com/ru-ru/research/knowledge-base/chto-takoe-celevaya-ataka-priznaki-obekty-i-posledstviya/ – Дата доступа: 15.12.2021. Таргетированные или целевые кибератаки [Электронный ресурс] / Tadviser, 2021. – Режим доступа: https://www.tadviser.ru/index.php/Статья:APT_-_Таргетированные_или_целевые_атаки – Дата доступа: 16.12.2021. . |