Средства выявления целевых атак примеры программ

Содержание

Таргетированная целевая атака — это непрерывный процесс несанкционированной активности в инфраструктуре атакуемой системы, удаленно управляемый в режиме реального времени, то есть постороннее целевое вторжение. Таргетированные атаки всегда являются заранее спланированными и представляют серьезную угрозу информационной безопасности. Защита от таргетированных атак и обзор современных решений для борьбы с сетевыми атаками являются темой данного вебинара.

Таргетированная атака имеет другие наименования: целевая атака, направленная атака или целевая кибератака. Также используется термин APT — advanced persistent threat, «развитая устойчивая угроза». Термины же «хакерская атака» и «вирусная атака» тоже могут применяться, однако не полностью отражают суть данного вида киберугроз.

Направленные сетевые атаки, как правило, сложны в выявлении и имеют тяжелые последствия. Самые известные на сегодняшний день таргетированные атаки: Stuxnet, Wanna Cry, Petya/NotPetya, BadRabbit. Их практический пример показывает всю опасность таких направленных атак.

Стратегия защиты от целевых атак 2023

Целями таргетированных атак, как следует из названия, являются конкретные объекты: информационные системы, организации или люди. Поэтому программное обеспечение создается специально для каждой конкретной целевой атаки.

Целевые атаки осуществляются, в основном, для похищения денег с банковских счетов, кражи данных или интеллектуальной собственности, нарушения и манипулирования бизнес-процессами, вымогательства и шантажа. Вот почему важно знать инструменты таргетированных атак, понимать, как выявлять целевые атаки и как защитить данные от похищения.

  • Что такое таргетированная атака.
  • Структура целевых атак, примеры сетевых атак.
  • Защита от целевых атак.
  • Методы защиты от целевых атак: как выбрать программное решение.
  • Комплексные решения: Fortinet Fortisandbox, Kaspersky Kata, Group-IB TDS, Check Point Sandblast, Trend Micro Deep Discovery, Palo Alto Wildfire.

Проводится демонстрация методов защиты от целевых атак на примере решений перечисленных производителей ПО.

Вебинар проведен компанией «Системный софт». Ведущий вебинара: Максим Вологжанин, менеджер по развитию бизнеса ИБ.

Источник: www.syssoft.ru

Передовая защита от целевых атак

Чтобы эффективно обнаруживать и отражать самые сложные угрозы, включая APT-атаки, необходимо использовать продвинутые технологии, такие как машинное обучение, песочницы и автоматизированный проактивный поиск угроз, применяя их к событиям и объектам, которые собираются со всей корпоративной инфраструктуры.

Как организации защищаются от APT-атак?

Так называемые APT-атаки (от англ. advanced persistent threat – комплексная таргетированная угроза) – это сложные целевые долгосрочные кампании, профессионально спроектированные злоумышленниками для обхода одноуровневой защиты.

Обнаружение и исследование целевых атак

Основная цель инструментов защиты от APT-угроз и других целевых атак – усложнить проведение подобных кампаний настолько, чтобы оно стало практически невозможным или экономически нецелесообразным. В таких решениях используется сразу несколько технологий: чем больше уровней защиты, тем больше потенциальных точек входа для атаки можно контролировать и тем выше вероятность обнаружения, сколько бы времени и денег злоумышленник ни тратил на подготовку.

Платформа KATA, объединяющая защиту от целевых атак (Kaspersky Anti Targeted Attack) и систему выявления и нейтрализации угроз на рабочих местах (Kaspersky EDR), – пример корпоративного решения такого рода. Среди продвинутых технологий данной платформы можно особо выделить следующие:

Анализ сетевого трафика. Этот модуль поведенческого анализа исследует трафик и объекты с помощью технологии IDS (система обнаружения вторжений) и проверки репутации URL-адресов:

  • Технология обнаружения вторжений включает традиционные и расширенные средства. В ее основе – уникальный набор правил IDS для анализа трафика, ориентированный на целевые атаки. Наборы правил IDS постоянно автоматически обновляются.
  • Репутационный анализ URL-адресов: подозрительные и нежелательные URL-адреса выявляются на основе данных о репутации из баз глобальной облачной инфраструктуры Kaspersky Security Network (KSN), в которых также содержится информация о URL-адресах и доменах, связанных с целевыми атаками.

Песочница. Для обнаружения активности вредоносных программ песочница запускает подозрительные объекты на собственных виртуальных машинах. Она получает задания для выполнения образцов с параметрами виртуализации, подобранными в зависимости от источника оцениваемого объекта и цели оценки (например, тип ОС, конфигурация ОС, среда, параметры запуска образца, продолжительность выполнения).

Читайте также:
Антивирусные программы которые не только находят зараженные вирусами файлы но и лечат

При выполнении образца песочница собирает:

  • журналы поведения образца (включая список вызовов системных функций, взаимодействие с другими процессами и файлами, сетевую активность, URL-адреса);
  • дампы памяти;
  • загруженные объекты;
  • генерируемый образцом трафик.

После выполнения полученные артефакты сохраняются и затем обрабатываются специальным сканером. Если образец признается вредоносным, ему присваивается вердикт, а результаты сопоставляются с базой знаний MITRE ATTCK. Это позволяет получать более подробную информацию, например описание методов проведения атаки и стратегий ее предупреждения. Таким образом, компания автоматически получает доступ к лучшим данным исследований угроз, поэтому ее квалифицированные специалисты могут сосредоточиться на других сложных задачах, таких как расследование инцидентов безопасности и активный поиск угроз. Кроме того, решение позволяет создавать собственные базы пользовательских индикаторов атак с учетом особенностей конкретной инфраструктуры или отрасли.

Расширенный антивирусный модуль. Данный модуль работает на центральном узле и имеет более чувствительные настройки, чем конфигурации на рабочих местах. Он проверяет объекты на наличие вредоносного или потенциально опасного кода, при необходимости отправляя их в песочницу для дальнейшей проверки. Так достигается высокая точность обнаружений, особенно ценная для расследования инцидентов безопасности.

Сканирование индикаторов компрометации (IoC). Платформа KATA позволяет централизованно загружать индикаторы компрометации из потоков данных об угрозах и поддерживает автоматическое планирование операций сканирования IoC, повышая эффективность работы аналитиков. Ретроспективное сканирование базы данных позволяет повысить качество информации о ранее замеченных событиях и инцидентах безопасности.

Проверка сертификатов. Модуль проверки сертификатов проверяет наличие подозрительных и действительность подписанных сертификатов.

Дополнительные сервисы платформы KATA для специалистов по ИБ также включают:

Обнаружение с помощью правил для YARA. YARA – один из самых часто используемых инструментов поиска новых вариантов вредоносных программ. Он поддерживает сложные правила корреляции для поиска файлов с определенными характеристиками и метаданными – например, содержащих строки, характерные для кода конкретного программиста. Возможность создания и загрузки пользовательских правил для YARA позволяет проверять объекты на наличие угроз с учетом специфики организации.

Ретроспективный анализ. Автоматизация сбора данных, объектов и вердиктов и их централизованное хранение позволяют проводить ретроспективный анализ при расследовании многоступенчатых атак даже в случаях, когда отсутствует доступ к взломанным рабочим местам или данные зашифрованы злоумышленником. Кроме того, система может выполнять автоматические повторные проверки файлов, сохраненных из почты или интернета, с применением обновленных правил обнаружения.

Мощный и гибкий конструктор запросов для проактивного поиска угроз. Чтобы повысить эффективность раннего обнаружения кибератак, аналитики могут создавать сложные запросы для выявления нетипичного поведения, подозрительных событий и угроз с учетом особенностей инфраструктуры организации.

Доступ к Kaspersky Threat Intelligence Portal. С помощью выполняемых вручную запросов к базе аналитических данных об угрозах аналитики ИБ получают дополнительный контекст для поиска угроз и проведения результативных расследований.

Kaspersky Anti Targeted Attack объединяет данные для анализа из различных источников:

Сетевой cенсор получает копии всего трафика и извлекает объекты и сетевые метаданные для дальнейшего анализа. Сетевые сенсоры отслеживают активность в различных областях IT-инфраструктуры, обеспечивая обнаружение сложных угроз на уровне прокси-серверов, в веб-средах и электронной почте практически в реальном времени.

  • Сетевой сенсор может извлекать информацию об источнике, назначении, объеме данных и периодичности сетевого трафика (даже если файл зашифрован). Как правило, этой информации достаточно для определения степени подозрительности и обнаружения потенциальных атак. Сетевые сенсоры поддерживают протоколы SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP и DNS.
  • Сетевой сенсор может перехватывать трафик и обрабатывать объекты, передаваемые по HTTPS, за счет интеграции с прокси-сервером по протоколу ICAP.
  • Сенсор электронной почты поддерживает интеграцию с почтовыми серверами. Его можно настраивать для наблюдения за любым набором почтовых ящиков посредством соединения по протоколам POP3 и SMTP.

В дополнение к полному анализу сетевого трафика платформа может обеспечить автоматическое реагирование на сложные угрозы на уровне шлюза, используя Kaspersky Secure Mail Gateway и Kaspersky Web Traffic Security в качестве полнофункциональных сетевых сенсоров, обслуживающих платформу KATA.

Сенсоры на уровне конечных точек (Kaspersky Endpoint Detection and Response) собирают все необходимые данные с конечных устройств в инфраструктуре организации. Установленный на рабочем месте агент выполняет непрерывный мониторинг процессов, обмена данными, открытых сетевых подключений, состояния операционной системы, изменений в файлах и т. п. Собранные данные и информацию, связанную с обнаружением подозрительных событий, агент отправляет на платформу KATA для дополнительного исследования, анализа и сравнения с событиями, обнаруженными в других информационных потоках.

Читайте также:
Сколько программ в фигурном катании

Платформа KATA в действии

Используя перечисленные выше технологии в унифицированной серверной архитектуре с централизованным управлением, платформа KATA защищает потенциальные точки входа, которыми могут воспользоваться злоумышленники, на уровне сети и рабочих мест, включая веб- и почтовые серверы, настольные компьютеры, ноутбуки, серверы и виртуальные машины, и предоставляет подробные сведения о том, что происходит в IT-инфраструктуре организации. KATA снабжает специалистов по ИБ полным инструментарием для многоуровневого обнаружения и проактивного поиска угроз, проведения глубоких расследований и централизованного реагирования на комплексные инциденты.

Платформа KATA интегрируется с решением Kaspersky Security для бизнеса, обеспечивая защиту рабочих мест, в том числе автоматическое блокирование угроз и реагирование на сложные инциденты безопасности. За счет тесной интеграции с Kaspersky Security Mail Gateway и Kaspersky Web Traffic Security она блокирует угрозы, распространяемые с использованием электронной почты и через интернет, а также автоматически реагирует на более сложные угрозы. Это комплексное решение помогает службам IT-безопасности отражать продвинутые атаки значительно быстрее и с меньшими усилиями благодаря оптимально настроенной автоматизации защитных действий на уровне сети и рабочих мест, доступу к актуальной информации об угрозах и управлению через единую веб-консоль.

Платформа KATA защищает корпоративную инфраструктуру от сложных угроз и целевых атак, позволяя обойтись без привлечения дополнительных ресурсов. При интеграции в текущую стратегию организации платформа обеспечивает службу IT-безопасности и команды SOC всем необходимым для надежного и эффективного отражения сложных угроз и целевых атак, дополняя существующие сторонние технологии защиты и поддерживая интеграцию с SIEM-системами.

Источник: www.kaspersky.ru

Сетевые системы обнаружения атак — принцип действия

Сетевые системы обнаружения атак — принцип действия

Системы для обнаружения и предотвращения вторжений (IPS/IDS intrusion detection and prevention systems) — программно-аппаратные решения, детектирующие и предотвращающие попытки нелегального доступа в корпоративную инфраструктуру.

Это по сути два отдельных класса систем с разными функциональными возможностями, которые нередко объединяют при разработке программно-аппаратных комплексов по сетевой безопасности:

  • системы по обнаружению вторжений (СОВ или в зарубежной терминологии IDS);
  • системы по предотвращению вторжений (СПВ или IPS).

К основным функциям систем IDS относятся:

  • выявление вторжений и сетевых атак;
  • запись всех событий;
  • поиск уязвимостей;
  • прогнозирование атак;
  • распознавание источника атаки: инсайд или взлом;
  • информирование служб ИБ об инциденте в реальном времени;
  • формирование отчетов.

Система обнаружения вторжений собирает и анализирует полученные данные, хранит события с момента подключения к сетевой инфраструктуре и формирует отчеты и управляется из консоли администратора.

Функциональные особенности решений IPS не позволяют детектировать как внешние, так и внутренние атаки в режиме реального времени. Именно поэтому такие решения отлично дополняют программы IDS и работают единовременно.

Система IPS, как правило, предотвращает наиболее популярные сетевые атаки, заданные предустановленными политиками безопасности или проанализированные как отклонение от нормального поведения пользователей и систем. К примеру, предотвращает атаки, нацеленные на повышение прав и получение неавторизованного доступа к конфиденциальной информации, атаки на уязвимые компоненты информационных систем, и блокирует внедрение вредоносных программ, таких как трояны или вирусы в сети компаний.

Технологий IPS работают по следующим методам:

  • Сигнатурный анализ

Сигнатура — это шаблон, по которому определяется атака через сравнение с возможным инцидентом. Например:

  • Email с вложением формата freepics.exe в корпоративной почте;
  • Лог операционной системы с кодом 645, который обозначает отключение аудита хоста.

Рабочая методика при обнаружении известных угроз, но при неизвестных атаках, где нет шаблона — бесполезен.

  • Поведенческий анализ

Основа технологии в сравнении нормальной активности людей и программ с активностью, отклоняющийся от нормального уровня. В IPS, наделенных модулем UBA (User behaviour analytics) есть «профили», отражающие нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили формируются с помощью машинного обучения в течение некоторого времени.

Читайте также:
Как восстановить все программы в пуске

Например, норма филиала — повышение веб-трафика на 17% в рабочие дни. При значительном превышении этого порога офицеру безопасности приходит соответствующее сообщение. Такой метод позволяет блокировать вторжения, которые были ранее неизвестны, по первым признакам аномалий.

К ключевым функциям IPS относятся:

  • блокировка атак — прекращение доступа к хостам, обрыв сессии сотрудника, нелегитимно обращающегося к данным;
  • изменение конфигурации устройств в сети компании для предотвращения атаки;
  • замена содержания атаки — удаление или фильтрация инфицированных файлов перед отправкой пользователям на уровне сетевых пакетов.

Риск применения IPS в том, что бывают как ложноположительные срабатывания, так и ложноотрицательные. Анализ систем обнаружения вторжений показал, что для оптимальной и своевременной защиты от вторжений важно применять решения, объединяющие в себе функции IDS и все методы подавления атак IPS.

Когда применяются системы обнаружения сетевых атак?

Как показывает практика — сетевые системы обнаружения вторжений должны работать непрерывно. Те компании, которые пренебрегают решениями для детектирования и подавления атак, несут максимальные убытки. Вспомним нашумевшие вирусы-шифровальщики Petya и Wanna Cry — они вскрыли все «болевые» точки и буквально парализовали деятельность организаций. Так как уровень атак с каждым годом только возрастает — решения по их обнаружению должны быть на шаг впереди, чтобы иметь возможность не только расследовать инциденты, но и предотвратить их уже по первым признакам в режиме реального времени.

Основные виды систем обнаружения вторжений

Выбирая систему IPS/IDS для организации важно учитывать их виды, отличающиеся расположением, механизмами работы аналитических модулей. Они могут быть:

  • Сетевыми (NIDS) — для проверки сетевого трафика с коммутатора. В основе лежит протокол СОВ (PIDS) — мониторит трафик по HTTP и HTTPS-протоколами.
  • Основанные на прикладных протоколах СОВ (APIDS) — для проверки специализированных прикладных протоколов.
  • Узловые или Host-Based (HIDS) — анализируют журналы приложений, состояние хостов, системные вызовы.
  • Гибридные — объединяют функции нескольких видов систем обнаружения вторжений. К этому виду можно отнести систему «Гарда Монитор» .

Требования к IDS/IPS системам

В России требования к системам обнаружения вторжений появились в 2011 году. ФСТЭК России выделила шесть классов защиты СОВ. Отличия между ними в уровне информационных систем и самой информации, подлежащей обработке (персональные данные, конфиденциальная информация, гостайна). Соответствие требованиям регулятора — важный фактор при выборе решений для защиты от вторжений. Поэтому для гарантированного результата в виде отсутствия санкций относительно выбора ПО — стоит обратить внимание на системы обнаружения вторжений, сертифицированные ФСТЭК.

Решение для комплексной сетевой защиты, обнаружения и подавления сетевых атак

Разработчик систем информационной безопасности «Гарда Технологии» выпустил решение «Гарда Монитор», сертифицированное ФСТЭК, как аппаратно-программный комплекс по расследованию сетевых инцидентов на уровне пакетов трафика, позволяющий находить уязвимости в сетевой инфраструктуре компании. Его принцип строился на записи и декодировании всех событий, происходящих в сети организации. Но главная задача безопасности — это не только найти виновных в инциденте, а его предотвратить. Поэтому следующие версии системы получили технологические обновления в виде функций анализа сетевого трафика и разбора содержания пакетов трафика, внедрения модуля поведенческой аналитики для оповещения службы информационной безопасности и обнаружение попыток вторжений в сетевую инфраструктуру в реальном времени.

В качестве системы классов IDS и IPS «Гарда Монитор» осуществляет обнаружение сетевых атак и попытки эксплуатации уязвимостей и работы вредоносного ПО (вирусов, троянов и пр.) на основе сигнатурного и поведенческого анализа. Детектирует факты обращений к командным центрам бот-сетей.

Одно решение, которое отлично масштабируется на территориально-распределенные сети, позволяет защитить сетевую инфраструктуру комплексно, видеть все, что происходит в сети в реальном времени, выявляя все виды вторжений и мгновенно предотвращая атаки. Все это возможно благодаря непрерывному анализу событий и обнаружений отклонений от нормального поведения пользователей и систем в сети.

Узнать как работает «Гарда Монитор» на практике — можно с помощью внедрения пилотного проекта — бесплатно в течение месяца. После чего можно купить систему обнаружения и предотвращения вторжений и адаптировать под все особенности сетевой инфраструктуры.

Источник: gardatech.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru