Журнал "Директор по безопасности" Сентябрь 2020 | Page 11
ЕСТЬ РЕШЕНИЕ
Гид для топ-менеджера:
зачем организации
системы класса
Anti-APT?
АНАСТАСИЯ ГОЛЕВА,
АО «РАСЧЕТНЫЕ РЕШЕНИЯ»
Защита любой информационной
системы включает в себя, если
говорить о технических мерах, средства
активной и пассивной защиты. Из
названия понятно, что первые решают
вопросы непосредственно устранения
возможных угроз сразу по мере их
выявления, а вторые – ориентированы
на выполнение задач мониторинга и
разбора свершившихся инцидентов
постфактум. Однако Anti-APT системы –
совершенно особый, крайне интересный
тип средств защиты информации, о
котором пойдет речь в настоящей
статье, по сути, является как средством
активной, так и пассивной защиты. И
в то же время отличается от каждой из
них. Разберемся, в чем суть.
Каждое средство защиты информации
в той или иной степени
обеспечивает безопасность информационного
ресурса от угроз определенного
типа: средства защиты от
DDoS – от атак отказа в обслуживании,
средства антивирусной защиты – от нежелательных
вирусных активностей, и
так далее. Однако Anti-APT – особый
класс систем, обеспечивающий защищенность
информационного ресурса
от целевых распределенных атак. Аббревиатура
«APT» означает «advanced
persistent threat» – целенаправленные
устойчивые угрозы, то есть угрозы на
определенный конкретный объект, которые
заранее готовятся лицом или
группой лиц, и которые порой достаточно
долго прорабатываются перед
их реализацией.
Какие бывают угрозы?
Значительное число аналитиков информационной
безопасности собирают
статистику и формируют пул актуальных
угроз с высокой вероятностью
реализации. Для того, чтобы понимать,
какие именно существуют угрозы
информационной безопасности, стоит
рассмотреть два перечня угроз:
OWASP top 10 1 – перечень наиболее
актуальных угроз безопасности по
версии экспертного сообщества OWASP
(Open Web Application Security Project).
SANS top 25 2 – перечень наиболее
актуальных на данный момент угроз
информационной безопасности по
версии Института системного администрирования,
аудита, сетей и безопасности
(The sysadmin, audit, network,
security Institute – SANS).
Как можно «заработать» угрозы
информационной безопасности?
Буквально в прошлые два месяца прогремел
ряд успешно реализованных
атак на крупные ИТ-компании, являющиеся
игроками мирового уровня,
с длительными простоями части бизнес-процессов
и колоссальными затратами
на их восстановление. Обучение
в данной сфере часто происходит на
ошибках, но учитывая стоимость вопроса,
желательно, чтобы эти ошибки
было чужими. Итак, каковы же глобальные
причины угроз ИБ?
Первая причина – разумеется, материальная.
Увы, масса нечистых на
руку людей готова при наличии объективной
возможности разжиться чужими
средствами.
Вторая, не уступающая по «популярности»
первой – личная обида.
Здесь первую скрипку играют обиженные
по тем или иным причинам сотрудники,
уходящие к партнерам, в
том числе, конкурентам.
Третьей причиной, вытекающей
из второй, является нездоровая конкуренция
компаний, заставляющая
некоторые организации прибегать к
достаточно «нечистым» методам бизнес-взаимодействия,
в том числе, с использованием
APT-атак.
Существуют также политические,
идеологические причины, о которых
также нельзя забывать. На основании
вышеуказанного можно сделать вывод
о том, что APT-атаки могут быть
выгодны слишком многим для того,
чтобы не обращать на них внимания.
Итак, переходим к самому интересному
– принципам работы систем, позволяющих
если не забыть об APT, то, как
минимум, снизить риск их негативного
влияния на Ваш бизнес.
Как работает система Anti-APT?
Основные принципы работы Anti-APT
систем следующие:
Анализ сетевого трафика и сбор
данных с целью построения схемы
информационных потоков организации
и сетевого взаимодействия внутри
организации и выходов во внешнюю
среду.
Использование так называемых
«песочниц» – тестовых сред, предназначенных
для поведенческого анализа
приложений или исполняемого
кода, загружаемых пользователями на
персональные компьютеры и сервера
организации.
Проведение анализа поведения
корпоративных персональных компьютеров
с целью получения информации
об аномалиях в поведении приложений,
а также операционных систем, с
которыми работают пользователи.
Использование проактивных методов
реагирования – блокировку подозрительно
работающих приложений,
программного обеспечения с подозрением
на вредоносное.
Некоторые из Anti-APT систем обладают
также технологией «honey
pot» – программных «ловушек» для
потенциальных злоумышленников, с
имитацией объектов информационной
инфраструктуры компании. В случае
обращения злоумышленника к такой
«ловушке», риск утечки и утраты
данных сведен к нулю, а у сотрудников
подразделения информационной
безопасности предоставляется полная
возможность осуществлять поведенческий
анализ злоумышленника с целью
снижения его негативного воздействия
на системы организации.
Нельзя не упомянуть о том, что система
класса Anti-APT целесообразна к
приобретению в организациях с системой
обеспечения информационной
безопасности от средней зрелости, при
наличии достаточного, необходимого
для закрытия большинства других актуальных
угроз уровня защищенности
информации.
1
https://owasp.org/www-project-top-ten/#
2
https://www.sans.org/top25-software-errors