РЕШЕНИЯ КРОК ДЛЯ ПРОТИВОДЕЙСТВИЯ НАПРАВЛЕННЫМ АТАКАМХарактеристики направленной атаки

• Организованность. Злоумышленники объединены в профессиональную группу, каждый участник является специалистом в своей области. Как правило, атакующие действуют по заказу и мотивированы финансово.

• Цель атаки ‒ вывод из строя промышленных, информационных и прочих систем, важные данные (корпоративные секреты и ноу-хау, исходный код бизнес-приложе-ний, переписка топ-менеджмента).

• Использование неизвестных угроз. Злоумышленники используют уязвимости «нуле-вого дня» (слабые места в информационных системах, еще не устраненные обнов-лениями), методы социального инжиниринга, позволяющие проникнуть за периметр информационной безопасности с использованием знаний человеческой психологии.

• Упорство злоумышленников. При обнаружении и пресечении атаки попытка повто-ряется с другого фронта, пока преступники не добьются нужного им результата.

• Скрытность. Главный приоритет взломщиков — максимально длительное сохранение контроля над скомпрометированной системой, поэтому они тщательно зачищают все следы вторжения.

Структура направленной атаки и способы противодействия

Разведка и сбор данных. Злоумышленники сканируют социальные сети, особенно профессиональные (например, LinkedIn), составляя иерархию организации с именами сотрудников и их связями. Параллельно техническими способами исследуется архитектура сетей, собирается информация об оборудовании и софтверных решениях, в особенности средствах защиты. Для отвлечения специалистов ИБ зачастую запускается мощная DDoS-атака, которая помогает скрыть хирургические движения по настоящему вектору атаки.

Современный ландшафт киберугроз значительно отличается от ситуации, происходившей 5–10 лет назад. Связка антивируса и межсетевого экрана (firewall) уже не может обеспечить адекватную информационную без-опасность, поскольку эти средства борются только с известными угрозами. Сегодня же основную опасность представляют угрозы неизвестные, подготовиться к которым значительно сложнее. Эта новая парадигма получила название про-двинутых постоянных угроз (advanced persistent threats, APT), или направ-ленных атак.

БИЗНЕС-ПРИЛОЖЕНИЯ14.15 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Эффективно противостоять злоумышленникам на этом этапе позволя-ют сетевые экраны нового поколения (Next Generation Firewall, NGFW). В отличие от традиционных файрволлов и систем обнаружения/предот-вращения атак (Intrusion Prevention System, IPS), они способны опреде-лить медленное сканирование, которое осуществляется в течение дли-тельного времени и с большого количества зараженных хостов. NGFW позволяют связывать между собой события в сети, сопоставлять части атак и видеть полную картину. Так, к примеру, можно вовремя заметить внезапную активность сотрудника в ночное время, аномальные запросы к информационным системам и так далее.

Вторжение. Зловредное приложение догружает или дособирает основные модули и начинает распространение с захваченного узла, постепенно увеличивая свое влияние и привилегии в сети. Вредоносное ПО, как правило, создается специально для данной атаки и потому не попадает в сигнатурные базы антивирусных разработчиков. Поэтому в дополнение к стандартным средствам защиты необходимо использовать инновационные методы ‒ «ловушки» и «песочницы».

«Ловушки» ‒ это псевдоуязвимые сервисы внутри сети, призванные принять на себя атаку и поднять тревогу. «Песочницы» создают для зловредного ПО изолированную среду, которая симулирует обычное рабочее окружение пользователя и изучает поведение приложения, используя целый набор разных методов и визуализируя процессы в по-нятном интерфейсе.

Уязвимости интернет-сервисов зачастую скрываются в веб-приложениях. Для их защиты используются специализированные средства, которые анализируют входящий и исходящий трафик и опре-деляют стандартный профиль запросов к веб-серверу. Любое действие злоумышленника, к примеру, попытка обхода процедур авторизации, приводит к отклонению от шаблона и запускает сигнализацию.

Закрепление влияния. После проникновения в сеть злоумышленник активно анализирует сетевое окружение, пытается получить доступ к базам данным, общедоступным данным на файловых серверах, получить доступ к прикладному программному обеспечению, подавляется деятельность защитных средств, и зловредное ПО получает необходимый для решения задачи контроль.

Традиционные средства обнаружения такой активности включают в себя IPS- и SIEM-системы (security information and event management, мониторинг информационной безопасности). Однако в ходе направ-ленной атаки злоумышленник может использовать ряд техник сокрытия своего присутствия. К примеру, перебор паролей может осуществлять-ся в течение длительного времени, что позволяет обойти системы, которые сравнивают активность хостов с неким порогом срабатывания. Также злоумышленник может использовать шифрование, уязвимости в прикладном ПО. Таким образом, невозможно заранее предсказать, как он будет работать, и создать соответствующие сигнатуры.

Поэтому для эффективного противодействия необходимо использо-вать косвенные признаки присутствия. Так, например, специализиро-ванные модули SIEM-систем позволяют создать профиль взаимодей-ствия хостов внутри сети и вовремя обнаружить нетипичные запросы к каким-либо ресурсам.

14.15

ПРЕИМУЩЕСТВА КРОК

Широкая компетенция. КРОК работает на рынке информационных технологий с 1992 года. КРОК признан лидером на рынке системной интеграции (ежегод-ные отчеты IDC, 2002–2013 гг.). Компе-тенция компании ‒ все элементы инфор-мационной и телекоммуникационной инфраструктуры и интеграционные связи между ними. КРОК создает динамиче-ские инфраструктуры, которые позво-ляют гибко подстраиваться под текущие и стратегические потребности бизнеса.

В области информационной безопас-ности КРОК предлагает полный спектр услуг от аудита информационных систем и создания корпоративной политики ИБ до внедрения, интеграции и поддержки технических решений. Компания создает системы для управления идентифика-ционными данными и доступом (IAM), строит ситуационные и аутентифика-ционные центры, обеспечивает сете-вую безопасность и фильтрацию web-трафика, защищает корпорации от утечек информации (DLP), мошенников (anti-fraud) вирусов и спама, помогает контро-лировать целостность программных сред и доступ к периферийным устройствам и приложениям.

Качество реализации проектов по ин-формационной безопасности. Специа-листы компании КРОК имеют значитель-ный опыт проектирования и внедрения решений по информационной безопас-ности для государственных учреж-дений, государственных корпораций, финансовых, транспортных компаний, предприятий нефтегазовой и атомной отрасли и энергетического комплекса, ритейла, операторов связи, организа-ций здравоохранения и промышленных предприятий. Используя современные методики анализа рисков и передовой опыт отечественных и международных компаний, специалисты КРОК подбира-ют для каждой организации оптимальный набор решений, адекватный существую-щим рискам.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ИСПОЛЬЗУЕМЫЕ РЕШЕНИЯ Извлечение данных. Для поиска информации, как правило, заражается некий промежуточный сервер для хранения данных, куда взломщик собирает все, что требуется извлечь из сети. Промежуточный сервер сегментирует данные, архивирует их, шифрует и пересылает наружу.

На этом этапе обнаружить взлом помогают инструменты анализа сете-вых потоков. Используя сырую информацию (статистику, трафик), они формируют профиль поведения сетевых объектов с использованием продвинутых статистических и математических технологий и сигнали-зируют при обнаружении аномалий. Например, анализируя информа-ционные потоки, проходящие через сетевое оборудование компании, система сообщит о передаче большого объема данных либо использо-вании нестандартных портов.

Удержание влияния. Получив нужные данные, злоумышленники скрывают следы вторжения и сводят свое влияние к минимуму. Все активные компоненты зловреда удаляются, кроме небольшой закладки, которая при необходимости способна восстановить приложение или загрузить код извне.

При обнаружении подобной закладки или других свидетельств вторже-ния крайне важно собрать доказательства атаки. Специализированные решения могут сделать слепок ИТ-инфраструктуры, создать подробный отчет на текущее число и закрыть его цифровой подписью. В мировой судебной практике уже есть опыт применения подобных материалов в качестве улик на процессе.

ПРОЕКТНЫЙ ОПЫТ

Крупная государственная организация

Внедрение межсетевого экрана нового поколения (NGFW)

Цель проекта: создать систему, способную противостоять современ-ным кибер-угрозам.

Специалисты КРОК внедрили NGFW-решение последнего поколения, которое обеспечивает высокий уровень доступности систем, повыша-ет управляемость информационной защиты и борется с попытками ее обхода.

Основные преимущества:

• настройка правил на уровне конкретных пользователей и приложе-ний, а не IP-адресов и портов, как с традиционными средствами;

• обнаружение обращений зловредного приложения к серверам злоу-мышленников в ходе медленного сканирования или с использовани-ем множества хостов;

• гибкая настройка прав пользователей в удобном интерфейсе;• наличие у решения сертификата ФСБ.

• Межсетевые экраны нового поколе-ния (Check Point, Stonesoft, HP Tipping Point).

• Системы обнаружения потенциально опасных файлов («песочницы») (Check Point, McAfee, Fire Eye).

• Специализированные средства за-щиты web-приложений (WAF) (Imperva Secure Sphere WAF, Radware AppWall, Fortinet Fortiweb).

• Системы обнаружения аномалий в сетевом трафике (Stealth Watch, RSA NetWitness, Solera Networks).

• Системы анализа и оптимизации настроек firewall-инфраструктуры (Algosec, Tufin, RedSeal, SkyBox).

• Аудит безопасности кода (HP Fortify, Digital Security ERP Scan Check Code).

• Защита от мошенничества при до-ступе к системам интернет-банкинга (Versafe).

• Цифровое расследование инцидентов ИБ (AccessData).

• Система защиты от DDoS (аппаратное обеспечение ‒ Radware Defense PRO, ARBOR PRAVAIL, Check Point DDoS Protector; сервис ‒ Kaspersky DDoS Prevention, QRATOR HLL).

111033, Москва, ул. Волочаевская, д.5, к.1, Т: (495) 974 2274 | Ф: (495) 974 2277E-mail: info@croc.ruslideshare.net/croc-librarycloud.croc.rucroc.ru

08 | 15 | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ПАРТНЕРЫ КРОК

Arbor Networks.КРОК ‒ Официальный партнер.Check Point. КРОК ‒ Золотой партнер.HP. КРОК — Платиновый партнер.McAfee. КРОК ‒ Официальный партнер.Qrator Labs. КРОК ‒ Официальный пар-тнер.Radware. КРОК ‒ Сертифицированный партнер.RSA. КРОК ‒ Бизнес-партнер.Stonesoft. КРОК ‒ Официальный пар-тнер.Лаборатория Касперского. КРОК ‒ Enterprise Business Partner.

КРОК входит в состав Сообщество поль-зователей стандартов ЦБ РФ по обеспе-чению информационной безопасности

организаций бан-ковской системы РФ (Сообщество ABISS). КРОК также является аудитором по требо-ваниям Стандарта без-опасности платежных банковских карт (PCI DSS QSA) и участ-ником партнерской программы BSI «Ассо-

циированная программа консультантов BSI», подтверждающей высокий статус специалистов компании по внедрению систем менеджмента по направлениям «Информационная безопасность» (ISO 27001), «Непрерывность бизнеса» (ISO 22301), «Управление ИТ-сервисами» (ISO 20000-1).

ПРЕИМУЩЕСТВА КРОККрупный коммерческий банк

Оптимизация настроек сетевых средств доступа

Цель проекта: упорядочить управление разрозненным парком сетевого оборудования, настроить правила в соответствии с лучшими мировыми практиками ИБ.

Заказчик получил возможность меньше чем за час проводить мониторинг всей своей разветвленной ИТ-инфраструктуры, проверять ее на соот-ветствие различным российским и международным стандартам (PCI DSS и др.), автоматически получать практические рекомендации для достиже-ния требуемого уровня защиты.

Основные преимущества:

• назначение правил работы устройств, расстановка приоритетов, регу-лировка настроек в едином окне интерфейса;

• централизованное управление устройствами от производителей.

Крупный российский коммерческий банк

Внедрение системы мониторинга и корреляции событий информационной безопасности

Цель проекта: повышение защищенности информационных активов.

Система построена на базе НP ArcSight Enterprise Security Manager.

Основные преимущества:

• централизованные, автоматизированные сбор, корреляция и агрегация событий ИБ различных объектов мониторинга ИТ-инфраструктуры банка, обеспечивающих функционирование процес-синговой системы;

• наладка процесса оперативного мониторинга состояния ИБ;• снижение времени реагирования на инциденты ИБ за счет исполь-

зования средств визуализации и инструментария поиска связанных событий информационной безопасности;

• создание технологической базы для реагирования на инциденты ИБ и их расследования;

• минимизация рисков ИБ за счет создания технической базы для опти-мизации процесса управления инцидентами ИБ.