Kaspersky Anti Targeted Attack Platform — платформа помогает предприятиям своевременно распознавать скомпрометированные системы, выявлять целевые атаки и сложные угрозы с помощью новейших технологий на базе машинного обучения и самых актуальных сведений об угрозах.
Проблема
Решение
Утечка данных
Раннее обнаружение и предотвращение вторжений/атак с целью кражи информации
Халатность служащих
Поведенческий анализ пользовательских рабочих станций
Вирусы / хакеры
Применение технологии «песочниц» для анализа поведения скриптов и приложений, которые загружаются пользователями на рабочих станциях или проходят в сетевом трафике
Аппаратные и программные сбои
Сбор данных об активности приложений и операционной системы на рабочих станциях для дальнейшей работы с большим массивом данных
Контроль сетевого трафика
Сбор данных о сетевом трафике без активного противодействия для поиска аномалий и проведения анализа на большом объеме данных. Применяется для детектирования атак и последующего расследования происшествий
Внедрение системы ATA позволит организации
- Информировать об обнаружении подозрительных процессов в инфраструктуре;
- Проводить мониторинг отклонений, обнаруживать подозрительные связи;
- Изучать обнаруженные отклонения, причины его возникновения, выявлять косвенные признаки реализации угрозы;
- Проводить анализ входящего и исходящего сетевого трафика, файлов, загруженных в инфраструктуру компании любым способом;
- Проводить корректировку конфигурации инфраструктуры и используемых средств защиты;
- Прогнозировать устойчивость корпоративного контура к внешним угрозам, действиям инсайдеров, а также вредоносному ПО, путем определения параметров атак и путей их нейтрализации.
Важные элементы при внедрении
Для осуществления атаки злоумышленниками изучаются средства, которые используются для защиты самой компанией и в них находятся уязвимости. Отдельные антивирусные продукты с таргетированными атаками не справляются, так как атаки разрабатываются уже с учетом используемого антивирусного ПО. В атаке, хакеры могут применять такие инструменты, как Dropper, валидатор, брутфорс, эксплойт и т.д. – использующие уязвимости в программном обеспечении. Dropper доставляет на ПК жертвы тело вируса, адаптированное к среде заказчика, как правило, на стороне заказчика находится агент, который позволяет изучить инфраструктуру.
Целенаправленную атаку можно обнаружить по разным косвенным признакам и путем выявления отклонений в работе сетевой инфраструктуры. Стадии целенаправленной атаки следующие: подготовка (выявление слабых мест в инфраструктуре защиты компании), проникновение (обход защит, первичное инфицирование цели и загрузка вредоносного кода Dropper’ом), распространение (закрепление вредоносного программного обеспечения на ключевые машины компании-жертвы и установление контроля над ними), достижение цели (хищение информации и манипуляции с процессом внутри компании).
Критически уязвимыми местами для проведения атак являются:
- Съемные носители данных;
- Электронная почта (заражение целевым письмом с опасным вложением);
- Внедрение свободно распространяемого вредоносного ПО в лазейке в антивирусных программах;
- Открытые источники в виде бумажных носителей (из-за неаккуратного обращения с ними может произойти утечка информации);
- Нецелевое общение сотрудников в соцсетях;
- Социальная инженерия (это может быть как подкуп сотрудников, получение информации хитрыми способами или манипуляции с их действиями, учитывая доступ к операционной системе компании).
Абсолютных методов борьбы с таргетированными атаками нет. Для противодействия необходима выработка стратегии, состоящей из одновременных мероприятий по предотвращению запуска неконтролируемых процессов: защиты конечных точек, установки антивирусов и спам-фильтров, межсетевых экранов, систем предотвращения вторжений, применение сигнатурного анализа, выявление уязвимостей в системе. Также необходимо обучение сотрудников кибер гигиене.
Системный интегратор «Радиус» предлагает свои услуги в установке систем информационной безопасности и системы защиты от целенаправленных атак (АТА). Это даст возможность обнаруживать подозрительные процессы и отклонения в инфраструктуре, анализировать входящий и исходящий сетевой трафик и файлы в сети компании.