"Maqsadli" hujum nima ekanligini bilmaganlar uchun podkast so'rang :)

Maqsadli hujum - Bu real vaqt rejimida masofadan turib qo'lda boshqariladigan hujumga uchragan tizim infratuzilmasidagi ruxsatsiz faoliyatning uzluksiz jarayoni.

Ushbu ta'rifga asoslanib, men sizning e'tiboringizni quyidagi fikrlarga qarataman:
1) Birinchidan, bu jarayon - faoliyat vaqtida, ba'zilari operatsiya, va faqat bir martalik texnik harakat emas.
2) Ikkinchidan, jarayon ma'lum bir infratuzilmada ishlashga mo'ljallangan, muayyan xavfsizlik mexanizmlarini, muayyan mahsulotlarni engib o'tishga mo'ljallangan va muayyan xodimlarni o'zaro ta'sirga jalb qilish.

Shuni ta'kidlash kerakki, tajovuzkorlar butunlay boshqa maqsadlarni ko'zlagan holda, asosan alohida so'nggi nuqta ustidan nazoratni qo'lga kiritganda, standart zararli dasturlarni ommaviy yuborish yondashuvida sezilarli farq bor. Maqsadli hujum bo'lsa, u jabrlanuvchining atrofida qurilgan.

Quyidagi rasm maqsadli hujumning to'rt bosqichini ko'rsatib, uning hayot aylanishini ko'rsatadi. Keling, ularning har birining asosiy maqsadini qisqacha bayon qilaylik:

1. Tayyorgarlik. Birinchi bosqichning asosiy vazifasi - maqsadni topish, u haqida etarlicha batafsil shaxsiy ma'lumotlarni to'plash, shu asosda maqsadni aniqlash. zaif joylar infratuzilmada. Hujum strategiyasini yarating, qora bozorda mavjud bo'lgan ilgari yaratilgan vositalarni tanlang yoki keraklilarini o'zingiz ishlab chiqing. Odatda, rejalashtirilgan penetratsiya bosqichlari, shu jumladan, aniqlanmaslik uchun sinchkovlik bilan sinovdan o'tkaziladi standart vositalar axborotni himoya qilish.
2. Penetratsiya - turli usullardan foydalangan holda maqsadli hujumning faol bosqichi ijtimoiy muhandislik va maqsadning birlamchi infektsiyasi va ichki razvedka o'tkazish uchun nol kunlik zaifliklar. Tekshirish tugallangandan so'ng va zararlangan xost (server/ish stantsiyasi) identifikatori aniqlangandan so'ng, tajovuzkorning buyrug'i bilan boshqaruv markazi orqali qo'shimcha zararli kodni yuklab olish mumkin.
3. Tarqatish- infratuzilma doirasida, asosan jabrlanuvchining asosiy mashinalarida konsolidatsiya bosqichi. Nazoratni iloji boricha kengaytiring, kerak bo'lganda versiyalarni o'zgartiring zararli kod nazorat markazlari orqali.
4. Maqsadga erishish- maqsadli hujumning asosiy bosqichi.

Ushbu stend (sinov maydonchasi) quyidagilardan iborat:

1. axborot-telekommunikatsiya tarmog'ining ochiq segmenti modellari;

2. axborot-telekommunikatsiya tarmog'ining yopiq segmenti modellari.

Simulyatsiya qilingan tarmoq ko'plab komponentlardan iborat.

Ochiq segmentda xostlar (PC1–PC7) Cisco 3745 router (c3745) yordamida bitta tarmoqqa ulanadi. Alohida bo'limlarda xostlar kommutator (SW1) yordamida ma'lumotlarni uzatish uchun tarmoqqa ulanadi. Ushbu sxemada kalit faqat marshrutizator orqali kelgan paketdagi ma'lumotlar asosida ma'lumotlarni bir portdan boshqasiga uzatadi.

Yopiq tarmoq segmentida kripto-marshrutizatorlar yopiq tarmoq segmentini ochiqga qoldiradigan ma'lumotlar paketlarini shifrlash uchun ishlatiladi. Agar tajovuzkor ushbu tarmoqdan uzatilgan ma'lumotlar paketlarini tutib olishga muvaffaq bo'lsa, u ushbu ma'lumotlardan foydali ma'lumotlarni ajratib ololmaydi.

Hujum ostidagi ob'ekt sifatida axborot va telekommunikatsiya tarmog'i segmentining bir qismi bo'lgan Windows XP tanlangan. Bu tizim IP manzili bilan "Real Network Output" bulutiga ulangan: 192.168.8.101

Xo'sh, biz elementlarni aniqlash uchun mahalliy tarmoqni o'rganishni boshlashimiz mumkin kompyuter tarmog'i keyingi ekspluatatsiya uchun. Keling, Netdiscovery-dan foydalanamiz.

Hujum qilingan tarmoqning mumkin bo'lgan zaifliklarini aniqlash uchun skanerdan o'taylik bu tarmoq tarmoqni o'rganish va xavfsizlikni tekshirish uchun yordam dasturidan foydalanish - Nmap ("NetworkMapper").

Skanerlash paytida biz tizimda borligini aniqladik ochiq portlar, bu potentsial zaifliklarni ifodalaydi.
Masalan, 445/TCPMICROSOFT-DS - ishlatiladi Microsoft Windows 2000 va undan keyingi versiyalarida NetBIOS-dan foydalanmasdan to'g'ridan-to'g'ri TCP/IP kirish uchun (masalan, Active Directory). Biz ushbu portdan tizimga kirish uchun foydalanamiz.

Endi biz Metasploit yordamida tarmoq hujumini amalga oshiramiz. Ushbu vosita sizga tarmoq hujumini simulyatsiya qilish va tizim zaifliklarini aniqlash, IDS/IPS samaradorligini tekshirish yoki batafsil hisobot yaratish, yangi ekspluatatsiyalarni ishlab chiqish imkonini beradi.

LHOST-da biz hujum amalga oshiriladigan tizimning IP-manzilini ko'rsatamiz.

Zararli dasturiy ta'minot uzoq vaqtdan beri spam yuborish uchun botnetni tashkil etish yoki ruxsatsiz operatsiyani amalga oshirish uchun foydalanuvchining Internet-banking parolini o'g'irlashni maqsad qilgan mayda buzg'unchilik uchun vosita bo'lishni to'xtatdi. Kompaniyalar uchun oddiy viruslar jiddiy xavf tug'dirmaydigan "kichik sabotaj" deb hisoblanishi mumkin. O'z navbatida, hujumchilar uchun bu usul pul topish alohida qiziqish emas, chunki Jinoyatchiga hujumdan katta foyda olishga imkon bermaydigan ko'plab himoya vositalari (antivirus vositalari, moliyaviy operatsiyalarni nazorat qilish choralari kuchaytirilgan ilovalar va boshqalar) mavjud.

End vositalarni oqlaydi
Nikkolo Makiavelli

Umumiy axborotlashtirish va texnologik taraqqiyot davrida, elektron tijorat tizimlarida milliardlab dollar saqlanayotganda, bu mablag'larni o'g'irlashni istamaydigan yuqori malakali jinoyatchilar yo'q deb taxmin qilish sodda bo'lar edi. Bugungi kunda o'rta va yirik kompaniyalar infratuzilmasiga maqsadli hujumlardan foydalanishning aniq belgilangan va o'sib borayotgan tendentsiyasi mavjud.

Maqsadli hujumlar (APT, Advanced Persistent Threats)- Bular ma'lum ob'ektlar yoki tarmoqlarga qaratilgan hujumlar (zararli dasturlar). Ular qo'llaniladigan kompaniyaning o'ziga xos xususiyatlarini yoki umuman kompaniyaning faoliyat sohasini hisobga oladi.

Ushbu turdagi barcha hujumlar bir qator belgilarni o'z ichiga oladi:

Sanoat yo'nalishi (virus/hujum ma'lum bir sanoatda qo'llaniladi, ammo boshqasi uchun bu ahamiyatsiz bo'ladi);

"arzimas" dastur kodi. Yuqorida aytib o'tilganidek, yuqori malakali mutaxassislar maxsus viruslarni yozish bilan shug'ullanadilar. Yozishda ular standart xavfsizlik choralarini ko'rishi mumkin bo'lgan ko'pgina nuanslarni hisobga oladi. Shu sababli, masalan, imzoga asoslangan antivirus vositalari bunday dastur kodini zararli deb aniqlay olmaydi. Shu sababli, tajovuzkor uzoq vaqt davomida tizimlarda aniqlanmasdan qolishi va hujumni muvaffaqiyatli yakunlash uchun kerakli statistikani to'plashi mumkin.

Odatda, tajovuzkorlar maqsadli tahdidlarni amalga oshirish uchun nol kunlik ekspluatatsiyalardan foydalanadilar.

0day (ing. Zero day)- tuzatilmagan zaifliklarni, shuningdek, himoya mexanizmlari hali ishlab chiqilmagan zararli dasturlarni bildiruvchi atama.

Ekspluatatsiyaning eng muhim vazifasi korporativ perimetrga e'tibor bermasdan kirish, iloji bo'lsa, antivirus vositasini yo'q qilib, tayanch punktiga ega bo'lish va qulay va "mahsuldor" ish uchun barcha tajovuzkor jihozlarini mahkamlashdir.

2013-2014 yillar statistikasi shuni ko'rsatadiki, hujumchilar bu borada ulkan g'alabalarga erishgan. Avval Zevs, keyin esa Karberp Rossiyada ham, butun dunyoda ham haqiqiy ofatga aylandi. Yil davomida faqat ushbu ikki virus oilasidan foydalangan holda o'g'irliklar hajmi bir necha milliard dollarni tashkil etdi. Rossiyada kredit-moliya sektoridagi kompaniyaga muvaffaqiyatli amalga oshirilgan hujumning o'rtacha ko'rsatkichi 30 million rubl.

So'nggi yillarda bunday shubhali faoliyat juda "yuqori sifatli" zararli dasturiy ta'minotning manba kodining tarmoqqa sizib chiqishi haqidagi hikoya bilan bog'liq.

“Mashhur bank troyan Carberpning manba kodi sizib chiqdi ochiq kirish. Manba kodlari 1,88 GB RAR arxividagi Carberpni endi Google osonlik bilan topadi. Paketdan chiqarilganda, loyiha batafsil ro'yxatga ega taxminan 5 Gb fayllarni o'z ichiga oladi. Shubhasiz, endi biz boshlang'ich va davom etayotgan virus mualliflaridan yangi ijod to'lqinini kutishimiz mumkin. Kimdir hatto hazillashdi: “Zevs sızıntısı bepul o'yin mashinasiga o'xshardi. Carberp sızıntısı allaqachon bepul raketa uchiruvchisi ...", axborot xavfsizligi bo'yicha ekspert, Hacker jurnali muallifi Denis Mirkov

"Xo'sh, endi nima qilishimiz kerak?!" – Har qanday qo‘riqchining tomog‘iga beixtiyor keladigan savol. Bu 1899 yilda Emanuel Laskerning "Aqlli bo'lishning yagona yo'li - kuchliroq raqib bilan o'ynashdir" degan iqtibos esga tushadi. Texnologiyalar va ishlab chiquvchilar bir joyda turmaydi, agar talab bo'lsa, munosib taklif bo'ladi. Nolinchi kun tahdidlarini aniqlashdagi asosiy muammo kodni tahlil qilishda tanish imzolarni topa olmaslikdir. Ammo bu har qanday faylning xatti-harakatlarini kuzatib bo'lmaydi, "qora quti" usuli yordamida sinovdan o'tkazilmaydi va tegishli xulosalar chiqarilmaydi degani emas!

Sandboxdagi xatti-harakatlar tahlili eng ko'p samarali usul nol kunlik tahdidlar va maqsadli hujumlarni tahlil qilish va aniqlash. Turli ishlab chiqaruvchilar o'zlarining mahsulotlarini eng samarali va to'g'ri deb da'vo qilib, o'z echimlarini taklif qilishadi. Biroq, bu unchalik emas, bunday echimlar bilan bog'liq asosiy muammo - bu xavfsizlik xizmatining butun ishini inkor etishi mumkin bo'lgan noto'g'ri pozitivlar (noto'g'ri pozitivlar). Tanlangan yechim faqat jiddiy tahdidlarga sezgir bo'lishi kerak. Bunday kontseptsiyani amalga oshirish allaqachon professionallik va tajriba bo'lib, u murakkab algoritmlarga tarjima qilinishi va yakuniy mahsulotga kiritilishi kerak edi.

Maqsadli hujumlarning (APT) o'ziga xos xususiyati shundaki, tajovuzkorlar ma'lum bir kompaniya yoki davlat tashkilotiga qiziqishadi. Bu bu tahdidni ommaviydan ajratib turadi xakerlik hujumlari- bir vaqtning o'zida ko'p sonli nishonlarga hujum qilinganda va eng kam himoyalangan foydalanuvchilar qurbonga aylanganda. Maqsadli hujumlar odatda yaxshi rejalashtirilgan va bir necha bosqichlarni o'z ichiga oladi - razvedka va infiltratsiyadan tortib mavjudlik izlarini yo'q qilishgacha. Odatda, maqsadli hujum natijasida tajovuzkorlar jabrlanuvchining infratuzilmasida o‘z o‘rniga ega bo‘lib, oylar va hatto yillar davomida sezilmay qoladilar – bu vaqt ichida ular barcha korporativ ma’lumotlarga kirish imkoniga ega bo‘ladilar.

Tasniflashdagi qiyinchiliklar

Maqsadli yoki maqsadli hujumlar - bu muayyan tijorat tashkilotlari yoki davlat idoralariga qaratilgan hujumlar. Qoida tariqasida, bunday hujumlar keng tarqalmagan va juda uzoq vaqt davomida tayyorlanadi. Hujumchilar maqsadli ob'ektning axborot tizimlarini o'rganadilar, nimani aniqlaydilar dasturiy ta'minot u yoki bu maqsadda foydalaniladi. Hujum maqsadlari har qanday qamrov yoki maqsad bilan cheklangan maxsus axborot tizimlari va/yoki odamlardir. Zararli dastur maxsus hujum uchun mo'ljallangan, shuning uchun standart antiviruslar nishon tomonidan qo'llanilgan va hujumchilar tomonidan yaxshi o'rganilgan xavfsizlik choralari tahdidni aniqlay olmadi. Ko'pincha, bu nol kunlik zaifliklar va hujum ijrochilari/mijozlari bilan muloqot qilish uchun maxsus algoritmlar.

Yuriy Cherkas, Markazning Infratuzilma axborot xavfsizligi yechimlari bo‘limi boshlig‘i axborot xavfsizligi kompaniyalar "Jet Infotizimlari""maqsadli hujum" atamasining ta'rifi atrofidagi deyarli doimiy bahs-munozaralar bu atamani tasniflashni qiyinlashtiradi, deb hisoblaydi. Uning ta'kidlashicha, maqsadli hujum boshqa har qanday xakerlik mexanizmlaridan foydalanadi ( spam , fishing, tez-tez tashrif buyuriladigan saytlarning infektsiyasi va boshqalar). “Menimcha, maqsadli hujumning asosiy belgilaridan biri uning aniq bir tashkilotga qaratilishidir. Masalan, ma'lum bir tashkilot tomonidan ishlab chiqilgan maxsus dasturiy ta'minot uchun yozilgan virus. Lekin bu har doim ham shunday emas. Xaker jabrlanuvchi kompaniyaga hujum qilish uchun mavjud ekspluatatsiya to'plamlari va boshqa vositalardan foydalanishi mumkin. Bunday holda, hujum nishonga olinganligini aniqlash juda qiyin, chunki umumiy zaifliklar OS va amaliy dasturiy ta'minot "deydi Yuriy Cherkas.

Maqsadli hujumlarni saralashdagi qiyinchiliklar hatto ularning taxminiy sonini ham hisoblashni imkonsiz qiladigan omillardan biridir.

CDU (Murakkab uzoq muddatli tahdidlar)

Ko'pgina mutaxassislar maqsadning quyidagi xususiyatlariga rozi:

• Bu ma'lum tijorat tashkilotlari, sanoat yoki davlat idoralariga qaratilgan hujumlardir.
• Hujumning maqsadlari ko'lami yoki maqsadlari juda cheklangan maxsus axborot tizimlaridir.
• Ushbu hujumlar keng tarqalmagan va ancha uzoq vaqt davomida tayyorlangan.
• Zararli dasturiy ta'minot, agar hujumda foydalanilsa, maxsus hujum uchun mo'ljallangan muntazam vositalar tajovuzkorlar tomonidan yaxshi o'rganilgan himoya vositalari uning amalga oshirilishini aniqlay olmadi.
• Hujumni amalga oshirish uchun nol kunlik zaifliklardan foydalanish mumkin.
• Odatda, maqsadli hujumlar oson monetizatsiya qilinadigan ma'lumotlarni o'g'irlash yoki muhim ma'lumotlarga kirishni buzish uchun ishlatiladi. muhim ma'lumotlar.
• Maqsadli hujumni amalga oshirishda ommaviy hujumlar, xususan, fishing kabi bir xil xakerlik mexanizmlari qo'llaniladi. Farqi shundaki, hujumni xavfsizlik vositalari bilan aniqlash imkoniyatini oldini olish uchun tayyorlash. Maqsadli hujumlarga nisbatan fishing juda ko'p holga keladi joriy tahdid, chunki bu holatda hujum mavhum emas, balki betonda amalga oshiriladi shaxslar, bu ijtimoiy muhandislik usullari yordamida hisobga olinishi mumkin.
• Maqsadli hujumni aniqlash va aniqlashdan so'ng, uni amalga oshirish natijalariga ko'ra, ushbu hujum tahdidi ma'lum bo'ladi, u "ommaviy" toifaga kiradi - tajovuzkorlar tomonidan ommaviy foydalanish mumkin. Shu bilan birga, aniqlangandan so'ng, ushbu hujum tahdidi xavfsizlik vositalari tomonidan allaqachon aniqlanishi mumkin, ularning vazifalaridan biri hujum tahdidining maqsadli toifasidan ommaviyga o'tishning minimal davomiyligini ta'minlashdir.

Maqsadli hujum bosqichlari

Hujumlarning maqsadlari

A.T.ning so'zlariga ko'ra. Kerni:

• Kompaniya boshqaruv idorasi. Ko'pincha uskuna to'g'ri himoyalanmagan jismoniy zarar(masalan, tozalash xodimlari tomonidan yoki texnik xizmat ko'rsatish binolar).
• Ar-ge. Bu odatda eng yuqori darajadagi himoyani talab qiladigan bo'limdir, lekin ko'pincha boshqa bo'limlarga qaraganda yaxshiroq himoyalanmaydi.
• Data markazlari shaxsiy bulutni joylashtirish uchun xavfsiz muhitni ta'minlash. Muammo ko'plab serverlarning, shuningdek, ushbu serverlarda ishlaydigan ilovalarning xavfsiz ishlashini ta'minlashdir.
• Yetkazib beruvchilar tarmog'i. Yetkazib beruvchilar bilan ishlashda tarmoq echimlaridan foydalanishning ko'payishi tufayli nisbatan kichik etkazib beruvchi kompaniyalar kamroq himoyalanganligi bilan bog'liq xavflar mavjud.
• Bulut hisob-kitoblar.Tashqi bulutdan foydalanish asosan xavfsizdir. Muammolar ma'lumotlarni himoya qilish darajasi qonunchilikka bog'liqligi va razvedka xizmatlarining kirishi mumkinligidan kelib chiqadi.
• Ishlab chiqarish. Ko'p eski maxsus tizimlar tobora tarmoqqa ulangan va ularning ishini kuzatish va nazorat qilish qiyin. Bu holatda kiberjinoyatchilarning hujumlari ishlab chiqarish yo'qotishlariga yoki hatto kompaniyaning qulashiga olib kelishi mumkin.
• Ma'lumotlar bazasi muhim ma'lumotlarni xavfsiz saqlashni ta'minlash. Asosiy zaiflik shundaki, xakerlar ma'lumotlar bazalariga kirish uchun ma'murlardan "asboblar" sifatida foydalanishlari mumkin.
• Yakuniy mahsulotlar, bilan faollashtirilgan axborot texnologiyalari. Yakuniy mahsulotlarning ishlashini ta'minlash uchun tarmoq echimlaridan tobora ko'proq foydalanish uni amalga oshirishni osonlashtiradi kiberhujumlar. Buzilishlarni keltirib chiqarish uchun foydalanuvchi qurilmalarini masofadan turib kuzatib, xakerlar ushbu qurilmalar orqali maxfiy ma'lumotlarni noqonuniy ravishda olishlari mumkin. Shu munosabat bilan kompaniya o'z obro'sini yo'qotish va firibgarlik qurboniga aylangan foydalanuvchilardan da'volarni olish xavfi ostida bo'lishi mumkin.
• Ofis tarmoqlari. Deyarli barcha tizimlarning ulanishini o'z ichiga olgan tarmoqning o'sib borayotgan darajasi, agar xaker tarmoqqa kirishga muvaffaq bo'lsa, unga ko'p imkoniyatlar beradi.
• Sotish. Marketing rejalari, narxlar va mijozlar ma'lumotlarining sizib chiqishi kompaniyaning obro'siga putur etkazadi va uni raqobatdosh ustunlikdan mahrum qiladi.
• Mobil qurilmalar. Sotib olish smartfonlar, tijorat bozorida mavjud bo'lgan foydalanuvchilar ko'pincha o'z xotiralariga maxfiy ma'lumotlarni kiritadilar, qoida tariqasida, xakerlar tomonidan osongina o'g'irlanishi mumkin. Agar kompaniya xodimlari o'zlarinikidan foydalansa, eng sinab ko'rilgan va haqiqiy xavfsizlik tushunchalari foydasiz bo'lib qolishi mumkin mobil qurilmalar ish muammolarini hal qilish uchun.
• Onlayn do'konlar. Haqiqiy xaridorlar niqobi ostida noqonuniy kirish va firibgarlik harakatlari uchun xakerlar tafsilotlardan foydalanadilar. kredit kartalari va mijozlarning shaxsiy ma'lumotlari.
• Telefon qo'ng'iroqlari. Odamlarning bir-biriga yordam berishga tayyorligidan foydalanib, tajovuzkorlar o'zlariga kerakli ma'lumotlarni osongina olish uchun telefon qo'ng'iroqlaridan foydalanishlari mumkin.

Moliyaviy sektorda maqsadli hujumlar

tomonidan chop etilgan 2014 yilda ruxsatsiz pul o'tkazmalari sharhida TSB RF bir kun oldin, 23 ta kredit tashkiloti maqsadli hujumlar belgilarini ko'rsatadigan hodisalar haqida xabar berganligi qayd etilgan. Mutaxassislarning hisob-kitoblariga ko'ra, voqealar 213,4 million rubl miqdoridagi mablag'larni hisobdan chiqarishga qaratilgan.

Barcha hodisalar bahorning ta'siri bilan bog'liq IT infratuzilmasi shu jumladan, zararli kodni joriy etish, buning yordamida yuqori texnologiyali jinoyatchilar mablag'larni olib qo'yishni maqsad qilgan.

Xakerlik urinishlari odatiy xususiyatlarga ega: hujum maqsadli bo'lib, ma'lum bir vaqtda xabarlarni yuborish va qayta ishlash jarayonlarining o'ziga xos xususiyatlarini hisobga olgan. to'lov tizimi; ba'zi hollarda, eng so'nggi virusga qarshi ma'lumotlar bazalariga qaramay, zararli kod standart virusga qarshi himoya vositalari tomonidan aniqlanmadi; xakerlarning kirib kelishi faktlari mahalliy tarmoqlar banklar, shu jumladan elektron xabarlar orqali zararli kodni kiritishga urinishlar orqali.

Banklar vakillarining ta'kidlashicha, agar ilgari firibgarlar mijozlarni o'g'irlashni afzal ko'rgan bo'lsa, endi ular kattaroq o'ljaga, ya'ni moliya institutlarining o'ziga o'tishgan.

“Bu ancha murakkab protsedura, ammo foyda nuqtai nazaridan xakerlar uchun pul bir joyda joylashgan banklarni buzish qulayroq. Asosiy tendentsiya maqsadli hujumlar deb ataladi. Ular oylar davomida va muayyan banklar va moliyaviy tashkilotlarga nisbatan tayyorlanadi. Bu haqiqiy tahdid bo'lib, undan hatto eng ilg'orlarni ham himoya qilish juda qiyin axborot xavfsizligi banklar. Hujumchilar bank dasturlarini, asosiy bank tizimlarini, xavfsizlik choralarini va hokazolarni juda yaxshi o‘rganib chiqishgan”, — deya qayd etadi. Yuriy Lisenko, Boshqarma boshlig'i axborot xavfsizligi banka Uy krediti.

U bilan rozi va Stanislav Pavlunin, Xavfsizlik bo'yicha vitse-prezident Tinkoff banki: “Maqsadli hujumlar ijtimoiy muhandislik bilan birga keladi. DDoS hujumlari hech qayerda g'oyib bo'lmadi, lekin ular bilan ishlash tajovuzkorlar maqsadli harakatlar uchun yozadigan viruslarga qaraganda ancha oson. Standart antiviruslar hujum maqsadi uchun yozilgan zararli ob'ektlarni aniqlamang. Muayyan moliyaviy tashkilotga bunday maqsadli hujumlarni qayd etish va xatarlarni tezda aniqlash imkonini beruvchi tizimlar xavfsizlikning boshqa sinfidir”, - deydi Stanislav Pavlunin.

Shu bilan birga, Yuriy Lisenko aniq banklar va moliyaviy tashkilotlarga, tizimlarga maqsadli hujumlar sonining ko'payishini bashorat qilmoqda. masofaviy bank xizmatlari va hokazo.

Maqsadli hujum texnikasi

Maqsadli hujumlarni amalga oshirish vositalari va hodisalarni tekshirish (maqsadli hujumlar belgilariga ega) haqidagi ommaviy axborot turli usullarni taklif qiladi. Masalan, to'liq avtomatlashtirilgan usullar va telefon qo'ng'iroqlaridan foydalanish mumkin.

Hujum paytida tajovuzkorlar kerakli ma'lumotlarga kirish uchun turli imkoniyatlarni o'rganadilar. To'g'ridan-to'g'ri amalga oshirilishi mumkin jismoniy kirish yoki kompaniya xodimlariga, ularning qurilmalariga hujum qilish va Hisoblar Internet xizmatlarida.

“Tegishli axborot tizimlari – yetkazib beruvchi kompaniyalar (ayniqsa, o‘z mahsulotlarini qo‘llab-quvvatlovchi dasturiy ta’minot ishlab chiquvchilari) va mijozlarning xavfsizligi muhim muammoga aylanib bormoqda. Ular bilan ishonchli munosabatlar chegara himoyasini chetlab o'tish uchun ishlatilishi mumkin. Bu allaqachon murakkab mudofaa perimetrini sezilarli darajada kengaytiradi ", deydi Aleksey Kachalin, kompaniya bosh direktorining o'rinbosari "Istiqbolli monitoring".

Jabrlanuvchi maqsadli hujumga urinishlardan qochib qutula olmaydi. Masalan, tajovuzkor o'zini qiziqtirgan kompaniyaning ichki resurslariga kirishni xohlaydi. Shu maqsadda tajovuzkor bir necha oy yoki yillar davomida ko'plab maqsadli hujumlarni boshlashi mumkin. Barcha hujum elementlari ( tarmoq hujumlari, zararli dastur) umumiy aniqlash usullari uchun "alohida" uchun oldindan sinovdan o'tkazilishi mumkin. Agar samarasiz bo'lsa, bunday elementlar o'zgartiriladi. Antivirus ma'lumotlar bazalarini yangilash kabi, hujum vositalari ham yangilanishi mumkin, shu jumladan qo'lga olingan tizimda allaqachon ishlayotganlar.

Qo'shimcha murakkablik - maqsadli hujumning davomiyligi va intensivligi. Tayyorgarlik bir necha oy davom etishi mumkin, faol bosqich esa bir necha daqiqa davom etishi mumkin. “Ertami kechmi hujum muvaffaqiyatli bo'lishi ehtimoli bor. Axir, 0 kunlik zaifliklar muammosi doimo dolzarbdir. Agar sizda 100 millionlik ma'lumot bo'lsa, uni o'g'irlash uchun 50 million sarflashga tayyor bo'lgan odam paydo bo'lishiga tayyor bo'ling. Shuning uchun qilish mumkin bo'lgan yagona narsa bu murosaga tayyor bo'lish va hujumni tezda aniqlash, uni to'xtatish va zararni minimallashtirish uchun vositalarga ega bo'lishdir ", deb hisoblaydi. Aleksandr Gostev, bosh antivirus mutaxassisi Kasperskiy laboratoriyasi.

Tashkilotchilarni tashkil etish

Maqsadli hujumlarning aksariyati haqiqatdan keyin aniqlanadi. Eng katta muammo atribut bo'lib qolmoqda - bunday hujumlarning tashkilotchilari va ijrochilarini aniqlash.

Aybdorni aniqlash nihoyatda mushkul ish, deydi ekspertlar. Bu jarayonda jinoyat sodir etishda ma’lum millat yoki tashkilotning xakerlik guruhining ishtirokini ko‘rsatuvchi omillarning maksimal miqdorini to‘plash zarur. Bu sohada faoliyat yurituvchi kompaniyalar o'rtasidagi o'zaro hamkorlikni talab qiladi axborot xavfsizligi, jabrlanuvchilar, turli mamlakatlar huquq-tartibot idoralari va boshqalar. Ammo bu holatda ham, ko'pincha hujumchilarning qo'pol xatolari tufayli bir nechta aybdorlar aniqlanadi.

“Hujum manbasini aniqlash uchun koʻplab omillarni hisobga olish kerak. Avvalo, bu kodning tahlili - unda mualliflarning lingvistik yoki milliy mansubligini bilvosita ko'rsatadigan so'zlar bo'lishi mumkin. Masalan, lotin tilida yozilgan ruscha so'zlar yoki odatda rus mualliflariga xos bo'lgan xatolar va boshqalar. Biroq kiberjinoyatchilar ataylab shunday yolg‘on izlar qoldirishi va bu bilan tergovni chalkashtirib yuborishi mumkin”, — dedi. Aleksandr Gostev.

100 dan ortiq guruhlar tijorat va davlat tashkilotlariga ataylab hujum qilmoqda

Global tahdidlarni o'rganish va tahlil qilish markazi mutaxassislari " Kasperskiy laboratoriyasi“2016 yilning yozida dunyo boʻylab 85 mamlakatda tijorat va davlat tashkilotlarini nishonga olgan kiberjosuslik kampaniyalari va ART sinfidagi hujumlarni tashkil etuvchi 100 dan ortiq faol guruhlar borligi haqida xabar berdi.

Kompaniya vakillarining so'zlariga ko'ra, ushbu tahdidning bunday jadal rivojlanishi maqsadli hujumlar endi bir necha kishining qo'lida emasligidan dalolat beradi: tajovuzkorlar o'zlarining texnika va vositalarini optimallashtirishmoqda va bu zararli kampaniyani tashkil qilishni arzonlashtiradi va osonlashtiradi. o'z navbatida, yangi o'yinchilarning paydo bo'lishiga hissa qo'shadi.

ART sinfidagi hujumning asosiy maqsadi o'g'irlikdir maxfiy ma'lumotlar, keyinchalik geosiyosiy ustunlikka erishish uchun ishlatilishi yoki manfaatdor tomonlarga sotilishi mumkin. Kasperskiy laboratoriyasi kuzatuvlariga koʻra, maqsadli hujum qurboni boʻlish xavfi yuqori boʻlganlar davlat va diplomatik tashkilotlar, moliya kompaniyalari, energetika va kosmik sohalarda faoliyat yurituvchi korxonalar, sogʻliqni saqlash va taʼlim muassasalari, telekommunikatsiya va IT-kompaniyalari, armiyaga yetkazib beruvchilar, shuningdek, ijtimoiy va siyosiy faollar.

“Biz olti yildan ortiq vaqtdan beri murakkab maqsadli hujumlarni o‘rganmoqdamiz va ishonch bilan aytishimiz mumkinki, so‘nggi paytlarda ular nafaqat ayg‘oqchilik, balki pul o‘g‘irlash uchun ham tobora ko‘proq foydalanilmoqda. Maqsadli hujumlar turli xil tashkilotlarga ta'sir qiladi va nafaqat davlat idoralari ularning qurboni bo'lishi mumkin. Buzg‘unchilarni qimmatli intellektual mulkka ega bo‘lgan yoki yirik moliyaviy aktivlarga ega bo‘lgan yirik kompaniyalar qiziqtiradi, dedi Kasperskiy laboratoriyasining Rossiya tadqiqot markazi rahbari Yuriy Namestnikov. “Bunday vaziyatda maqsadli hujumni erta aniqlash oʻzining maxfiy maʼlumotlarini saqlamoqchi boʻlgan har qanday tashkilot uchun juda muhimdir. Biroq, buni an'anaviy xavfsizlik echimlari bilan qilish juda qiyin, chunki tajovuzkorlar ko'pincha ahamiyatsiz usullardan foydalanadilar va o'z faoliyatini ehtiyotkorlik bilan yashiradilar. Shunday qilib, kompaniyalarga analitik xizmatlar yoki maqsadli hujumlarni aniqlash uchun maxsus echimlar yordam berishi mumkin.

Hujumlardan himoya qilish va oldini olish usullari

Maqsadli hujumlardan himoya qilishning asosiy vositalari bugungi kunda barcha turdagi anomaliyalarni (kod, buyruqlar, xatti-harakatlar va boshqalar) aniqlash vositalaridir. Bunda:

• Bitta kompyuter yoki umuman korporativ AT ichidagi anomaliyalarni aniqlash amalga oshirilgan, shuningdek qisman yoki to'liq amalga oshirilgan hujumlarni aniqlash maqsadida amalga oshiriladi.
• Ma'lum bo'lgan hujumlarni amalga oshirishning dastlabki bosqichlarida zararsizlantirish qobiliyatini ta'minlaydi - muammo hal qilinadi axborotni himoya qilish, bu aniqlangan anomaliyani hujumni amalga oshirish hodisasi sifatida aniq aniqlash va natijada qayd etilgan anomal hodisaga avtomatik javob berish imkoniyati bilan ta'minlanadi.
• Maqsadli hujumlar tahdidlarini o'z ichiga olgan noma'lum hujum tahdidlariga kelsak, anomaliyalarni aniqlash muqarrar ravishda birinchi (hodisalar yuzaki tahlilida) va 2-toifa (chuqur tahlilda) xatolar bilan bog'liq. Bunday holda, ayniqsa, chuqur tahlil bilan, aks holda anomaliyani aniqlash hech qanday ma'noga ega emas, aniqlangan anomaliyani hujum hodisasi sifatida aniq aniqlash texnologik jihatdan mumkin emas, buning natijasida ro'yxatga olingan hodisaga avtomatik javob beradi, bu faqat. ba'zi bir ehtimollik bilan hujum bo'lishi mumkin, shuningdek, mumkin emas . Bu holatda anomaliyalarni aniqlash vazifasi ma'lumotni himoya qilishdan emas, balki hujumni iloji boricha tezroq aniqlash maqsadida ro'yxatga olingan hujum faktini tegishli qo'shimcha tadqiqotlar o'tkazishdan iborat.
• Anomaliya hujum sifatida aniq aniqlangandan so'ng (hujum ma'lum bo'ladi va uning tahdidi endi maqsadli tahdid emas, balki ommaviy hujum tahdididir), anomaliya detektori tomonidan ushbu hujumga nisbatan axborotni himoya qilish allaqachon amalga oshirilgan.

Deyarli barcha sotuvchilar o'z liniyasida maqsadli hujumlardan himoya qilish vositasi sifatida joylashtirilgan mahsulotga ega. Bularga kiradi FireEye , Tekshirish nuqtasi , McAfee va hokazo. Maqsadli hujumlardan himoya qilish samaradorligini faqat foydalanilgan texnik vositalar bilan to'liq aniqlash mumkin emas.

“Agar texnik vositalar haqida gapiradigan bo'lsak, ularning samaradorligi kompaniya tomonidan qo'yilgan maqsad va vazifalar prizmasi orqali ko'rib chiqiladi, bu ma'lum bir muhitda pilot loyihalarning bir qismi sifatida eng yaxshi baholanadi. Har qanday yechim singari, maqsadli hujumlardan himoyalanadigan mahsulotlar ham kuchli va zaif tomonlariga ega”, - deydi Alina Sagidullina, bo'yicha maslahatchi axborot xavfsizligi kompaniyalar "LANIT-integratsiya".

Axborot xavfsizligi monitoringi markazlari maqsadli hujumlarga tezkor javob berish imkoniyatiga ega. Bunday markazlar axborot xavfsizligi tizimlari orqali hujumga uchragan tizim holatini har tomonlama tahlil qilishlari mumkin; monitoring qilinadigan tizimda axborot xavfsizligini tahlil qilishga qaratilgan mutaxassislar yordamida; murosaga kelish va ma'lumotlarning chiqib ketishi faktlarini kuzatishda; yirik axborot tizimlarini kümülatif tahlil qilish. “Bu bizga turli segmentlarda o‘xshash anomaliya belgilarini ko‘rish imkonini beradi axborot tizimi"- deydi Aleksey Kachalin.

Maqsadli hujumlardan himoya qilish texnologiyalari avval ham mavjud bo'lgan, ammo hozir ular yangi bosqichga ko'tarilmoqda. Avvalo, biz anomaliyalarni aniqlash uchun turli xil vositalar haqida gapiramiz - ikkalasi ham mahalliy kompyuterlar, va tarmoq faolligi darajasida. Bunday tizimlarning vazifasi zararli yilni qidirish emas, balki sodir bo'ladigan g'ayrioddiy narsalarni qidirishdir. Buning sababi shundaki, ko'p hollarda tajovuzkorlar zararli dasturlardan umuman foydalanmasligi mumkin.

“Ushbu tizimlarga faol rivojlanayotgan sinf qo'shildi SIEM– “Xavfsizlik ma’lumotlari va hodisalarni boshqarish”, bu sizga turli xil xavfsizlik tizimlaridan kiruvchi tizim hodisalarini birlashtirish imkonini beradi ( antiviruslar , xavfsizlik devorlari, emulyatorlar, marshrutizatorlar va boshqalar) va real vaqt rejimida sodir bo'lgan barcha o'zgarishlarni ko'ring, - deydi Aleksandr Gostev.

Nima uchun an'anaviy xavfsizlik tizimlari etarli emas

Maqsadli hujumlarning o'ziga xos xususiyati va ularga tayyorgarlik tufayli, masalan:

• ularni chetlab o'tish uchun qo'llaniladigan xavfsizlik choralarini batafsil o'rganish;
• noyob dasturiy ta'minotni yozish va uni maqsadli infratuzilmada tuzatish;
• salbiy fonni yaratmaydigan hujumlarda ishonchli, ammo buzilgan ob'ektlardan foydalanish;
• penetratsiyaga ko'p vektorli yondashuvni qo'llash;
• maxfiylik va boshqalar.

An'anaviy xavfsizlik echimlarining o'ziga xos texnologik cheklovlari tufayli:

• aniqlash faqat umumiy (oddiy) tahdidlarga, allaqachon ma'lum bo'lgan zaifliklarga va usullarga qaratilgan;
• detektorlarning yagona hodisalar zanjiriga o'rnatilgan taqqoslash va korrelyatsiyasi mavjud emas;
• normal faoliyatdagi og'ishlarni aniqlash va qonuniy dasturiy ta'minotning ishlashini tahlil qilish texnologiyalari mavjud emas.

Integratsiyalashgan yondashuv zarur

Aldash tuzoqlari

Yangi vositalar paydo bo'ldi va paydo bo'lishda davom etmoqda. Biroq, ularning samaradorligi to'g'ridan-to'g'ri sozlamalar sifatiga bog'liq. Ga binoan Yuriy Cherkas, himoya vositalarining asosiy texnologik yo'nalishlari:

• tashkilotning ish stantsiyalarini taqlid qiluvchi qum qutilari. Sandboxlarda Internetdan olingan fayllar ishga tushiriladi va tahlil qilinadi. Agar ishga tushirilgan fayl halokatli ta'sirga olib keladigan bo'lsa, unda bunday fayl zararlangan deb aniqlanadi;
• anomal tarmoq faolligini tahlil qilish (masalan, NetFlow asosida), bu joriy tarmoq faolligini tarmoq harakatining tuzilgan mos yozuvlar modeli bilan solishtirish orqali amalga oshiriladi. Misol uchun, ma'lum bir protokollar yordamida har doim ma'lum bir tarmoq resurslari bilan aloqa qiladigan kompyuter yoki server birdan ma'lumotlar bazalariga to'g'ridan-to'g'ri kirishga harakat qila boshlaydi;
• ish stantsiyalarining xatti-harakatlarini tahlil qilish, shuningdek, ish stantsiyalari faoliyatini mos yozuvlar modeli bilan taqqoslashga asoslangan. Farqi shundaki, bu tahlil tarmoq darajasida emas, balki agentlar yordamida ish stantsiyasining o'zi darajasida amalga oshiriladi. Yaqinda Windows jarayonlarini kuzatuvchi qiziqarli texnologiya paydo bo'ldi. dan chetga chiqqan taqdirda mos yozuvlar modeli jarayon Windows bloklanadi va shu bilan ekspluatatsiyaning halokatli ta'sir ko'rsatishiga yo'l qo'ymaydi.

“Nyuans shundaki, bu texnologiyalarning barchasi xatti-harakatlar tahlilini o'z ichiga oladi. Bunday holda, 1-toifa (noto'g'ri ijobiy) va 2-toifa (noto'g'ri salbiy) xatolar muqarrar, shuning uchun samaradorlik ko'p jihatdan ushbu echimlarni o'rnatgan va ishlatayotgan xodimlarning malakasiga bog'liq ", - deya ta'kidlaydi Yuriy Cherkas.

Aldash- bo'ylab tarqalib ketgan kamuflyajli to'r va o'ljalar tarmog'i IT infratuzilmasi

Aldash nima beradi

• Maqsadli va nol kunlik hujumlarni real vaqtda aniqlash
• Tajovuzkor faoliyatini “tuzoq” ga almashtirish orqali haqiqiy IT aktivlarini himoya qilish
• Qimmatli ma'lumotlarni to'lov dasturidan himoya qilish
• Hujumchilarning harakatlari to'g'risida sud-tibbiy ekspertiza to'plami
• Noto'g'ri ijobiy natijalar yo'q
• Agentlardan foydalanmaydi va foydalanuvchilarning tajribasiga va IT xizmatlariga ta'sir qilmaydi

natijalar

• Hujumchi profili
• Hujum paytida qo'llaniladigan batafsil usullar va vositalar
• Chuqur tahlil (xakerlar qanday maqsadlarni ko'zlaydilar, ular qanday ma'lumotlarni qidirmoqdalar)
• Xakerlik tarixi va xronologiyasi
• Buzg'unchilarning kelib chiqishi ularning IP manzillari va ma'lumotlariga asoslangan DNS

Hujumlardan etkazilgan zarar hatto qurbonlar uchun ham katta sirdir

Maqsadli hujumlardan haqiqiy zararni hisoblash mumkin emas: ko'ra ESET Xavfsizlik hodisalarining 66 foizi ko'p oylar davomida aniqlanmaydi. Kompleks aynan shu narsaga "moslashtirilgan". zararli dastur maqsadli hujumlar uchun: ma'lumotlarni o'g'irlash fonda sezilmasdan sodir bo'ladi.

Ko'p sonli hujumlar aniqlanmaydi. Aniqlanganda, ko'plab kompaniyalar voqea faktini yashirishga va uni ommaga oshkor qilmaslikka harakat qilishadi. IN Kasperskiy laboratoriyasi har hafta kamida bitta yuqori darajadagi maqsadli hujum butun dunyo bo'ylab ma'lum bo'lishiga ishonamiz. Aslida, haftada yuzdan ortiq bunday yuqori darajadagi hujumlar sodir bo'lishi mumkin.

Positive Technologies mutaxassislari hujumlar ulushining kamayganini qayd etdilar kriptovalyuta konchilari- tashkilotlarda 3% gacha va jismoniy shaxslarga qaratilgan kampaniyalarda 2% gacha. Bu fakt hujumchilarning bosqichma-bosqich o'tishi bilan bog'liq bo'lishi mumkin HPE, bu bir vaqtning o'zida bir nechta funktsiyalarni bajarishga qodir. Misol uchun, Clipsa troyan yashirincha "meniki" bo'lishi mumkin. kriptovalyuta, parollarni o'g'irlash, kripto hamyon manzillarini almashtirish, shuningdek, saytlarga nisbatan qo'pol kuch hujumlarini boshlash. WordPress.

Zararli dasturlarni yuqtirishlar soni ortib bormoqda. Yuridik shaxslarga qilingan hujumlarning to'rtdan uch qismi va jismoniy shaxslarga qilingan hujumlarning 62 foizi turli xil infektsiyalar bilan birga kelgan. zararli dastur. Kompaniya infratuzilmasini yuqtirish odatda fishing elektron pochtasi bilan boshlangan bo'lsa-da, jismoniy shaxslar ko'pincha buzilgan veb-resurslarga tashrif buyurish natijasida qurbon bo'lishadi (jismoniy shaxslarga qilingan hujumlarning 35 foizida).

Positive Technologies mutaxassislari, shuningdek, yoz oxirida, bir necha oylik xotirjamlikdan so'ng, eng kattalaridan biri ekanligini aniqladilar. botnetlar Emotet deb nomlangan dunyoda. Botnet operatorlari zararli dastur ostida xizmat (MaaS) sxemasi sifatida ishlaydi va taqdim etadi kiber jinoyatchilar kirish Kimga kompyuterlar, Emotet bilan zararlangan, boshqa zararli dasturlar, masalan, Trickbot yoki Ryuk tomonidan keyingi infektsiyasi uchun.

Tadqiqotchilarning fikricha, tashkilotlarga qilingan kiberhujumlarning aksariyati haqidagi ma’lumotlar obro‘-e’tiborga oid xavflar tufayli ommaga oshkor etilmaydi.

Ijobiy texnologiyalar: sanoat va yoqilg'i-energetika sohasida APT hujumlarining xususiyatlarini tahlil qilish

Ijobiy texnologiyalar: moliyaviy institutlarga hujum qilishda qo'llaniladigan APT usullari

O‘tgan yilga nisbatan IT-menejerlar uchun asosiy uchta ustuvor yo‘nalishda keskin o‘zgarishlar yuz berdi. Respondentlarning 41 foizi ma'lumotlarni maqsadli hujumlardan himoya qilishni asosiy vazifa deb atadi. Bir yil oldin ushbu element IT menejerlari uchun ustuvorliklar ro'yxatida yo'q edi. Avvalo, o‘rta biznes (43 foiz) va yirik korxonalar (38 foiz) vakillari maqsadli hujumlardan himoyalanishni ustuvor vazifa deb atashgan. Kichik biznesni maqsadli hujumlar masalasi unchalik qiziqtirmaydi (32%).

Maqsadli hujumlar birinchi marta 2009 yilda jahon hamjamiyatida faol muhokamalar mavzusiga aylandi. Keyin Stuxnet hujumi ma'lum bo'ldi. Ehtimol, bu erda boshlangan deb aytishimiz mumkin yaqin tarix maqsadli kiberhujumlar. Ushbu turdagi kiberjinoyat nima va bunday hujumlar qanday sodir bo'lishi haqida bizning materialimizda batafsilroq o'qing.

Maqsadli hujumlar nima?

Maqsadli (yoki maqsadli) hujumlar - bu muayyan davlat yoki nodavlat tashkilot yoki tashkilotga qarshi oldindan rejalashtirilgan harakatlar. Qoidaga ko‘ra, maqsadli hujumlarni amalga oshiruvchi kiberjinoyatchilar professional bo‘lib, ularni talab bo‘yicha avtomobillarni o‘g‘irlaydigan an’anaviy tajovuzkorlar bilan solishtirish mumkin: ular aniq nishonga ega, ularni muvaffaqiyatli chetlab o‘tish uchun avtomobilning xavfsizlik choralarini o‘rganadilar.

Bugungi kunda xakerlar faoliyati an'anaviy biznesning tobora ko'proq xususiyatlarini o'zlashtirmoqda. Bozorda o'ziga xos "qora bozor" mavjud - ma'lum bir kompaniyaning IT infratuzilmasiga hujum qilish uchun zarur bo'lgan dasturiy ta'minotni sotish uchun soyali sxemalar va joylar. Internetda osongina topish mumkin bo'lgan qat'iy narxlar mavjud.

Siz hatto allaqachon yaratilgan mahsulot qatorlarini topishingiz mumkin: kiberjinoyatchi "kompaniyalar" savdo hunisini kengaytirmoqda, turli maqsadli segmentlarni hisobga olgan holda echimlarning individual modifikatsiyalarini tayyorlamoqda. Botnetlar uchun narxlar mavjud va troyanlarning yangi versiyalari faol ravishda e'lon qilinmoqda. Siz hatto maqsadli hujumni xizmat sifatida sotib olishingiz mumkin. Kiberhujumchilar o'zlarining rivojlanish rejalarini yaratadilar, ular ham faol ravishda e'lon qilinadi.

E'lonlar, qoida tariqasida, yopiq manbalarda beriladi, - deydi Andrey Arefiev, InfoWatch mahsulot ishlab chiqish bo'yicha menejeri. – Biroq, shunga qaramay, zamonaviy botnet sanoati to'liq tijorat mahsulotlarining barcha xususiyatlariga ega, deb aytishimiz mumkin. Mustaqil tadqiqotlarga ko'ra, so'nggi yillarda botnetlarni yaratish uchun foydalaniladigan yordamchi dasturlar soni o'n baravar ko'paygan.

Bundan tashqari, so'nggi yillarda hujumlarning tabiati sezilarli darajada o'zgardi: ular juda murakkablashdi. Bugungi hujumlar yanada kengaydi: hujum qiluvchi tomon kompaniyaning o‘z infratuzilmasiga moslashishga va hujumni imkon qadar ko‘rinmas holga keltirishga harakat qilmoqda. Hujum imkon qadar kechroq aniqlanishi yoki umuman aniqlanmasligi kerak. Shuning uchun, bunday hujumlar, qoida tariqasida, vaqt o'tishi bilan uzaytiriladi va faqat o'zini faol namoyon qilish vaqti kelganida sezilarli bo'ladi.

IT infratuzilmasiga maqsadli hujumlar quyidagi xususiyatlarga ega:

• Ular kompaniyada mavjud bo'lgan xavfsizlik tizimini o'rganadilar va uni chetlab o'tadilar.
• Hujumlarning tabiati ko'p bosqichli bo'ldi: ular kotibning kompyuterida boshlanishi mumkin va yakuniy maqsad buxgalterning kompyuteri bo'ladi - masalan, tajovuzkorlarning vazifasi u erda zararli dasturlarni o'rnatish bo'lishi mumkin.

Vaqtinchalik natija sifatida shuni ta'kidlash mumkinki, agar siz kompaniyaning IT infratuzilmasiga hujumning ko'rinadigan belgilarini ko'rmasangiz, bu unga hujum qilinmayapti degani emas", - deya xulosa qiladi Andrey Arefiev.

Maqsadli hujumlarga misollar

Bir qator ochiq manbalarga ko'ra, troyan virusi dasturini joriy qilish uchun "kirish nuqtasi" ko'pincha kompaniyaning sodiq bo'lmagan xodimlarining ichki faoliyati hisoblanadi. Shunga o'xshash misolni yaqinda Eronda ham ko'rish mumkin edi.

Bu hujumdan asosiy maqsad Eron yadroviy dasturini cheklash edi. Ma'lumki, suveren davlat tomonidan yadro sentrifugalarini boyitish nazorati ostida, bir qator ob'ektlar favqulodda holat rejimiga o'tkazildi. Santrifugalar tezda buzildi va ularni ta'mirlash vaqt va pul talab qildi, shuning uchun uranni boyitish kechiktirildi. Biz aniqlaganimizdek, bu hujum oldindan rejalashtirilgan, amalga oshirilgan va uzoq vaqt davomida amalga oshirilgan.

Hujumning maqsadi jihozlarni o'g'irlash emas, balki sanoat ob'ektlarini nazorat qilish edi. Agar kimdir AESni boshqarishni boshlasa, nima bo'lishini tasavvur qilish qo'rqinchli: uni favqulodda holatga o'tkazish, hech bo'lmaganda, ikkinchi Chernobil bilan tahdid soladi...

Biroq, nafaqat strategik muhim ob'ektlar va yirik davlat tashkilotlari hujumchilar nishoniga aylanadi. Yaqinda biznes tashkilotining bir egasi buni shaxsan ko'rish imkoniga ega bo'ldi. Ular kontaktdagi zaifliklardan foydalangan holda kompaniya serverini yuqtirishga harakat qilishdi – kompaniya egasining baxtiga faqat buxgalterning kompyuteriga hujum qilingan.

Zararli dastur - bu zaifliklar orqali maxfiy ma'lumotlarga ruxsatsiz kirish imkonini beruvchi dastur. Bunday dasturlar odatda korporativ tarmoqqa asosiy kirishni olish uchun ishlatiladi. Odatda, tizimni in'ektsiya qilish tizim qayta ishga tushirilganda ma'lumotlarga kirishni anglatadi. Bajariladigan modulning "ro'yxatga olinishi" har safar uni qayta ishga tushirishdir.

Zararli dasturiy ta'minot kompaniya xodimining kompyuterida nafaqat uning zararli niyati, balki xakerlar tomonidan qo'llaniladigan ijtimoiy muhandislik natijasida ham paydo bo'lishi mumkin (masalan, kiber jinoyatchi jabrlanuvchidan ma'lum bir havolaga rioya qilishni yoki uchinchi manzilga tashrif buyurishni so'rashi mumkin). partiya resursi).

Natijada, jabrlanuvchi hujumga tayyor bo'ladi va tajovuzkorlar unga kirish huquqiga ega bo'ladilar operatsion tizim xodimning ish kompyuteri. Endi siz tashkilotingiz kompyuterlari ustidan nazoratni qo'lga kiritish uchun zararli fayllarni ishga tushirishingiz mumkin. Yuqorida sanab o'tilgan harakatlar "nol kunlik hujumlar" deb ataladi.

Qaysi ma'lumotlar ko'pincha o'g'irlanadi?

Bu ko'p jihatdan kompaniyaning profiliga bog'liq. Hackerlarning maqsadi sanoat sirlari va yopiq rejaning strategik ishlanmalari, to'lovlar va shaxsiy ma'lumotlar bo'lishi mumkin. Qizig'i shundaki, tadqiqot natijalariga ko'ra, respondentlarning 63 foizi o'z kompaniyasiga maqsadli hujum qilish faqat vaqt masalasi ekanligini tushunishadi.

Maqsadli hujumlarni aniqlash usullari:

Imzo tahlili.

Imzo tahlilini o'tkazish, tahlilchilarda virus bilan zararlangan fayl borligini anglatadi. Bunday o'rganish zararli dastur undan imzoni (raqamli barmoq izi) olib tashlash imkonini beradi. Imzo ma'lumotlar bazasiga kiritilgandan so'ng, siz imzolarni taqqoslash orqali faylni ushbu virus bilan yuqtirganligini tekshirishingiz mumkin. Imzo tahlilining afzalligi shundaki, u hujumni aniq tashxislash imkonini beradi. Agar mos keladigan imzoga ega fayl bo'lsa, biz ishonch bilan aytishimiz mumkinki, kompyuter ta'sir qiladi.

Imzo tahlili bir qator afzalliklarga ega:

• U nafaqat viruslarni tekshirish, balki tizim trafigini filtrlash uchun ham ishlatilishi mumkin.
• Siz shlyuzda "o'tirishingiz" va ba'zi tasdiqlanmagan imzolar mavjudligini kuzatishingiz mumkin.
• Bu sizga katta aniqlik bilan hujumlarga qarshi kurashish uchun diagnostika tizimlarini amalga oshirish imkonini beradi.

Imzolarni tahlil qilishning muhim kamchiliklari imzolar bazasini yangilash zarurati hisoblanadi. Aksariyat kompaniyalar imzolar bazasini har 15 daqiqada yangilashga majbur. Shu bilan birga, har yarim soatda a yangi virus. Keyinchalik uni ro'yxatdan o'tkazish va o'rganishning uzoq jarayoni keladi va shundan keyingina imzo ma'lumotlar bazasiga kiritiladi. Shu paytgacha kompaniya yangi virusga qarshi himoyasiz edi.

Ilgari aniqlangan zararli dasturlarni o'rganishning yana bir usuli evristik tahlildir.

Evristik tahlilning vazifasi bajariladigan kodni viruslar faoliyatiga xos bo'lgan shubhali faollik mavjudligini tekshirishdan iborat. Ushbu texnika yaxshi, chunki u hech qanday ma'lumotlar bazasining dolzarbligiga bog'liq emas. Biroq, evristik tahlilning ham kamchiliklari bor.

Barcha asosiy antiviruslar ma'lum va hamma foydalanishi mumkinligi sababli, xakerlar yozma dasturiy ta'minotni sinab ko'rishlari va barcha ma'lum antivirus himoya vositalarini chetlab o'tmaguncha o'zgartirishlari mumkin. Shunday qilib, asosiy evristik algoritmlarning samaradorligi hech narsaga kamayadi.

Maqsadli hujumlarni aniqlashning yana bir usuli, an'anaviy imkoniyatlardan tashqari, trafikni filtrlash imkonini beruvchi yangi avlod xavfsizlik devorlaridan foydalanishni o'z ichiga oladi. Xavfsizlik devorlarining asosiy kamchiliklari ularning haddan tashqari "shubhaliligi" bo'lib, ular ko'p sonli noto'g'ri pozitivlarni keltirib chiqaradi. Bundan tashqari, xavfsizlik devori aldash mumkin bo'lgan texnologiyalardan foydalanadi (qumboks, evristik tahlil va imzo tahlili).

Ilovalarni ishga tushirish uchun boshqa himoya usuli ham mavjud. Uning g'oyasi juda oddiy: stantsiya faqat ishga tushishi mumkin individual ilovalar(bu WhiteListening deb ataladi). Salbiy tomoni shundaki, bunday " Oq ro'yxat» foydalanuvchiga kerak bo'lishi mumkin bo'lgan har bir ilovani o'z ichiga olishi kerak. Amalda, bu usul, albatta, juda ishonchli, ammo juda noqulay, chunki u ish jarayonlarini sekinlashtiradi.

Nihoyat, InfoWatch Targeted Attack Detector mahsulotida qo‘llaniladigan dinamik hujumni aniqlash uchun yaqinda ishlab chiqilgan texnologiya mavjud, deydi Andrey Arefiev. - Bu texnologiya tajovuzkorlarning harakatlari muqarrar ravishda korporativ AT tizimlarini modifikatsiyasiga olib kelishiga asoslanadi. Shuning uchun InfoWatch yechimi vaqti-vaqti bilan tashkilotning AT tizimini skanerlaydi, muhim ob'ektlar holati haqida ma'lumot to'playdi. Qabul qilingan ma'lumotlar o'tgan skanerlash natijalari bilan taqqoslanadi, so'ngra anomaliyalar mavjudligini aniqlash uchun sodir bo'lgan o'zgarishlarning aqlli tahlili o'tkaziladi. Noma'lum zararli dastur aniqlanganda, kompaniya tahlilchisi uning xatti-harakatlarini va korxona infratuzilmasiga mumkin bo'lgan zararni tahlil qilishda ishtirok etadi.

- Qaysi bosqichda hujumni maqsadli deb tasniflash mumkin?

Aslida, anomaliyalarni aniqlash sizning tizimingiz noto'g'ri ketayotganining asosiy belgisidir va kompaniya hujum ostida ekanligining bilvosita belgisidir. Bundan tashqari, hujum qizil oktyabr darajasidagi virusni o'z ichiga olishi shart emas. Amaliyot shuni ko'rsatadiki, vaqti-vaqti bilan yuboriladigan kichik troyan etarli. Aslida, bu aniq kiberhujumchilarga pul olib kelish uchun etarli.

Umuman olganda, maqsadli hujumlar ekanligini ta'kidlashni istardim kuchli vosita yirik davlat va tijorat tashkilotlarining korporativ siyosatiga ta’sir o‘tkazish. Shuning uchun ham bu turdagi kiberjinoyatlarga qarshi tizimli va ehtiyotkorlik bilan kurashish zarur.

Elena Xarlamova