Rambler's Top100
Статьи ИКС № 06-07 2014
Павел ВОЛКОВ  16 июня 2014

Как найти то не знаю что

Многие вендоры эксплуатируют существование таргетированных атак как очередную «пугалку». Но на деле эти атаки не так страшны, как их пытаются представить.

Павел ВОЛКОВ, эксперт по информационной безопасности, «Открытые Технологии»Эти ужасные, ужасные, ужасные АРТs

Тема таргетированных атак, или постоянных угроз повышенной сложности (APTs, advanced persistent threats) с недавнего времени стала крайне актуальной. Эти длительные и направленные на конкретную организацию атаки, которые не прекращаются в случае обнаружения более легкой цели или невозможности получить желаемое простыми средствами, используют уязвимости «нулевого дня» и «неведомые» технологии маскировки присутствия агента в атакованной системе. Они играют на естественной склонности людей доверять друг другу и игнорировать требования инструкций по информационной безопасности (что сейчас гордо именуют социальной инженерией). Примеры таких атак – настоящая «мечта параноика» и любителя теории заговоров.

АРТs действительно существуют, как бы ни хотелось разговоры о них назвать сказками и маркетингом. И обладают они тремя особенностями. Во-первых, направлены такие атаки на «крупную рыбу» вроде государственных или технологических секретов и, как правило, опираются на существенную финансовую и технологическую поддержку для реализации новых методов осуществления. Во-вторых, они часто эксплуатируют слабости защиты небольших компаний – подрядчиков, партнеров или клиентов больших структур (истинных целей атаки), чем ставят их на грань гибели, вызывая огромные репутационные риски. Наконец, в них максимально используется слабейшее из звеньев современной ИТ-системы – человек. Активное использование методов социальной инженерии делает возможным практически любое начало атаки, и уже невозможно сказать: тут у нас доверенная сеть, а тут – «враг». Кроме того, такие атаки уникальны, т.е. не предполагается, что их сценарий будет повторяться.

По следам их узнаете их

C другой стороны, современная ИТ-инфраструктура практически исключает возможность выполнения операций, не оставляющих в ней следов. Сразу оговоримся, речь не идет об инфраструктуре, которая сознательно реализована так, чтобы ничего не регистрировать. В абсолютном большинстве случаев ИТ-инфраструктура компании – источник информации сравнимого, а то и большего объема, чем та полезная информация, которая в ней обрабатывается. Достаточно вспомнить логи – неизбежное зло, которое расходует место, вызывает деградацию производительности и т.п., но абсолютно необходимо, чтобы понять, «где сломалось», и не только.

Эти две стороны одного явления создают интереснейшее противоречие: мы не знаем, как нас будут атаковать, и вроде бы не имеем возможности такую атаку обнаружить. Но мы знаем наверняка, что процесс реализации атаки оставит заметные следы в ИТ-инфраструктуре (правда, непонятно, какие именно). Как такое противоречие разрешить?

Разные производители придерживаются разных мнений о том, что важнее всего в процессе защиты от APTs. Одни утверждают, что нужно защищать рабочие станции; другие рвутся перехватить и анализировать весь корпоративный трафик; третьи называют панацеей от APTs древний как мир скоринг и смакуют подробности влияния конкретного события на «уникальную систему весов для каждого события» и т.п. При этом правда будет пылиться в уже упомянутых логах. Конечно, как любое категорическое высказывание, утверждение, что в журналах регистрации есть всё, не совсем правдива. Там есть почти все, но если в развитой с точки зрения ИТ и информационной безопасности организации собрать логи в единую систему, то там действительно будет ВСЁ.

Как бы ни расхваливали производители свои «глобальные системы мониторинга», уникальные модели оценки и превосходные средства защиты рабочих станций, остается большой и принципиальный вопрос – как атака типа APT может быть обнаружена, если точка вторжения произвольна, как и использованный метод? Этот вопрос достаточно общий, чтобы дать на него три общих ответа: никакие локальные средства не способны в реальной жизни обнаружить новую APT; для увеличения вероятности обнаружения APT требуется как минимум иметь информацию со всех потенциальных точек начала атаки; необходима технология обработки информации, способная учесть тот событийный хаос, который легко создает самый главный и самый ненадежный элемент системы – человек. Увы, традиционные приемы инфобезопасности в части обработки информации не будут достаточно хороши для такой задачи. Они просто не предполагают анализа явлений такой протяженности во времени и малости отличий от нормального поведения. Традиционные системы SIEM (Security Information and Event Management) на практике не способны справиться с такой задачей как с точки зрения объема обрабатываемых «исторических» данных, так и с точки зрения применяемых алгоритмов. Что же можно тут предложить?

Фабрики поиска

Первая часть задачи имеет довольно хорошо проработанное технологическое решение: собрать и обеспечить возможность обработки в реальном времени всего массива журналов регистрации ИТ-инфраструктуры и средств ИБ могут современные системы из арсенала «больших данных» (см. рисунок). Сегодня это уже решения промышленного уровня, способные обрабатывать десятки терабайт в день.

Что касается алгоритмов обработки, то и тут есть хорошие возможности. Такими обладает, например, новое поколение алгоритмов обнаружения аномалий, использующих адаптивные функции распределения плотности вероятности событий. Ведь именно история потока событий с множества рабочих станций и активного сетевого оборудования, серверов, средств инфобезопасности со всеми периодическими всплесками и провалами образует то, что позволяет увидеть малое воздействие на фоне сильных, но ожидаемых возмущений.

* * *

Проблема таргетированных атак лежит между зонами ответственности отделов информационной безопасности и ИТ, и ее решение невозможно локальными средствами, так как чаще всего точка начала атаки – человек, пользователь системы. Решение проблемы должно опираться прежде всего на собственные возможности ИТ-инфраструктуры по регистрации активности пользователей и может быть достигнуто только путем объединенной обработки всего массива данных, доступного ИТ- и ИБ-службам. Практически применимые методы решения этой задачи уже существуют.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!