Tiem, kas nezina, kas ir "mērķtiecīgs" uzbrukums, lūdzu, jautājiet aplādei :)

Mērķtiecīgs uzbrukums - Tas ir nepārtraukts nesankcionētu darbību process uzbrukuma sistēmas infrastruktūrā, kas tiek manuāli kontrolēts attālināti reāllaikā.

Pamatojoties uz šo definīciju, es vēršu jūsu uzmanību uz šādiem punktiem:
1) Pirmkārt, tas ir tieši process - aktivitāte ar laiku daži operācija, un ne tikai vienreizēja tehniska darbība.
2) Otrkārt, process ir paredzēts darbam noteiktā infrastruktūrā, ir paredzēts, lai pārvarētu konkrētus drošības mehānismus, konkrētus produktus un iesaistītu konkrētus darbiniekus mijiedarbībā.

Jāpiebilst, ka pastāv būtiska atšķirība standarta ļaunprogrammatūras masveida sūtīšanas pieejā, kad uzbrucēji tiecas pēc pilnīgi citiem mērķiem, būtībā iegūstot kontroli pār atsevišķu galapunktu. Mērķtiecīga uzbrukuma gadījumā tas tiek veidots ap upuri.

Zemāk esošajā attēlā parādītas četras mērķtiecīga uzbrukuma fāzes, demonstrējot tā dzīves ciklu. Īsi formulēsim katra no tiem galveno mērķi:

1. Sagatavošana. Pirmās fāzes galvenais uzdevums ir atrast mērķi, savākt par to pietiekami detalizētu privātu informāciju, pēc kuras var identificēt vājās vietas infrastruktūrā. Izveidojiet uzbrukuma stratēģiju, atlasiet melnajā tirgū pieejamos iepriekš izveidotos rīkus vai paši izstrādājiet nepieciešamos. Parasti plānotie iespiešanās soļi tiks rūpīgi pārbaudīti, tostarp attiecībā uz nenosakāmību standarta līdzekļi informācijas aizsardzība.
2. Iespiešanās - mērķtiecīga uzbrukuma aktīvā fāze, izmantojot dažādus paņēmienus sociālā inženierija un nulles dienas ievainojamības mērķa primārai inficēšanai un iekšējās izlūkošanas veikšanai. Pēc izlūkošanas pabeigšanas un pēc inficētā saimniekdatora (servera/darbstacijas) identitātes noteikšanas caur vadības centru pēc uzbrucēja komandas var lejupielādēt papildu ļaunprātīgu kodu.
3. Izplatīšanās- konsolidācijas posms infrastruktūrā, galvenokārt cietušā galvenajās iekārtās. Paplašiniet kontroli, cik vien iespējams, pielāgojiet versijas, ja nepieciešams ļaunprātīgs kods caur vadības centriem.
4. Mērķa sasniegšana- mērķtiecīga uzbrukuma galvenā fāze.

Šis stends (pārbaudes vieta), kas sastāv no:

1. informācijas un telekomunikāciju tīkla atvērtā segmenta modeļi;

2. informācijas un telekomunikāciju tīkla slēgtā segmenta modeļi.

Simulētais tīkls sastāv no daudziem komponentiem.

Atvērtajā segmentā resursdatori (PC1–PC7) ir savienoti vienā tīklā, izmantojot Cisco 3745 maršrutētājus (c3745). Atsevišķos departamentos resursdatori tiek savienoti tīklā datu pārraidei, izmantojot slēdzi (SW1). Šajā shēmā slēdzis tikai pārsūta datus no viena porta uz otru, pamatojoties uz informāciju, kas atrodas paketē, kas ieradās caur maršrutētāju.

Slēgtā tīkla segmentā kriptomaršrutētāji tiek izmantoti, lai šifrētu datu paketes, kas atstās slēgto tīkla segmentu uz atvērto. Ja uzbrucējam izdosies pārtvert no šī tīkla pārsūtīto datu paketes, viņš no šiem datiem nevarēs iegūt noderīgu informāciju.

Par uzbrukuma objektu tika izvēlēta Windows XP, kas ietilpst informācijas un telekomunikāciju tīklu segmentā. Šī sistēma savienots ar “Real Network Output” mākoni ar IP adresi: 192.168.8.101

Nu, mēs varam sākt izpētīt lokālo tīklu, lai noteiktu elementus datortīkls turpmākai izmantošanai. Izmantosim Netdiscovery.

Lai noskaidrotu iespējamās uzbrukuma tīkla ievainojamības, skenēsim šis tīkls izmantojot utilītu tīkla izpētei un drošības pārbaudei - Nmap (“NetworkMapper”).

Skenēšanas laikā mēs noskaidrojām, ka sistēmai ir atvērtās ostas, kas atspoguļo iespējamās ievainojamības.
Piemēram, 445/TCPMICROSOFT-DS — izmantots Microsoft Windows 2000 un jaunākas versijas tiešai TCP/IP piekļuvei, neizmantojot NetBIOS (piemēram, in Active Directory). Mēs izmantojam šo portu, lai piekļūtu sistēmai.

Tagad mēs veicam tīkla uzbrukumu, izmantojot Metasploit. Šis rīks ļauj simulēt tīkla uzbrukumu un identificēt sistēmas ievainojamības, pārbaudīt IDS/IPS efektivitāti vai izstrādāt jaunus paņēmienus, izveidojot detalizētu pārskatu.

LHOST mēs norādām tās sistēmas IP adresi, no kuras tiks veikts uzbrukums.

Ļaunprātīga programmatūra jau sen vairs nav līdzeklis sīku nedarbu veikšanai, kuras mērķis ir organizēt robottīklu surogātpasta sūtīšanai vai ārkārtējos gadījumos nozagt lietotāja internetbankas paroli, lai veiktu nesankcionētu darbību. Uzņēmumiem parastos vīrusus var uzskatīt par “nelielu sabotāžu”, kas nerada nopietnus riskus. Savukārt uzbrucējiem šī metode pelnīt naudu īpaši neinteresē, jo Ir pieejami daudzi aizsardzības rīki (pretvīrusu rīki, lietojumprogrammas ar pastiprinātiem finanšu darījumu kontroles pasākumiem utt.), kas neļauj noziedzniekam gūt lielu peļņu no uzbrukuma.

Mērķis attaisno līdzekļus
Nikolo Makjavelli

Totālās informatizācijas un tehnoloģiskā progresa laikmetā, kad e-komercijas sistēmās glabājas miljardiem dolāru, būtu naivi uzskatīt, ka nav augsti kompetentu noziedznieku, kas nevēlētos šos līdzekļus nozagt. Mūsdienās ir skaidri definēta un pieaugoša tendence izmantot mērķtiecīgus uzbrukumus vidējo un lielo uzņēmumu infrastruktūrai.

Mērķtiecīgi uzbrukumi (APT, Advanced Persistent Threats)– Tie ir uzbrukumi (ļaunprātīga programmatūra), kas vērsti pret konkrētiem objektiem vai nozarēm. Tie ņem vērā uzņēmuma specifiku, kuram tie tiek piemēroti, vai uzņēmuma darbības jomu kopumā.

Visiem šāda veida uzbrukumiem ir vairākas pazīmes:

Nozares fokuss (vīruss/uzbrukums tiek izmantots noteiktā nozarē, bet citai tas nebūs būtisks);

"Ne-triviāls" programmas kods. Kā minēts iepriekš, augsti kvalificēti speciālisti nodarbojas ar pielāgotu vīrusu rakstīšanu. Rakstot viņi ņem vērā lielāko daļu nianses, kuras var novērst standarta drošības pasākumi. Šī iemesla dēļ, piemēram, uz parakstiem balstīti pretvīrusu rīki, visticamāk, nespēs atklāt šādu programmas kodu kā ļaunprātīgu. Šī iemesla dēļ uzbrucējs sistēmās var palikt neatklāts ilgu laiku un savākt nepieciešamo statistiku, lai veiksmīgi pabeigtu uzbrukumu.

Parasti uzbrucēji izmanto nulles dienas darbības, lai īstenotu mērķtiecīgus draudus.

0diena (ang. Nulle diena)- termins, kas apzīmē nefiksētas ievainojamības, kā arī ļaunprātīgu programmatūru, pret kuru vēl nav izstrādāti aizsardzības mehānismi.

Ekspluatācijas svarīgākais uzdevums ir nemanot iekļūt korporatīvajā perimetrā, nostiprināties, ja iespējams, likvidējot pretvīrusu rīku, un savilkt visu uzbrucēja aprīkojumu ērtam un “produktīvam” darbam.

Kā liecina 2013.-2014.gada statistika, uzbrucēji šajā jomā guvuši milzīgas uzvaras. Vispirms Zevs un pēc tam Karberps gan Krievijā, gan visā pasaulē kļuva par īstu postu. Zādzību apjoms, izmantojot šīs divas vīrusu ģimenes vien, gada laikā sasniedza vairākus miljardus dolāru. Vidējais veiksmīgi īstenotais uzbrukums kādam kredītu un finanšu sektora uzņēmumam Krievijā bija 30 miljoni rubļu.

Šādas aizdomīgas darbības pēdējos gados ir saistītas ar stāstu par ļoti “augstas kvalitātes” ļaunprātīgas programmatūras pirmkoda noplūdi tīklā.

“Slavenā banku Trojas zirga Carberp pirmkods ir noplūdis uz atvērta piekļuve. Avota kodi Google tagad viegli atrod Carberp 1,88 GB RAR arhīvā. Izpakojot, projektā ir aptuveni 5 GB faili ar detalizētu sarakstu. Acīmredzot tagad mēs varam sagaidīt jaunu radošuma vilni gan no iesācējiem, gan turpmākajiem vīrusu rakstītājiem. Kāds pat jokoja: “Zeusa noplūde bija kā bezmaksas spēļu automāts. Carberp noplūde jau ir bezmaksas raķešu palaišanas ierīce…”, informācijas drošības eksperts, žurnāla Hacker autors Deniss Mirkovs

"Ko tad mums tagad darīt?!" – Jautājums, kas neviļus iekrīt kaklā jebkuram apsargam. Tas nāk prātā Emanuela Laskera citātu 1899. gadā: "Vienīgais veids, kā kļūt gudrākam, ir spēlēt ar spēcīgāku pretinieku." Tehnoloģijas un izstrādātāji nestāv uz vietas, ja būs pieprasījums, būs pienācīgs piedāvājums. Galvenā problēma nulles dienas draudu noteikšanā ir nespēja atrast pazīstamus parakstus, analizējot kodu. Bet tas nenozīmē, ka jebkura faila uzvedību nevar uzraudzīt, pārbaudīt ar “melnās kastes” metodi un izdarīt atbilstošus secinājumus!

Uzvedības analīze smilšu kastē ir vislielākā efektīvs veids nulles dienas draudu un mērķuzbrukumu analīze un atklāšana. Savus risinājumus piedāvā dažādi ražotāji, apgalvojot, ka viņu produkts ir visproduktīvākais un precīzākais. Tomēr šāda veida risinājumu galvenā problēma ir viltus pozitīvi (viltus pozitīvi), kas var noliegt visu drošības dienesta darbu. Izvēlētajam risinājumam jābūt jutīgam tikai pret nopietniem draudiem. Šādas koncepcijas ieviešana jau ir profesionalitāte un pieredze, kas bija jāpārvērš sarežģītos algoritmos un jāievieš galaproduktā.

Mērķtiecīgu uzbrukumu (APT) īpatnība ir tāda, ka uzbrucēji interesējas par konkrētu uzņēmumu vai valsts organizāciju. Tas atšķir šos draudus no masu hakeru uzbrukumi– kad vienlaicīgi tiek uzbrūk liels skaits mērķu un par upuriem kļūst vismazāk aizsargātie lietotāji. Mērķtiecīgi uzbrukumi parasti ir labi plānoti un ietver vairākus posmus – no izlūkošanas un iefiltrēšanās līdz klātbūtnes pēdu iznīcināšanai. Parasti mērķtiecīga uzbrukuma rezultātā uzbrucēji iegūst stabilitāti upura infrastruktūrā un paliek neatklāti vairākus mēnešus vai pat gadus – šajā laikā viņiem ir pieejama visa korporatīvā informācija.

Klasifikācijas grūtības

Mērķtiecīgi vai mērķtiecīgi uzbrukumi ir uzbrukumi konkrētām komerciālām organizācijām vai valsts iestādēm. Parasti šādi uzbrukumi nav plaši izplatīti un tiek gatavoti diezgan ilgu laiku. Uzbrucēji pēta mērķa objekta informācijas sistēmas, noskaidro, ko programmatūra izmanto vienam vai otram mērķim. Uzbrukuma mērķi ir konkrētas informācijas sistēmas un/vai cilvēki, kuru darbības joma vai mērķis ir ļoti ierobežots. Ļaunprātīga programmatūra speciāli izstrādāts uzbrukumam, lai standarts antivīrusi un drošības pasākumi, ko izmantoja mērķis un labi pētīja uzbrucēji, nespēja atklāt draudus. Visbiežāk tās ir nulles dienas ievainojamības un īpaši algoritmi saziņai ar uzbrukumu izpildītājiem/pasūtītājiem.

Jurijs Čerkass, centra infrastruktūras informācijas drošības risinājumu vadītājs informācijas drošība kompānijas "Reaktīvās informācijas sistēmas" uzskata, ka gandrīz pastāvīgās pretrunas saistībā ar termina "mērķtiecīgs uzbrukums" definīciju apgrūtina šī termina klasificēšanu. Viņš atzīmē, ka mērķtiecīgam uzbrukumam tiek izmantoti tādi paši uzlaušanas mehānismi kā jebkurā citā ( spams , pikšķerēšana, bieži apmeklētu vietņu infekcija utt.). “Manuprāt, viena no galvenajām mērķtiecīga uzbrukuma pazīmēm ir tā skaidra koncentrēšanās uz konkrētu organizāciju. Piemēram, vīruss, kas rakstīts noteiktai programmatūrai, ko izstrādājusi konkrēta organizācija. Taču ne vienmēr tā ir. Hakeris var izmantot savus esošos ekspluatācijas komplektus un citus rīkus, lai uzbruktu cietušajam uzņēmumam. Šajā gadījumā ir diezgan grūti noteikt, vai uzbrukums ir mērķtiecīgs, jo ievainojamības ir izplatītas OS un lietojumprogrammatūra," saka Jurijs Čerkass.

Grūtības kvalificēt mērķuzbrukumus ir viens no faktoriem, kas neļauj aprēķināt pat to aptuveno skaitu.

CDU (sarežģīti ilgtermiņa draudi)

Lielākā daļa ekspertu piekrīt šādām mērķa iezīmēm:

• Tie ir uzbrukumi, kas vērsti pret konkrētām komerciālām organizācijām, nozarēm vai valsts iestādēm.
• Uzbrukuma mērķi ir konkrētas informācijas sistēmas, kuru darbības joma vai mērķi ir ļoti ierobežoti.
• Šie uzbrukumi nav plaši izplatīti un ir sagatavoti diezgan ilgu laiku.
• Ļaunprātīga programmatūra, ja tā tiek izmantota uzbrukumā, ir īpaši izstrādāta konkrētam uzbrukumam, lai regulāri līdzekļi aizsardzība, ko labi pētījuši uzbrucēji, nespēja atklāt tās ieviešanu.
• Uzbrukuma veikšanai var izmantot nulles dienas ievainojamības.
• Parasti mērķtiecīgus uzbrukumus izmanto, lai nozagtu informāciju, ko var viegli monetizēt, vai lai traucētu piekļuvi kritiskiem svarīga informācija.
• Veicot mērķtiecīgu uzbrukumu, tiek izmantoti tie paši uzlaušanas mehānismi kā masu uzbrukumos, jo īpaši pikšķerēšanas gadījumā. Atšķirība ir uzbrukuma sagatavošana, lai novērstu iespēju to atklāt ar drošības līdzekļiem. Tieši saistībā ar mērķtiecīgiem uzbrukumiem pikšķerēšana kļūst ļoti izplatīta pašreizējie draudi, jo uzbrukums šajā gadījumā tiek veikts nevis uz abstraktu, bet uz konkrētu personām, ko var ņemt vērā, izmantojot sociālās inženierijas metodes.
• Pēc mērķtiecīga uzbrukuma atklāšanas un identificēšanas, pamatojoties uz tā īstenošanas rezultātiem, šī uzbrukuma draudi kļūst zināmi, tie nonāk "masveida" kategorijā - uzbrucēji to var izmantot masveidā. Tajā pašā laikā pēc identificēšanas šī uzbrukuma draudus jau var konstatēt ar drošības rīkiem, kuru viens no uzdevumiem ir nodrošināt minimālo uzbrukuma draudu pārejas ilgumu no mērķtiecīgas kategorijas uz masu.

Mērķa uzbrukuma fāzes

Uzbrukumu mērķi

Saskaņā ar A.T. Kernijs:

• Uzņēmuma valdes birojs. Bieži vien aprīkojums nav pienācīgi aizsargāts no fizisks bojājums(piemēram, uzkopšanas personāls vai apkope telpas).
• R&D. Parasti šī ir nodaļa, kas prasa visvairāk augsts līmenis aizsardzība, bet bieži vien tā nav labāk aizsargāta par citām nodaļām.
• Datu centri nodrošināt drošu vidi privāta mākoņa mitināšanai. Problēma ir nodrošināt daudzu serveru, kā arī šajos serveros strādājošo lietojumprogrammu drošu darbību.
• Piegādātāju tīkls. Tā kā darbā ar piegādātājiem arvien vairāk tiek izmantoti tīkla risinājumi, pastāv riski, kas saistīti ar to, ka salīdzinoši mazi piegādātāju uzņēmumi mēdz būt mazāk aizsargāti.
• Mākonis aprēķinus.Ārēja mākoņa izmantošana ir principiāli droša. Problēmas rada fakts, ka datu aizsardzības līmenis ir atkarīgs no likumdošanas un ka ir iespējama izlūkdienestu piekļuve.
• Ražošana. Daudz veco specializētas sistēmas arvien vairāk ir tīklā, un viņu darbu ir grūti uzraudzīt un kontrolēt. Kibernoziedznieku uzbrukumi šajā gadījumā var izraisīt ražošanas zaudējumus vai pat uzņēmuma sabrukumu.
• Datu bāze nodrošināt svarīgas informācijas drošu glabāšanu. Galvenais trūkums ir tas, ka hakeri var izmantot administratorus kā “rīkus”, lai iekļūtu datu bāzēs.
• Gala produkti, aktivizēts ar informācijas tehnoloģijas. Pieaugošā tīkla risinājumu izmantošana galaproduktu funkcionēšanas nodrošināšanai padara to vieglāk izpildāmu kiberuzbrukumiem. Attālināti uzraugot lietotāju ierīces, lai izraisītu bojājumus, hakeri caur šīm ierīcēm var nelikumīgi iegūt konfidenciālu informāciju. Šajā sakarā uzņēmumam var rasties risks zaudēt savu reputāciju un saņemt tiesas prāvas no lietotājiem, kuri kļuvuši par krāpšanas upuriem.
• Biroja tīkli. Augošs līmenis tīkla mijiedarbība, kas ietver gandrīz visu sistēmu savienošanu, sniedz daudz iespēju hakeram, ja viņam izdodas iekļūt tīklā
• Pārdošana. Mārketinga plānu, cenu un klientu informācijas noplūde grauj uzņēmuma reputāciju un atņem tam konkurences priekšrocības.
• Mobilās ierīces. Pirkšana viedtālruņi, kas ir pieejams komerciālajā tirgū, lietotāji bieži savā atmiņā ievada konfidenciālus datus, kurus, kā likums, hakeri var viegli nozagt. Visvairāk pārbaudītās un patiesākās drošības koncepcijas var kļūt nederīgas, ja uzņēmuma darbinieki izmanto savas mobilās ierīces darba problēmu risināšanai.
• Interneta veikali. Nelegālai piekļuvei īstu pircēju aizsegā un krāpniecisku darbību veikšanai hakeri izmanto informāciju kredītkartes un klientu personas dati.
• Telefona zvani. Izmantojot cilvēku vēlmi palīdzēt viens otram, uzbrucēji var izmantot tālruņa zvanus kā veidu, kā viegli iegūt nepieciešamo informāciju.

Mērķtiecīgi uzbrukumi finanšu sektorā

Pārskatā par neautorizētiem naudas līdzekļu pārskaitījumiem 2014. gadā, ko publicēja TSB RF dienu iepriekš tiek atzīmēts, ka 23 kredītiestādes ziņoja par incidentiem, kuros bija mērķtiecīgu uzbrukumu pazīmes. Eksperti lēš, ka incidenti bijuši vērsti uz līdzekļu norakstīšanu 213,4 miljonu rubļu apmērā.

Visi incidenti ir saistīti ar pavasara ietekmi uz IT infrastruktūra tostarp ļaunprātīga koda ieviešana, pateicoties kurai augsto tehnoloģiju noziedznieki plānoja izņemt līdzekļus.

Uzlaušanas mēģinājumiem ir raksturīgas iezīmes: uzbrukums bija mērķtiecīgs un ņēma vērā ziņojumu nosūtīšanas un apstrādes procesu īpatnības noteiktā maksājumu sistēma; dažos gadījumos ļaundabīgo kodu neatklāja standarta pretvīrusu aizsardzības rīki, neskatoties uz jaunākajām pretvīrusu datubāzēm; fakti par hakeru iespiešanos vietējie tīkli bankām, tostarp mēģinot ievadīt ļaunprātīgu kodu, izmantojot elektroniskus ziņojumus.

Banku pārstāvji norāda: ja agrāk krāpnieki labprātāk izvēlējušies aplaupīt klientus, tad tagad pārgājuši uz lielāku laupījumu, proti, pašām finanšu iestādēm.

“Šī ir sarežģītāka procedūra, taču no peļņas viedokļa hakeriem ērtāk ir uzlauzt bankas, kurās nauda atrodas vienuviet. Galvenā tendence kļūst par tā sauktajiem mērķtiecīgiem uzbrukumiem. Tie tiek sagatavoti vairāku mēnešu garumā un saistībā ar konkrētām bankām un finanšu organizācijām. Tas ir reāls drauds, no kura ir ļoti grūti pasargāt pat visattīstītākos informācijas drošība bankas. Uzbrucēji ir diezgan labi izpētījuši banku programmatūru, banku pamatsistēmas, drošības pasākumus un tā tālāk,” norāda Jurijs Lisenko, Nodaļas vadītājs informācijas drošība burka Mājas kredīts.

Viņam piekrīt un Staņislavs Pavluņins, drošības viceprezidents Tinkoff banka: “Mērķtiecīgi uzbrukumi iet roku rokā ar sociālo inženieriju. DDoS uzbrukumi nekur nav pazuduši, taču strādāt ar tiem ir daudz vieglāk nekā ar vīrusiem, kurus uzbrucēji raksta mērķtiecīgām darbībām. Standarta antivīrusi neatklājiet ļaunprātīgus objektus, kas ir rakstīti uzbrukuma mērķim. Sistēmas, kas ļauj reģistrēt šādus mērķtiecīgus uzbrukumus konkrētai finanšu organizācijai un lidojuma laikā identificēt riskus, ir cita drošības klase,” saka Staņislavs Pavluņins.

Tajā pašā laikā Jurijs Lisenko prognozē mērķtiecīgu uzbrukumu skaita pieaugumu konkrētām bankām un finanšu organizācijām, sistēmām attālināti bankas pakalpojumi utt.

Mērķtiecīga uzbrukuma tehnika

Publiski pieejamā informācija par mērķuzbrukumu veikšanas līdzekļiem un incidentu izmeklēšanu (kuriem ir mērķtiecīgu uzbrukumu pazīmes) liecina par dažādām metodēm. Piemēram, var izmantot pilnībā automatizētas metodes un telefona zvanus.

Uzbrukuma laikā uzbrucēji pēta dažādas iespējas piekļūt nepieciešamajai informācijai. Var veikt tieši fiziska piekļuve vai uzbrūk uzņēmuma darbiniekiem, viņu ierīcēm un Konti interneta pakalpojumos.

“Par būtisku problēmu kļūst saistīto informācijas sistēmu – piegādātāju uzņēmumu (īpaši programmatūras izstrādātāju, kas nodrošina atbalstu saviem produktiem) un klientu drošība. Uzticamas attiecības ar viņiem var izmantot, lai apietu robežu aizsardzību. Tas būtiski paplašina jau tā sarežģīto aizsardzības perimetru,” stāsta Aleksejs Kačaļins, uzņēmuma ģenerāldirektora vietnieks "Perspektīvā uzraudzība".

Maz ticams, ka upuris spēs izbēgt no mērķtiecīgu uzbrukumu mēģinājumiem. Piemēram, uzbrucējs vēlas piekļūt viņu interesējošā uzņēmuma iekšējiem resursiem. Šim nolūkam uzbrucējs var ierosināt daudzus mērķtiecīgus uzbrukumus vairāku mēnešu vai gadu laikā. Visi uzbrukuma elementi ( tīkla uzbrukumiem, ļaunprogrammatūra) var iepriekš pārbaudīt, lai noteiktu parasto noteikšanas metožu atbilstību. Ja tie ir neefektīvi, šādi elementi tiek pārveidoti. Līdzīgi kā pretvīrusu datubāzu atjaunināšana, var atjaunināt arī ielaušanās rīkus, tostarp tos, kas jau darbojas uztvertajā sistēmā.

Papildu komplikācija ir mērķtiecīgā uzbrukuma ilgums un intensitāte. Sagatavošanās var ilgt mēnešus, un aktīvā fāze var ilgt minūtes. “Pastāv iespēja, ka agri vai vēlu uzbrukums izdosies. Galu galā 0 dienu ievainojamību problēma vienmēr ir aktuāla. Ja jums ir informācija, kas ir 100 miljonu vērtībā, tad esiet gatavi tam, ka būs kāds, kas būs gatavs tērēt 50 miljonus, lai to nozagtu. Tāpēc vienīgais, ko var darīt, ir jābūt gatavam kompromisam un ir instrumenti, lai ātri atklātu uzbrukumu, apturētu to un samazinātu kaitējumu,” uzskata. Aleksandrs Gostevs, galvenais antivīrusu eksperts Kaspersky Lab.

Organizatoru izveide

Lielākā daļa mērķtiecīgu uzbrukumu tiek atklāti pēc fakta. Lielākā problēma joprojām ir piedēvēšana – šādu uzbrukumu organizatoru un izpildītāju identificēšana.

Vainīgā identificēšana ir ārkārtīgi grūts uzdevums, norāda eksperti. Šajā procesā nepieciešams apkopot maksimālo faktoru skaitu, kas liecinātu par noteiktas tautības vai organizācijas hakeru grupas iesaistīšanos nozieguma izdarīšanā. Tas prasa mijiedarbību starp uzņēmumiem, kas darbojas šajā jomā informācijas drošība, cietušie, tiesībaizsardzības iestādes dažādas valstis utt. Taču arī šajā gadījumā tiek identificēti tikai daži vainīgie, visbiežāk uzbrucēju rupju kļūdu dēļ.

"Lai noteiktu uzbrukuma avotu, ir jāņem vērā daudzi faktori. Pirmkārt, šī ir koda analīze - tajā var būt vārdi, kas netieši norāda uz autoru lingvistisko vai nacionālo piederību. Piemēram, krievu valodas vārdi, kas rakstīti latīņu valodā, vai kļūdas, kas parasti raksturīgas krievu autoriem utt. Taču kibernoziedznieki var apzināti atstāt šādas nepatiesas pēdas, tādējādi mulsinot izmeklēšanu,” sacīja. Aleksandrs Gostevs.

Vairāk nekā 100 grupējumi apzināti uzbrūk komerciālām un valdības organizācijām

Eksperti no Globālo draudu izpētes un analīzes centra Kaspersky Lab gada vasarā ziņoja, ka visā pasaulē darbojas vairāk nekā 100 aktīvu grupu, kas organizē kiberspiegošanas kampaņas un ART klases uzbrukumus, kuru mērķis ir komerciālas un valdības organizācijas 85 valstīs.

Pēc uzņēmuma pārstāvju domām, šāda dinamiska šī apdraudējuma attīstība liecina, ka mērķtiecīgi uzbrukumi vairs nav dažu izredzēto kompetencē: uzbrucēji optimizē savus paņēmienus un rīkus, un tas padara lētāku un vienkāršāku ļaunprātīgas kampaņas organizēšanu, kas savukārt, veicina jaunu spēlētāju rašanos.

ART klases uzbrukuma galvenais mērķis ir zādzība konfidenciāla informācija, ko vēlāk var izmantot ģeopolitisku priekšrocību iegūšanai vai pārdot interesentiem. Saskaņā ar Kaspersky Lab novērojumiem vislielākais risks kļūt par mērķtiecīga uzbrukuma upuriem ir valdības un diplomātiskās organizācijas, finanšu uzņēmumi, uzņēmumi, kas darbojas enerģētikas un kosmosa nozarē, veselības aprūpes un izglītības iestādes, telekomunikāciju un IT uzņēmumi, militāro dienestu piegādātāji, kā arī sabiedriskie un politiskie aktīvisti.

"Mēs esam pētījuši sarežģītus mērķtiecīgus uzbrukumus vairāk nekā sešus gadus un ar pārliecību varam teikt, ka pēdējā laikā tie arvien vairāk tiek izmantoti ne tikai spiegošanai, bet arī naudas zagšanai. Mērķtiecīgi uzbrukumi skar ļoti dažādas organizācijas, un par to upuriem var kļūt ne tikai valsts aģentūras. Uzbrucējus ne mazāk interesē lielie uzņēmumi, kuriem ir vērtīgs intelektuālais īpašums vai kuriem ir pieejami lieli finanšu aktīvi, sacīja Kaspersky Lab Krievijas pētniecības centra vadītājs Jurijs Namestņikovs. "Šādā situācijā mērķtiecīga uzbrukuma agrīna atklāšana ir kritiska jebkurai organizācijai, kas vēlas saglabāt savus konfidenciālos datus. Tomēr to ir ļoti grūti izdarīt ar tradicionālajiem drošības risinājumiem, jo ​​uzbrucēji bieži izmanto ne-triviālas metodes un rūpīgi slēpj savu darbību. Tāpēc uzņēmumiem var palīdzēt vai nu analītiskie pakalpojumi, vai īpaši risinājumi mērķtiecīgu uzbrukumu identificēšanai.

Uzbrukumu aizsardzības un novēršanas metodes

Galvenie aizsardzības līdzekļi pret mērķtiecīgiem uzbrukumiem mūsdienās ir visu veidu anomāliju (kods, komandas, uzvedība utt.) noteikšanas līdzekļi. Kurā:

• Anomāliju noteikšana vienā datorā vai korporatīvajā IS kopumā tiek veikta ar mērķi atklāt īstenotus, kā arī daļēji vai pilnībā īstenotus uzbrukumus.
• Nodrošina iespēju neitralizēt zināmos uzbrukumus to ieviešanas sākumposmā – problēma ir atrisināta informācijas aizsardzība, ko nodrošina iespēja viennozīmīgi identificēt konstatēto anomāliju kā uzbrukuma ieviešanas notikumu un līdz ar to realizēt automātisku atbildi uz reģistrētu anomālu notikumu.
• Attiecībā uz nezināmiem uzbrukuma draudiem, kas ietver mērķuzbrukumu draudus, anomāliju noteikšana neizbēgami ir saistīta ar pirmā (virspusējās notikumu analīzes laikā) un otrā (dziļās analīzes laikā) veida kļūdām. Šajā gadījumā, it īpaši ar padziļinātu analīzi, citādi anomāliju noteikšanai nav jēgas, tehnoloģiski nav iespējams viennozīmīgi identificēt konstatēto anomāliju kā uzbrukuma notikumu, kā rezultātā tiek automātiski reaģēts uz reģistrētu notikumu, kas tikai ar zināmu varbūtību var būt uzbrukums, arī nav iespējams. Anomāliju noteikšana šajā gadījumā ir saistīta nevis ar informācijas aizsardzību, bet gan ar atbilstošu turpmāku reģistrētā uzbrukuma fakta izpēti ar mērķi pēc iespējas ātrāk nepārprotami identificēt uzbrukumu.
• Pēc tam, kad anomālija ir nepārprotami identificēta kā uzbrukums (uzbrukums kļūst zināms, un tā draudi vairs nav mērķa draudi, bet gan masveida uzbrukuma draudi), informācijas aizsardzība attiecībā uz šo uzbrukumu jau tiek īstenota ar anomāliju detektora palīdzību.

Gandrīz visiem pārdevējiem ir kāds produkts, kas tiek pozicionēts kā aizsardzības līdzeklis pret mērķtiecīgiem uzbrukumiem. Tie ietver FireEye , CheckPoint , McAfee utt. Aizsardzības pret mērķuzbrukumiem efektivitāti nevar pilnībā noteikt tikai ar izmantotajiem tehniskajiem līdzekļiem.

“Ja runājam par tehniskajiem līdzekļiem, to efektivitāte tiks skatīta caur uzņēmuma izvirzīto mērķu un uzdevumu prizmu, ko vislabāk novērtēt pilotprojektu ietvaros konkrētā vidē. Tāpat kā jebkuram risinājumam, arī produktiem, kas aizsargā pret mērķtiecīgiem uzbrukumiem, ir gan savas stiprās, gan vājās puses,” saka Alīna Sagidulļina, konsultants par informācijas drošība kompānijas "LANIT-integrācija".

Informācijas drošības uzraudzības centriem ir iespēja ātri reaģēt uz mērķtiecīgiem uzbrukumiem. Šādi centri var vispusīgi analizēt uzbrukuma sistēmas stāvokli, izmantojot informācijas drošības sistēmas; ar ekspertu palīdzību, kas orientēti uz informācijas drošības analīzi uzraugāmajā sistēmā; uzraugot kompromisa faktus un informācijas noplūdi; lielu informācijas sistēmu kumulatīvā analīze. "Tas ļauj mums redzēt līdzīgas anomāliju pazīmes dažādos segmentos informācijas sistēma", saka Aleksejs Kačaļins.

Tehnoloģijas aizsardzībai pret mērķuzbrukumiem pastāvējušas jau iepriekš, taču tagad tās sasniedz jaunu līmeni. Pirmkārt, runa ir par dažādiem anomāliju noteikšanas instrumentiem – abiem vietējie datori, un tīkla aktivitātes līmenī. Šādu sistēmu uzdevums ir meklēt kaut ko neparastu, kas notiek, nevis meklēt ļaunprātīgu gadu. Tas ir tāpēc, ka daudzos gadījumos uzbrucēji var neizmantot ļaunprātīgu programmatūru.

“Šīm sistēmām ir pievienota aktīvi attīstoša klase SIEM– “Drošības informācija un notikumu pārvaldība”, kas ļauj apkopot ienākošos sistēmas notikumus no dažādas sistēmas aizsardzība ( antivīrusi , ugunsmūri, emulatori, maršrutētāji utt.) un reāllaikā redzēt visas notiekošās izmaiņas,” stāsta Aleksandrs Gostevs.

Kāpēc ar tradicionālajām drošības sistēmām nepietiek

Sakarā ar mērķtiecīgu uzbrukumu specifiku un sagatavošanos tiem, piemēram:

• detalizēta izpēte par izmantotajiem drošības pasākumiem, lai tos apietu;
• unikālas programmatūras rakstīšana un fiksēšana mērķa infrastruktūrā;
• uzticamu, bet apdraudētu objektu izmantošana uzbrukumos, kas nerada negatīvu fonu;
• daudzvektoru pieejas pielietošana iespiešanās procesā;
• slepenība utt.

Tradicionālo drošības risinājumu raksturīgo tehnoloģisko ierobežojumu dēļ:

• atklāšana ir vērsta tikai uz izplatītiem (vienkāršiem) draudiem, jau zināmām ievainojamībām un metodēm;
• nav iebūvēta detektoru salīdzināšana un korelācija vienā notikumu ķēdē;
• nepastāv tehnoloģijas, lai identificētu novirzes normālā darbībā un analizētu likumīgas programmatūras darbību.

Ir nepieciešama integrēta pieeja

Maldināšanas lamatas

Ir parādījušies un turpina parādīties jauni rīki. Tomēr to efektivitāte ir tieši atkarīga no to iestatījumu kvalitātes. Saskaņā ar Jurijs Čerkass, galvenās aizsardzības līdzekļu tehnoloģiskās jomas ir:

• smilšu kastes, kas simulē organizācijas darbstacijas. Smilšu kastēs tiek palaisti un analizēti no interneta saņemtie faili. Ja palaistajam failam ir destruktīva ietekme, tad šāds fails tiek definēts kā inficēts;
• anomālas tīkla darbības analīze (piemēram, pamatojoties uz NetFlow), kas tiek veikta, salīdzinot pašreizējo tīkla darbību ar izveidoto tīkla uzvedības atsauces modeli. Piemēram, dators vai serveris, kas vienmēr sazinās ar noteiktu konkrētu tīkla resursu kopu, izmantojot noteiktus protokolus, pēkšņi pēkšņi sāk mēģināt tieši piekļūt datu bāzēm;
• darbstaciju uzvedības analīze, kas balstīta arī uz darbstaciju darbības salīdzinājumu ar atsauces modeli. Atšķirība ir tāda, ka šī analīze tiek veikta nevis tīkla līmenī, bet gan pašas darbstacijas līmenī, izmantojot aģentus. Pirms neilga laika parādījās interesanta tehnoloģija, kas uzrauga Windows procesus. Atkāpes gadījumā no atsauces modelis process Windows ir bloķēts, tādējādi neļaujot ekspluatācijai radīt destruktīvus efektus.

"Nianse ir tāda, ka visas šīs tehnoloģijas ietver uzvedības analīzi. Šajā gadījumā 1. tipa (viltus pozitīvi) un 2. tipa (viltus negatīvi) kļūdas ir neizbēgamas, tāpēc efektivitāte lielā mērā ir atkarīga no darbinieku kvalifikācijas, kas veido un izmanto šos risinājumus,” atzīmē Jurijs Čerkass.

Maldināšana- maskētu tīklu slazdu un ēsmu tīkls, kas ir izkaisīti IT infrastruktūra

Ko Maldināšana nodrošinās

• Mērķtiecīgu un nulles dienas uzbrukumu noteikšana reāllaikā
• Reālu IT līdzekļu aizsardzība, pārslēdzot uzbrucēju darbību uz “slazdiem”
• Vērtīgo datu aizsardzība no izspiedējvīrusa
• Kriminālistikas kolekcija par uzbrucēju darbībām
• Nav viltus pozitīvu rezultātu
• Neizmanto aģentus un neietekmē lietotāju un IT pakalpojumu darbību

rezultātus

• Uzbrucēja profils
• Detalizētas metodes un rīki, ko izmanto uzbrukuma laikā
• Padziļināta analīze (kādus mērķus cenšas sasniegt hakeri, kādu informāciju viņi meklē)
• Datorurķēšanas vēsture un hronoloģija
• Uzbrucēju izcelsme, pamatojoties uz viņu IP adresēm un datiem DNS

Uzbrukumu radītie bojājumi ir liels noslēpums pat upuriem

Nav iespējams aprēķināt reālo kaitējumu no mērķtiecīgiem uzbrukumiem: saskaņā ar ESET 66% drošības incidentu paliek neatklāti daudzus mēnešus. Tas ir tieši tas, kam komplekss ir "pielāgots". ļaunprogrammatūra mērķtiecīgiem uzbrukumiem: datu zādzība notiek nemanot, fonā.

Liels skaits uzbrukumu paliek neatklāti. Atklājot, daudzi uzņēmumi cenšas slēpt notikušā faktu un nepublisko to. IN Kaspersky Lab uzskata, ka katru nedēļu visā pasaulē kļūst zināms vismaz viens augsta līmeņa mērķtiecīgs uzbrukums. Patiesībā nedēļā var notikt vairāk nekā simts šādu augsta līmeņa uzbrukumu.

Positive Technologies eksperti ir fiksējuši uzbrukumu īpatsvara samazināšanos, izmantojot kriptovalūtas kalnrači- līdz 3% organizācijām un līdz 2% kampaņām, kas vērstas uz privātpersonām. Šis fakts var būt saistīts ar pakāpenisku uzbrucēju pāreju uz HPE, kas spēj veikt vairākas funkcijas vienlaikus. Piemēram, Clipsa Trojas zirgs var slepeni "raktuves" kriptovalūta, nozagt paroles, nomainīt kriptovalūtu maka adreses un arī uzsākt brutālu spēku uzbrukumus vietnēm, kuru pamatā ir WordPress.

Pieaug ļaundabīgo programmu infekciju īpatsvars. Trīs ceturtdaļas uzbrukumu juridiskām personām un 62% uzbrukumu indivīdiem pavadīja dažāda veida infekcijas ļaunprogrammatūra. Lai gan uzņēmuma infrastruktūras inficēšana parasti sākas ar pikšķerēšanas e-pastu, personas biežāk kļūst par upuriem, apmeklējot apdraudētus tīmekļa resursus (35% uzbrukumu privātpersonām).

Positive Technologies eksperti arī atklāja, ka vasaras beigās pēc vairākiem miera mēnešiem viens no lielākajiem robottīkli pasaulē, ko sauc par Emotet. Bottīklu operatori darbojas saskaņā ar ļaunprātīgu programmatūru kā pakalpojumu (MaaS) shēmu un nodrošina kibernoziedznieki piekļuvi Uz datori, inficēti ar Emotet, lai tos turpmāk inficētu ar citu ļaunprātīgu programmatūru, piemēram, Trickbot vai Ryuk.

Pēc pētnieku domām, informācija par lielāko daļu kiberuzbrukumu organizācijām netiek publiskota reputācijas risku dēļ.

Pozitīvās tehnoloģijas: APT uzbrukumu iezīmju analīze rūpniecībā un degvielas un enerģētikas nozarē

Pozitīvās tehnoloģijas: APT metodes, ko izmanto uzbrukumos finanšu iestādēm

Salīdzinājumā ar iepriekšējo gadu notikušas dramatiskas izmaiņas IT vadītāju prioritāšu trijniekā. 41% respondentu kā galveno prioritāti nosauca datu aizsardzību pret mērķtiecīgiem uzbrukumiem. Pirms gada šī pozīcija nebija IT vadītāju prioritāšu sarakstā. Pirmkārt, vidējo komersantu (43%) un lielo uzņēmumu (38%) pārstāvji kā prioritāti nosauca aizsardzību pret mērķuzbrukumiem. Mazos uzņēmumus mazāk interesē jautājums par mērķuzbrukumiem (32%).

Mērķtiecīgi uzbrukumi pirmo reizi kļuva par aktīvu diskusiju objektu pasaules sabiedrībā jau 2009. gadā. Tad kļuva zināms par Stuxnet uzbrukumu. Varbūt mēs varam teikt, ka šeit tas sākās nesenā vēsture mērķtiecīgi kiberuzbrukumi. Plašāk par to, kas ir šāda veida kibernoziegumi un kā šādi uzbrukumi var izpausties, lasiet mūsu materiālā.

Kas ir mērķtiecīgi uzbrukumi?

Mērķtiecīgi (vai mērķtiecīgi) uzbrukumi ir iepriekš plānotas darbības pret konkrētu valsti vai nevalstisko vienību vai organizāciju. Parasti kibernoziedznieki, kas veic mērķtiecīgus uzbrukumus, ir profesionāļi, viņus var salīdzināt ar tradicionālajiem uzbrucējiem, kuri pēc pieprasījuma zog automašīnas: viņiem ir konkrēts mērķis, viņi pēta automašīnas drošības pasākumus, lai tos veiksmīgi apietu.

Mūsdienās hakeru aktivitātes iegūst arvien vairāk tradicionālā biznesa iezīmju. Tirgū ir sava veida “melnais tirgus” - ēnu shēmas un programmatūras pārdošanas vietas, kas nepieciešamas, lai uzbruktu konkrēta uzņēmuma IT infrastruktūrai. Ir fiksētas cenas, kuras var viegli atrast internetā.

Var atrast pat jau izveidotas produktu līnijas: kibernoziedznieku “uzņēmumi” paplašina pārdošanas piltuvi, sagatavojot individuālas risinājumu modifikācijas, ņemot vērā dažādus mērķa segmentus. Ir cenas robottīkliem, un tiek aktīvi izziņotas jaunas Trojas zirgu versijas. Jūs pat varat iegādāties mērķtiecīgu uzbrukumu kā pakalpojumu. Kiberuzbrucēji veido savus attīstības plānus, par kuriem arī tiek aktīvi paziņots.

Paziņojumi, kā likums, tiek sniegti slēgtos avotos,” saka Andrejs Arefjevs, InfoWatch produktu attīstības vadītājs. – Bet tomēr varam teikt, ka mūsdienu robottīklu industrijai piemīt visas pilnvērtīgu komerciālo produktu īpašības. Saskaņā ar neatkarīgiem pētījumiem pēdējo gadu laikā robottīklu izveidei izmantoto pakalpojumu skaits ir pieaudzis desmitkārtīgi.

Turklāt pēdējos gados ir būtiski mainījies uzbrukumu raksturs: tie ir kļuvuši ļoti sarežģīti. Šodienas uzbrukumi ir kļuvuši sazarotāki: uzbrucēja puse cenšas pielāgoties paša uzņēmuma infrastruktūrai un padarīt uzbrukumu pēc iespējas neredzamu. Uzbrukums ir vai nu jākonstatē pēc iespējas vēlu, vai arī nav jāatklāj vispār. Tāpēc šādi uzbrukumi, kā likums, laika gaitā tiek pagarināti un kļūst pamanāmi tikai tad, kad ir pienācis laiks aktīvi izpausties.

Mērķtiecīgiem uzbrukumiem IT infrastruktūrai ir šādas īpašības:

• Viņi pēta uzņēmuma drošības sistēmu un to apiet.
• Uzbrukumu raksturs ir kļuvis vairākpakāpju: tie var sākties sekretāra datorā, un galamērķis būs grāmatveža dators - piemēram, uzbrucēju uzdevums var būt tur instalēt ļaunprātīgu programmatūru.

Kā starprezultātu var atzīmēt, ka, ja netiek novērotas redzamas uzbrukuma pazīmes uzņēmuma IT infrastruktūrai, tas nenozīmē, ka tai netiek uzbrukts,” rezumē Andrejs Arefjevs.

Mērķtiecīgu uzbrukumu piemēri

Saskaņā ar vairākiem atklātajiem avotiem, Trojas vīrusu programmas ieviešanas “ieejas punkts” bieži vien ir nelojālu uzņēmuma darbinieku iekšējā darbība. Pirms neilga laika līdzīgu piemēru varēja novērot Irānā.

Šī uzbrukuma galvenais mērķis bija ierobežot Irānas kodolprogrammu. Cik zināms, suverēna valsts kontrolēja bagātināšanas kodolcentrifūgas, un vairākas iekārtas tika pārvestas uz avārijas režīmu. Centrifūgas ātri sabojājās, un to remonts prasīja laiku un naudu, tāpēc urāna bagātināšana aizkavējās. Kā noskaidrojām, šis uzbrukums bija iepriekš plānots, veikts un īstenots ilgā laika posmā.

Uzbrukuma mērķis nebija iekārtu zagšana, bet gan rūpniecisko objektu kontrole. Ir biedējoši iedomāties, kas varētu notikt, ja kāds sāktu kontrolēt atomelektrostaciju: tās pārslēgšana avārijas režīmā draud vismaz ar otro Černobiļu...

Tomēr par uzbrucēju mērķiem kļūst ne tikai stratēģiski svarīgi objekti un lielas valdības organizācijas. Nesen vienam uzņēmēju organizācijas īpašniekam bija iespēja par to pārliecināties personīgi. Viņi mēģināja inficēt uzņēmuma serveri, izmantojot kontaktu ievainojamības - uzņēmuma īpašniekam paveicās ar to, ka tika uzbrukts tikai grāmatveža datoram.

Ļaunprātīga programmatūra ir programma, kas ļauj nesankcionēti piekļūt konfidenciālai informācijai, izmantojot ievainojamības. Šādas programmas parasti izmanto, lai iegūtu primāro piekļuvi uzņēmuma tīklam. Parasti sistēmas ievadīšana nozīmē piekļuvi datiem, kad sistēma tiek atsāknēta. Izpildāmā moduļa “reģistrācija” ir tā restartēšana katru reizi.

Ļaunprātīga programmatūra var nonākt uzņēmuma darbinieka datorā ne tikai pēdējā ļaunprātīga nolūka dēļ, bet arī hakeru izmantotas sociālās inženierijas rezultātā (piemēram, kibernoziedznieks var lūgt upurim sekot noteiktai saitei vai apmeklēt trešo partijas resurss).

Tā rezultātā upuris kļūst pieejams uzbrukumam, un uzbrucēji iegūst piekļuvi operētājsistēma darbinieka darba dators. Tagad varat palaist ļaunprātīgus failus, lai pēc tam iegūtu kontroli pār savas organizācijas datoriem. Iepriekš uzskaitītās darbības sauc par "nulles dienas uzbrukumiem".

Kādi dati visbiežāk tiek nozagti?

Tas lielā mērā ir atkarīgs no uzņēmuma profila. Hakeru mērķis var būt rūpnieciskie noslēpumi un slēgta plāna stratēģiskās izstrādes, maksājumi un personas dati. Interesanti, ka saskaņā ar pētījumiem 63% aptaujāto saprot, ka mērķtiecīgs uzbrukums viņu uzņēmumam ir tikai laika jautājums.

Mērķtiecīgu uzbrukumu noteikšanas metodes:

Parakstu analīze.

Paraksta analīzes veikšana nozīmē, ka analītiķiem fails ir inficēts ar vīrusu. Studējot tādus ļaunprogrammatūraļauj noņemt no tā parakstu (digitālo pirkstu nospiedumu). Pēc paraksta ievadīšanas datu bāzē varat pārbaudīt, vai fails nav inficēts ar šo vīrusu, vienkārši salīdzinot parakstus. Parakstu analīzes priekšrocība ir tā, ka tā ļauj precīzi diagnosticēt uzbrukumu. Ja ir fails ar atbilstošu parakstu, mēs varam droši teikt, ka dators ir ietekmēts.

Parakstu analīzei ir vairākas priekšrocības:

• To var izmantot ne tikai vīrusu skenēšanai, bet arī sistēmas trafika filtrēšanai.
• Varat “apsēsties” pie vārtejas un pārraudzīt noteiktu nepārbaudītu parakstu klātbūtni.
• Tas ļauj veikt diagnostikas sistēmas, lai ar lielu precizitāti pretotos uzbrukumiem.

Būtisks parakstu analīzes trūkums ir nepieciešamība atjaunināt parakstu datu bāzi. Lielākā daļa uzņēmumu ir spiesti atjaunināt parakstu datubāzi ik pēc 15 minūtēm. Tajā pašā laikā ik pēc pusstundas a jauns vīruss. Tālāk seko ilgs reģistrēšanas un izpētes process, un tikai pēc tam paraksts tiek ievadīts datu bāzē. Līdz šim brīdim uzņēmums ir bijis neaizsargāts pret jauno vīrusu.

Vēl viena iepriekš identificētas ļaunprātīgas programmatūras izpētes metode ir heiristiskā analīze.

Heiristiskās analīzes funkcija ir pārbaudīt, vai izpildāmajā kodā nav aizdomīgu darbību, kas raksturīga vīrusu darbībai. Šis paņēmiens ir labs, jo tas nav atkarīgs no datu bāzes atbilstības. Tomēr heiristiskajai analīzei ir arī savi trūkumi.

Sakarā ar to, ka visi galvenie antivīrusi ir zināmi un pieejami lietošanai ikvienam, hakeri var pārbaudīt rakstīto programmatūru un modificēt to, līdz tā apiet visus zināmos pretvīrusu aizsardzības rīkus. Tādējādi galveno heiristisko algoritmu efektivitāte tiek samazināta līdz neko.

Vēl viena mērķtiecīgu uzbrukumu noteikšanas metode ietver tā saukto nākamās paaudzes ugunsmūru izmantošanu, kas papildus tradicionālajām iespējām ļauj arī filtrēt trafiku. Ugunsmūru galvenais trūkums ir to pārmērīgā „aizdomība”, tie rada lielu skaitu viltus pozitīvu rezultātu. Turklāt ugunsmūri izmanto tehnoloģijas, kuras var maldināt (smilškaste, heiristiskā analīze un parakstu analīze).

Lietojumprogrammu palaišanai tiek izmantota arī cita aizsardzības metode. Tās ideja ir ļoti vienkārša: stacija var tikai palaist individuālie pieteikumi(to sauc par balto klausīšanos). Negatīvā puse ir tāda, ka Baltais saraksts» ir jāietver katra lietotājam nepieciešamā lietojumprogramma. Praksē šī metode, protams, ir diezgan uzticama, taču ļoti neērta, jo palēnina darba procesus.

Visbeidzot, ir nesen izstrādāta tehnoloģija dinamiskai uzbrukumu noteikšanai, kas tiek izmantota InfoWatch Targeted Attack Detector produktā, saka Andrejs Arefjevs. – Šī tehnoloģija pamatā ir fakts, ka uzbrucēju darbības neizbēgami noved pie uzņēmuma IT sistēmu modifikācijām. Tādēļ InfoWatch risinājums periodiski skenē organizācijas IT sistēmu, apkopojot informāciju par kritisko objektu statusu. Saņemtie dati tiek salīdzināti ar pagātnes skenēšanas rezultātiem, pēc tam tiek veikta inteliģenta notikušo izmaiņu analīze, lai noteiktu anomāliju klātbūtni. Ja tiek atklāta nezināma ļaunprogrammatūra, uzņēmuma analītiķis tiek iesaistīts tā darbību un iespējamā kaitējuma uzņēmuma infrastruktūrai analīzē.

- Kurā stadijā uzbrukumu iespējams klasificēt kā mērķtiecīgu?

Faktiski anomāliju noteikšana ir galvenā pazīme, ka jūsu sistēma darbojas nepareizi, un ir netieša pazīme, ka uzņēmums tiek uzbrukts. Turklāt uzbrukumā nav obligāti jāiesaista Sarkanā oktobra līmeņa vīruss. Kā liecina prakse, pietiek ar nelielu Trojas zirgu, kas periodiski tiek nosūtīts tālāk. Principā ar to pietiek, lai ienestu naudu konkrētiem kiberuzbrucējiem.

Kopumā es gribētu atzīmēt, ka mērķtiecīgi uzbrukumi ir spēcīgs instruments ietekmēt lielo valdības un komerciālo organizāciju korporatīvo politiku. Tāpēc ir nepieciešams sistemātiski un rūpīgi apkarot šāda veida kibernoziegumus.

Jeļena Kharlamova