APT-атаки или Advanced Persistent Threat

APT-атаки или Advanced Persistent Threat

Последние годы характеризуются появлением нового, более опасного вида угроз информационной безопасности. Их называют АРТ -атаками. АРТ (advanced persistent threat) - передовые настойчивые угрозы. От угроз, использовавшихся ранее, их отличают:

  • изощренность и целенаправленность проникновения на вычислительное устройство;
  • использование интеллектуальных методов проникновения, нанесения ущерба и сохранения на вычислительном устройстве;
  • индивидуальный подход к взлому, который учитывает степень защищенности атакуемого предприятия;
  • изучение слабых мест для проникновения в ИТ-инфраструктуру предприятия.

К таким угрозам относятся:

  • использование электронной цифровой подписи, полученной в центре сертификации, для подписания вредоносного кода;
  • шифрование кодов, с помощью которых происходит заражение вычислительного устройства;
  • использование социальных сетей и ботнетов для совершения распределенных атак. Ботнет - это компьютерная сеть, содержащая несколько хостов для запуска программ-автоматов (ботов). Этот вид атак подобен DDos-атакам. Это атака на сайт (предприятия), которая осуществляется одновременно с нескольких распределенных в пространстве хостов. Провайдер отказывается обслуживать этот сайт из-за больших нагрузок на сервер, возникающих при обращении к сайту;
  • тщательная маскировка проникновения и присутствия, приспособление к мерам защиты;
  • возвращение после успешного устранения взлома.

Российская компания AFLEX DISTRIBUTION является официальным представителем в России и странах СНГ ведущих мировых разработчиков ПО. К ним относится компания BeyondTrust (www.beyondtrust.com), являющаяся мировым лидером по борьбе с современными угрозами информационной безопасности. Одним из методов защиты от современных информационных угроз безопасности является ограничение прав пользователей, привилегий локального администратора, прав доступа.

К решениям компании для управления доступом относятся:

PowerBroker Servers, которое позволяет системным администраторам передавать привилегии и разрешения доступа, не раскрывая при этом корневого пароля на платформах UNIX, Linux и Мас OS;

PowerBroker Express - продукт базовой защиты против злоупотребления правами доступа к некритичным объектам, не оправдывающим значительные затраты на приобретение надежных систем для детализированного контроля доступа к серверам;

PowerBroker Directory Integrator - применяется на предприятиях для централизованной проверки подлинности, авторизации, доступа к учетным записям, применения политик и управления инфраструктурой;

PowerBroker Password Safe - автоматизированное решение для управления паролями. Позволяет контролировать доступ, управляемость и проводить проверки всех типов учетных записей с расширенными правами доступа, таких как общие административные учетные записи, учетные записи приложений и локальные административные учетные записи;

PowerBroker for Virtualization - решение для централизованной борьбы с рисками неуправляемого доступа с учетной записью администратора в средах виртуальных центров обработки данных.

Для предотвращения APT-атак требуется применение интеллектуальных активных средств защиты вместе со средствами автоматизации анализа ИБ-событий. Одним из инструментов для активной защиты является RSA Security Analytics, который разработан подразделением RSA корпорации ЕМС. Этот программный продукт обладает свойствами, характерными для систем управления событиями, систем управления и мониторинга сетевой информационной безопасностью, использует информацию о безопасности корпоративной IT-инфраструктуры, в системе осуществляется непрерывное пополнение базы знаний данными, получаемыми экспертами. Эти свойства позволяют отнести систему безопасности RSA
Security Analytics к квазиинтеллектуальным информационным системам.

Система безопасности поддерживает сбор и обработку больших массивов данных, обработку данных в оперативной памяти (in-memory), что позволяет проводить анализ и расследование угроз безопасности в режиме реального времени, обеспечивает масштабируемость управления информационной безопасностью независимо от размеров и сложности контролируемой ИТ-инфраструктуры.

Для работы с большими массивами данных в системе использована технология распределенных вычислений Hadoop. Модуль аналитики позволяет выявлять аномалии и корреляции между данными, визуализировать данные, результаты анализа и ИТ-событий.

В последние годы злоумышленники нацелились на банки и финансовый сектор страны. Происходит слияние групп злоумышленников, работающих в Интернете, и традиционного криминала. Первые добывают деньги путем хищения денежных средств с личных счетов в банках, вторые их реализуют по различным каналами схемам отмывания денежных средств.

По данным "Лаборатории Касперского", величина таких хищений в Российской Федерации за 2014 г. превысила 1 млрд руб. Для совершения финансовых преступлений злоумышленники разрабатывают целенаправленное вредоносное ПО. По данным специалистов по борьбе с киберугрозами, такое ПО включает

  • банкеры,
  • клавиатурные шпионы,
  • программы для кражи виртуальных кошельков,
  • программы для скрытой от пользователя генерации криптовалюты на зараженных компьютерах.

Банкеры относятся к самой распространенной группе вредоносных программ. Они используют вредоносное ПО, наподобие троянцев и бэкдоров, для кражи денег со счетов интернет-пользователей или для получения информации, которая используется для кражи.

Клавиатурные шпионы — это узконаправленные специализированное ПО, предназначенное для воровства конфиденциальной информации. Оно также используется для хищения информации финансового характера.

Возросло число вредоносных программ, предназначенных для кражи денежных средств с банковских счетов с помощью приложений, устанавливаемых на мобильные устройства. Наибольшее число таких преступлений происходит на устройствах, работающих под управлением OS Android. По данным "Лаборатории Касперского", только в 2013 году их число увеличилось в 20 раз.