Расширенный

Расширенный поиск

Автор

Статьи по теме: «Информационная безопасность»

Технологии обнаружения компьютерных атак

Для противодействия сложным хакерским атакам уже недостаточно применять средства антивирусной защиты и межсетевые экраны, необходимо использовать технологии обнаружения, учитывающие самые современные подходы. В настоящей статье не будут рассматриваться средства и способы защиты информации, речь пойдет про основные современные технологии обнаружения компьютерных атак.

Содержание:

Введение

Мировое сообщество каждый день сталкивается с новыми вызовами в киберпространстве. Для достижения своих целей хактивисты совершенствуют свой инструментарий и разрабатывают новые способы для обхода средств защиты и мониторинга. Угрозы кибербезопасности могут исходить от самых различных лиц и групп. Это могут быть лица, которые проводят атаки ради развлечения, а могут быть крупные группировки с распределенной сетью (организованная преступность), которые действуют с целью получения выгоды. Зарабатывают хакерские группировки разными способами:

  • вымогательство после заражения вирусом-шифровальщиком;
  • продажа украденной информации на теневых рынках;
  • незаконный вывод денежных средств с банковских счетов;
  • выполнение взломов на заказ и другие способы.

Обнаружение на ранней стадии развития атаки позволит предотвратить нанесение крупного ущерба.

История развития технологий обнаружения компьютерных атак

За последние 30 лет способы обнаружить действия злоумышленника существенно усовершенствовались. Если раньше хакеров ловили через завербованных информаторов, то сейчас поиск следов компрометации осуществляется средствами интеллектуального обнаружения и автоматизированного анализа. Во времена первых вредоносных кампаний обнаружить зловредное программное обеспечение помогали антивирусные решения, которые использовали сигнатуры (образцы вирусного кода). Затем в средствах антивирусной защиты появляются более интеллектуальные технологии – эвристический способ обнаружения и поведенческий анализ. На примере развития антивирусных средств, то же самое можно сказать и про другие способы обнаружения компьютерных атак, основанных на аномалиях в сетевом трафике и в цифровых событиях различных ИТ-систем. С появлением новых технологий обработки и использования данных, а также создания средств автоматизации бизнес-процессов, появляются и новые угрозы. Развитие техник и тактик атакующих, появление новых угроз и уязвимостей является драйвером развития технологий обнаружения компьютерных атак, применяемых на разных уровнях информационных инфраструктур: от физического до прикладного. Но одновременно говорит о том, что технологии появляются постфактум компьютерных атак.

Современные решения для обнаружения компьютерных атак

В настоящее время технологии обнаружения компьютерных атак активно развиваются производителями различного программного обеспечения. Основными инструментами, которые закладывают в свои продукты разработчики программного обеспечения (ПО), являются мониторинг, обнаружение и анализ происходящих в информационных системах изменений. Решения приобретают более комплексный характер и сочетают в себе различные инструменты.

В некоторых организациях используются лишь базовые средства защиты, которых, в большинстве случаев, оказывается недостаточно для своевременного выявления сложных целенаправленных атак и полноценного анализа произошедших событий.

Рассмотрим классы средств обнаружения, которые появились за последнее время.

Межсетевые экраны нового поколения (NGFW)

На смену традиционным межсетевым экранам, принцип действия которых заключался, в основном, в пакетной фильтрации и контроле сетевых соединений, пришли решения нового поколения. Класс решений появился достаточно давно, но рассматривать его в стеке современных технологий обнаружения также стоит. Межсетевые экраны нового поколения сочетают в себе функции как классического межсетевого экрана, так и более продвинутые технологии, которые могут в разном сочетании применяться в NGFW:

  • функции межсетевого экрана прикладного уровня (WAF);
  • сигнатурный анализ трафика для обнаружения угроз и их блокирования (IPS);
  • полнотекстовый анализ (инспекция) трафика, зашифрованного протоколами различного уровня;
  • возможности по ограничению и приоритезации трафика - Quality of Service (QoS);
  • поведенческий анализ файлов в изолированной среде («песочницы»);
  • регулярные обогащения данными об актуальных угрозах (репутационные списки, индикаторы компрометации и т.п.).

Кроме того, в состав NGFW, в зависимости от производителя и конфигурации, могут быть включены функции по защите от атак на DNS, защита от spyware (программа-шпион для несанкционированного сбора информации или изменения настроек), контроль соединений с бот-сетями и другие дополнительные функции.

Если резюмировать, NGFW – это устройство с контролем трафика уровня приложений, встроенной системой обнаружения вторжений и идентификации пользовательской принадлежности трафика.

На практике, например, в рамках обнаружения и защиты от фишинговых рассылок, NGFW проверяет веб-ссылки, поступающие на электронные почтовые ящики, и блокирует их в том случае, если они ведут на вредоносные ресурсы. Проверка происходит в соответствии с репутационными списками и базами индикаторов компрометации. Кроме того, межсетевые экраны нового поколения могут анализировать вложения, рассылаемые в сообщениях и по электронной почте, а также блокировать их, если они содержат вредоносный код. Существует множество сценариев обнаружения атак с помощью устройств NGFW.

Системы мониторинга событий безопасности (SIEM)

Решения класса Security Information and Event Management (SIEM) предназначены для мониторинга событий, поступающих от различных информационных систем и приложений. ИБ-решения данного класса позволяют выполнить следующие задачи:

  • сбор и анализ больших объемов событий безопасности;
  • мониторинг текущего состояния средств защиты IT-инфраструктуры;
  • обнаружение компьютерных инцидентов в режиме реального времени;
  • получение полной картины происходящего в ИТ-инфраструктуре;
  • обнаружение и реагирование на сбои в работе IT- и ИБ-систем;
  • построение карты сети для прогнозирования цепочек атак;
  • получение данных для анализа и оценки риска в реальном времени;
  • выполнение отдельных требований и нормативных актов законодательства Российской Федерации в сфере мониторинга событий информационной безопасности (ИБ).

Часто злоумышленники проникают и закрепляются в инфраструктуре и при этом остаются незамеченными в течении долгого времени. Целью таких проникновений является незаметная для администраторов и специалистов по ИБ компрометация данных или же подготовка и организация атак на критические узлы инфраструктуры изнутри. Для более эффективного выявления инцидентов и борьбы с подобными проникновениями в целевую систему важно, чтобы решения класса SIEM позволяли проводить ретроспективный анализ событий, используя самые актуальные сведения об угрозах (фиды, индикаторы компрометации, экспертные правила корреляции и т.п.).

Принцип работы решений класса SIEM заключается в сборе всевозможных логов (событий) от различных устройств как на уровне программного обеспечения, так и на уровне аппаратных компонент. Далее все события приводятся к единому формату для последующего анализа. Совокупность событий (корреляция), связанных с одним и тем же элементом инфраструктуры, может свидетельствовать о кибератаке.

SIEM позволяет увидеть более полную картину происходящего в ИТ-инфраструктуре и, кроме того, проанализировать сетевую достижимость тех или иных узлов. Благодаря тщательному анализу и корреляции данных из различных источников, SIEM выявляет инциденты там, где традиционные средства обнаружения, работающие по отдельности, действуют не всегда эффективно.

Типовые сценарии использования SIEM:

  • отслеживание случаев заражения элементов информационных систем, обнаружение вредоносного программного обеспечения (ВПО), которое использует исходящие журналы межсетевого экрана, журналы веб-прокси, внутренние журналы подключения и т.д.;
  • отслеживание системных изменений и других административных действий во внутренних системах и их соответствия разрешенной политике;
  • мониторинг аутентификации, а также компрометации учетных записей пользователей;
  • контроль соблюдения политик ИБ.

Системы анализа сетевого трафика (NTA)

Решения класса Network Traffic Analysis (NTA) предназначены для выявления сетевых атак, перехвата и анализа сетевого трафика. Данный класс систем помогает обнаружить присутствие злоумышленников на ранней стадии атаки, оперативно локализовать угрозы, а также обеспечить контроль соблюдения регламентов ИБ.

В отличии от стандартных сетевых анализаторов (IDS/IPS), NTA-системы анализируют трафик не только на периметре, но и в ИТ-инфраструктуре. Данный класс решений имеет возможность сохранять сессии сетевого трафика для формирования доказательной базы и передачи в правоохранительные органы и в Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Кроме того, с появлением актуальных сигнатур, решения класса NTA должны иметь возможность запускать анализ сетевого трафика, который хранится в архиве (ретроспективный анализ).

Решения класса NTA могут быть дополнительным источником сетевых событий для решений класса SIEM в ситуациях с выявлением сложных таргетированных атак.

На практике такие решения позволяют, например, обнаружить подозрительную попытку подключения с неавторизованного узла на контроллер домена, затем проанализировать исторические данные по сетевым активностям узла и проверить, не было ли других подобных попыток. Если они случались, то это будет говорить о целенаправленной атаке или, по крайней мере, попытках взлома.

Средства обнаружения компьютерных атак на конечных устройствах (EDR)

Решения класса Endpoint Detection and Response (EDR) позволяют обеспечить обнаружение компьютерных атак на конечных устройствах и предоставить необходимые метрики для реагирования специалистов по ИБ.

В данном классе решений обычно используется специальный агент, который инсталлируется на конечное устройство. В его функции входит сбор информации об активностях пользователей и программного обеспечения, обнаружение признаков компрометации (Indicators of compromise, IoC), помощь в выявлении и локализации скомпрометированных устройств и др. Вся собранная информация помогает при проведении расследований компьютерных инцидентов.

В зависимости от исполнения, решение EDR может включать различные технологии обнаружения. Например, это может быть, помимо агента для сбора и анализа данных, средство антивирусной защиты с поведенческим анализом, анализ индикаторов компрометации, а также автоматическое взаимодействие с SIEM-системами и системами класса Threat Intelligence для обогащения данными об угрозах, и в совокупности с другими системами предоставляют специалистам по ИБ более полную картину произошедшего для проведения качественного расследования.

Применения решений класса EDR позволяет организациям обнаруживать сложные угрозы, нацеленные на обход традиционных средств защиты на конечных устройствах.

В ситуации, когда злоумышленник, используя, например, эксплойты в фишинговых рассылках или через программные закладки, пытается получить доступ к целевой системе, службе безопасности необходимо обладать такими средствами обнаружения и контроля, которые позволят получить оперативные данные для скорейшего принятия необходимых мер по блокированию атаки. Запускаемый эксплойт может повысить привилегии для хакера, открыть порты и запустить отправку данных с сервера на внешние ресурсы или просто зашифровать жесткие диски. Если на конечных точках (серверах и рабочих станциях) установлен агент EDR, за счет чего проводится анализ изменений в системе в режиме реального времени, то, как только вредоносная программа откроет порт и начнет передавать данные, EDR это зафиксирует и передаст события в систему SIEM, а оператор службы безопасности примет необходимые меры по блокировке угрозы – закроет порты, изолирует атакованный сегмент и т.п.

Система анализа сетевого трафика нового поколения (NDR)

Класс решений NDR (Network Detection & Response) был сформирован совсем недавно исследовательским центром Gartner. Решения NDR включают в себя следующие технологии:

  • анализ сетевого трафика;
  • поведенческая аналитика (машинное обучение для оперативного обнаружения, расследования и реагирования на угрозы).

По сути NDR включает в себя технологии NTA, плюс добавляются исторические метаданные для расследования и поиска угроз, а также автоматического реагирования на угрозы посредством интеграции с различными средствами управления ИТ и ИБ (межсетевые экраны, средства управления доступом к сети и т.п.).

NDR решения обеспечивают полную видимость в сети с обнаружением угроз в режиме реального времени, а интеграция с продуктами EDR и SIEM обеспечивает дополнительную более точную корреляцию данных для выявления инцидентов.

Системы учета и обработки компьютерных угроз (Threat Intelligence)

Решения класса Threat Intelligence позволяют проводить развернутую аналитику по уязвимостям и угрозам в ИТ-инфраструктуре. Анализ проводится на основе информации об угрозе или по Threat Intelligence Feeds (TIF).

В настоящее время существует достаточное количество открытых источников фидов, на которые можно подписаться. Фиды – это данные, содержащие в себе индикаторы компрометации IoC, то есть признаки, по которым можно распознать потенциальную угрозу. В фидах содержатся хэши вредоносных файлов, IP-адреса и домены, связанные с вредоносной активностью. К примеру, компания может использовать данные фидов для блокировки запросов с подозрительных IP-адресов. Но у фидов есть несомненный минус – отсутствие контекста потока данных, то есть в фидах есть индикаторы, но нет указания по поводу связей этих индикаторов с конкретными атаками, вредоносным файлам и т.д. Для получения данной информации необходимо проводить подробный анализ связей между данными. Процесс требует весомых трудозатрат, так как в большинстве случаев проделывается вручную. В таких ситуациях специалисту на помощь приходят TI-платформы (Threat Intelligence Platform).

Threat Intelligence Platform – специализированная платформа, предназначенная для обогащения, обнаружения, распространения и корреляции данных об угрозах. Данный класс решений позволяет в автоматическом режиме связывать фиды, дополнять их контекстной информацией, что позволяет получить максимальную пользу от IoC. Неоспоримым плюсом TI-платформ является возможность подключения и централизованной обработки любых доступных вам источников информации по угрозам, а также интеграция ее с другими инструментами в области кибербезопасности, например, с SIEM системами, платформами реагирования на инциденты или средствами защиты.

На практике такие решения помогают аналитикам находить следы компрометации в сети и системах за счет использования определенных признаков. К примеру, NTA-решение зафиксировало нелегитимный трафик (допустим SYN-flood - одна из разновидностей сетевых атак типа отказ в обслуживании, которая заключается в отправке большого количества запросов на подключение по протоколу TCP в достаточно короткий срок), далее отправило в SIEM отчет о том, что с конкретного IP-адреса зафиксирован SYN-flood. SIEM система проанализировала данные и сформировала инцидент с входным параметром «IP-адрес» и вердикт – SYN-flood. Далее SIEM направляет данную информацию на обогащение в TI-платформу. Платформа начинает проверять свою базу данных на предмет похожих dns-записей. Если в наборе индикаторов компрометации обнаруживаются еще с десяток IP-адресов, то данные адреса проверяются и возвращаются уже аналитику. Аналитик передает информацию администраторам ИТ-инфраструктуры, а они в свою очередь вносят изменения в настройки на маршрутизаторе или межсетевом экране, тем самым заранее заблокировав потенциальные нелегитимные подключения.

Поиск угроз (Threat hunting)

Процесс Threat hunting или «охота на угрозы» основывается на проактивном поиске следов компрометации или признаков ВПО с целью обнаружения и ликвидации угрозы. То есть поиск угроз происходит не после сработки средства обнаружения или защиты, а в процессе работы аналитика. Аналитик по сути проверяет разные гипотезы, по результатам которых можно обнаружить следы взлома. Основная цель - найти угрозу раньше, чем ею успеют воспользоваться злоумышленники. Для проведения успешной «охоты на угрозы», аналитикам крайне важно получать телеметрию в реальном времени, в этом им помогают описанные выше SIEM/EDR/NDR системы.

Основные составляющие процесса threat hunting:

  1. Сбор данных:

    • информация от конечных устройств (процессы, запущенные на устройстве; файлы, хранимые на дисках);
    • данные сети (сетевые соединения, работа DNS-серверов, маршрутизаторов, коммутаторов и т.д.);
    • информация по сработкам из SIEM, NTA/NDR, данные из TI-платформы (это могут быть внешние базы фидов, либо собственная база, накапливаемая по результатам работы центра реагирования), также данные об ИТ-инфраструктуре организации (конфигурации, используемое ПО, уязвимости и т.п.).
  2. Аналитика – начиная со сбора статистики, заканчивая поведенческим анализом, на основе машинного обучения (User and Entity Behavioral Analytics, UEBA).
  3. Исследование полученных данных.
  4. Нейтрализация атаки и разработка сценария реагирования на такого рода атаки.
  5. Проработка гипотез осуществляется за счет опыта специалистов центра реагирования, а также за счет получаемой информации из различных источников, указанных выше.

    Важным элементов для поиска угроз является собственная база знаний центра реагирования, которая будет накапливать данные по расследованиям и результатов проверки предыдущих гипотез.

    Средства поведенческого анализа («песочницы»)

    Средство поведенческого анализа («песочницы») — изолированная среда для безопасного запуска исполняемых файлов. Доступ к сети, а также считывание информации с устройств ввода обычно либо частично эмулируют, либо ограничивают.

    Песочницы используют для анализа файлов на предмет наличия ВПО или, например, для запуска подозрительного кода. Образ песочницы моделирует среду, в которой предполагалось запускать проверяемый объект, это помогает экспертам оперативно проводить поведенческий анализ, что позволяет своевременно выявлять потенциальные угрозы.

    Технология поведенческого анализа файлов существует на рынке уже достаточно давно. На данный момент совершенствование применяемых методов осуществляется за счет интеграции с другими классами решений по обнаружению и защите для более комплексного анализа, а также за счет появления более гибкой настраиваемой среды.

    На практике данный класс довольно распространен. Основное применение «песочницы» — это поведенческий анализ подозрительных файлов в окружении, максимально точно имитирующем «боевую» ИТ-инфраструктуру.

    Приманки для хакеров («Honeypot»)

    Класс решений «Honeypot» предназначен для обнаружения попыток взлома и изучения применяемых методов для прогнозирования атак и принятия мер противодействия. В качестве «приманки» используются изолированные от промышленных систем среды со специально открытыми портами, уязвимостями и другими явными недостатками. В качестве целевых объектов может использоваться веб-сервер, виртуальная машина, сетевое устройство и другие системы и сервисы. Обычно это системы, которые есть в эксплуатации у организации. Внутри среды, предназначенной для выявления атакующих, могут размещаться различные ресурсы, замаскированные под важные файлы, почтовые сообщения, данные учетных записей с целью вызвать интерес у киберпреступников.

    Кроме того, для борьбы с фишингом применяются так называемые ханипот-ссылки, встроенные в код веб-сайта, что позволяет выявлять случаи клонирования веб-сайта, заранее предупреждая защищающихся о возможной атаке.

    Технология продолжает развиваться и появляются различные инструменты для раскрытия не только применяемых методов, но и действий злоумышленников после их подключения уже к своим системам, например, путем записи в терминальном окне. Это позволяет больше узнать о самих атакующих и проследить к каким еще системам они подключаются.

    Для того чтобы поймать более продвинутых злоумышленников, разворачивают ханипоты нового поколения, которые могут виртуализовать целые сети.

    Развитие технологий обнаружения компьютерных атак в России

    Технологии выявления компьютерных атак, как правило, перенимались в России от зарубежных производителей, но в последнее время российские разработчики стали активно развивать свои продуктовые направления и инвестировать в новые технологии. На рынок выпускается все больше различных решений, призванных качественно и эффективно решать задачи по безопасности, появляются полностью отечественные стеки решений, от аппаратного обеспечения до приложений. Этому способствует то, что для развития отечественного ИТ-потенциала в России принимаются различные меры на государственном уровне. С целью преодоления зависимости от зарубежных технологий в 2014 году руководством страны был взят курс на усиление политики импортозамещения, в том числе в сфере информационных технологий.

    Основным драйвером развития ИТ-отрасли является госрегулирование, например, инициатива правительства по внедрению отечественного ПО в органах государственной власти и госкорпорациях.

    Для обеспечения контроля Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации формирует Единый реестр российских программ для электронных вычислительных машин и баз данных. На текущий момент в реестре зарегистрировано более 6000 наименований отечественного программного и аппаратного обеспечения, более 450 из которых относятся к средствам обеспечения ИБ.

    Программа по импортозамещению в России дает возможность отечественным производителям наверстать технологических разрыв, который образовался с зарубежными производителями.

    Кроме того, вводятся дополнительные меры поддержки ИТ-компаний в виде налоговых послаблений. Это позволит создать более благоприятные условия для работы в России и даст дополнительные возможности для инвестирования в технологии. Так называемый «налоговый маневр» позволит начинающим ИТ-компаниям и стартапам быстрее разрабатывать новые технологии и выводить на рынок, тем самым повышать конкурентный уровень. Конкуренция играет важную роль для обеспечения роста качества выпускаемых программных решений.

    Стоит также учитывать непростую обстановку в мире. Так как очень много чувствительной информации находится в «цифре», большой объем государственной деятельности теперь осуществляется в различных ИТ-системах и приложениях, на фоне этого различные государства разворачивают большие кампании друг против друга в киберпространстве. С целью проведения кибершпионажа или нарушения функционирования информационных систем могут быть использованы программные закладки, которые могут поставляться с программными и аппаратными средствами. Именно поэтому для наиболее критических информационных инфраструктур необходимо применять отечественные разработки, которые должны соответствовать не только формальным критериям, но быть эффективными, современными, технологичными и, самое главное, безопасными.

    Одним из способов контроля отсутствия программных и аппаратных закладок (недекларированные возможности ПО) является проведение сертификации.

    Сертификация – это независимая оценка (экспертиза) программного или аппаратного обеспечения на предмет соответствия установленным критериям. Обязательная сертификация регламентируется законодательством, и существует несколько систем, например, системы сертификации ФСТЭК России, ФСБ России и Министерства обороны Российской Федерации.

    В рамках проведения сертификационных испытаний проверяется программное или аппаратное обеспечение на общеизвестные уязвимости, в том числе на предмет аппаратных, программных и алгоритмических закладок.

    Аппаратная закладка – это модуль, скрытно внедренный в электронную схему устройства, или же отдельная плата, микросхема, подключенная к атакуемой системе. Программная закладка – это программное обеспечение, скрытно внедренное в защищенную систему, либо намеренно измененный фрагмент кода программы. Это позволяет получить удаленный доступ либо запустить сбор данных. Закладки данного типа потенциально могут быть внедрены путем планового обновления ПО. Алгоритмические закладки – это преднамеренное скрытое искажение части алгоритма программы, в результате которого возможно появление у программного компонента функций, не предусмотренных спецификацией.

    Разработчики средств при этом должны представлять исходные коды своих решений для анализа и для некоторых зарубежных компаний это является невыполнимым условием.

    Именно из-за наличия рисков, связанных с нарушением функционирования критических для государства информационных инфраструктур, применяется сертифицированные средства мониторинга и защиты.

    Заключение

    Многие организации систематизировали процедуры обнаружения атак на свою инфраструктуру, основываясь на кратком списке ожидаемых атак. Однако ландшафт угроз развивается такими быстрыми темпами, что многие процессы обнаружения быстро устаревают.

    С развитием ИТ-технологий появляются новые угрозы в киберпространстве. Злоумышленники совершенствуют свой инструментарий и находят все более сложные способы для достижения своих целей.

    Чтобы выявлять атаки на ранней стадии необходимо использовать самые современные средства обнаружения, в которых комплексно применяются различные технологии для анализа и выявления зловредной активности, а также прогнозирования потенциального несанкционированного воздействия.

    Но при этом важно сопоставлять последствия от нарушения функционирования информационных систем в случае успешной атаки (потеря чувствительной информации, финансовый ущерб и т.п.) и стоимость внедряемых технологий обнаружения. Выбор минимально необходимого набора решений должен учитывать отраслевую специфику, используемые технологии, актуальные угрозы и риски кибербезопасности, а также требования по обеспечению безопасности на уровне законодательства.

    Применения взвешенного подхода в выборе средств обнаружения позволит более эффективно выстроить систему управления информационной безопасностью и, в случае компьютерной атаки, предотвратить крупный (неприемлемый) ущерб.