2019/11/07 12:00:00

Целевые атаки на госучреждения:
как им противостоять и минимизировать риски

Автор: Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)

Содержание

Насколько уязвим госсектор перед APT-атаками и почему

Две трети APT-группировок, атакующих сегодня российские организации, нацелены на госучреждения. И это не случайно. Компании государственного сектора часто атакуют целенаправленно, потому что они обладают ценной информацией, за которой охотятся злоумышленники. Мотивов более чем достаточно: стратегические планы развития, партнерские соглашения на международной арене, экономические планы и пр. — все зависит от типа организации.

Две трети APT-группировок, атакующих российские организации, нацелены на госучреждения
Две трети APT-группировок, атакующих российские организации, нацелены на госучреждения

Злоумышленники чаще всего прекрасно знают, какие средства защиты и какое ПО установлено в конкретной организации и как оно функционирует. В открытом доступе в интернете преступники могут без труда найти информацию о том, какие закупки и в какое время осуществлялись организацией — какие были куплены антивирусные программы, системы мониторинга событий, какой межсетевой экран покупала та или иная компания. Следовательно, преступники всегда могут подготовиться адресно к атаке на конкретную организацию.

Большую роль в уязвимости компаний играет низкая осведомленность сотрудников о кибербезопасности. По нашим данным, больше трети (38%) организаций в России не уделяют внимание обучению сотрудников основным правилам ИБ. Это при том, что фишинг остается основным вектором проникновения в организации госсектора. С него, по нашим данным, начинают атаку 87% APT-группировок.

Недостаток (а иногда и отсутствие) ИБ-кадров может привести к тому, что в организациях не проводится мониторинг инцидентов, не выстроен процесс выявления уязвимостей, поиска подозрительных событий, не проводится расследование инцидентов.

Разумеется, госкомпании сегодня задумываются и о практическом применении требований кибербезопасности, но первоочередную значимость все же имеет выполнение требований регуляторов и законодательства. Реальность такова, что иногда важнее иметь конкретный сертификат на то или иное средство защиты, а его настройкам при этом внимание не уделяется. А ведь именно правильная настройка в числе прочего необходима для того, чтобы средство защиты выполняло свои задачи (в том числе по выявлению атак) с максимальной эффективностью.

Что может помешать преступнику, проникшему в инфраструктуру компании

Обычно, обойдя средства защиты и проникнув в ИТ-инфраструктуру компании, преступники развивают атаку, перемещаются внутри инфраструктуры и пытаются достичь тех целей, ради которых они атаковали госучреждение. И на этом этапе их можно обнаружить.

Куда бы вовне ни обращались злоумышленники, им все равно придется перемещаться внутри компьютерной сети атакуемой организации. Они будут устанавливать удаленные каналы управления, передавать управление бэкдорам[1], загружать новые образцы вредоносного ПО. Всю эту активность можно обнаружить в трафике, даже если злоумышленники прибегнут к маскировке своих троянов — излюбленной технике сегодняшних APT-группировок. Отследить все это под силу специализированным средствам для глубокого анализа трафика с возможностью ретроспективного поиска и постанализа. При этом надо понимать, что важно контролировать не только трафик между корпоративной сетью и интернетом, но и трафик, циркулирующий внутри организации, и трафик из доверенных организаций.

«
В нашей практике нередки случаи, когда злоумышленники для атаки используют технику supply chain. Применительно к госучреждению, его компрометация осуществлялась через предварительно взломанного доверенного партнера (компанию), с которым было установлено доверительное VPN-соединение. Только благодаря контролю внутреннего трафика в организации и анализу передаваемых по сети файлов в этом случае удалось выявить попытки компрометации домена и рабочих станций руководителей атакуемой организации.
»

В чем ценность ретроспективного анализа

О действиях некоторых группировок становится известно спустя некоторое время. Например, может выйти соответствующий отчет компании, выявившей активность группировки, или уведомление от регулятора (такого как ФинЦЕРТ, НКЦКИ). Статистика показывает, что среднее время появления публичной информации о вредоносной кампании APT-группировки составляет 17 месяцев. Появляются индикаторы компрометации, описание техник и тактик, анализ используемого инструментария. Получив доступ к такому отчету и данным, организации необходимо запустить ретроспективный анализ в своей инфраструктуре — это поможет выявить инциденты, которые не были обнаружены вначале. Такой анализ играет существенную роль и при расследовании, так как иногда государственное учреждение является все же лишь промежуточным звеном в атаке на другую компанию.

«
Например, в одном из расследованных нами случаев злоумышленники взломали почтовый сервер госучреждения ради последующей фишинговой атаки (рассылались вредоносные письма) на другую организацию с целью доступа в ее инфраструктуру.
»

Почему антивирус не поможет

В случае с целевыми атаками у организации, прикрывающейся щитом антивируса, практически нет шансов. Дело в том, что злоумышленники отдают предпочтение новым уязвимостям, для которых еще не выпущены обновления безопасности. Это так называемые уязвимости нулевого дня. Для APT-группировок такие уязвимости — гарантия успеха. Детектирование таких угроз иногда возможно только с помощью различных эвристических механизмов, основанных на машинном обучении, поведенческом анализе пользователей и других подобных технологиях.

Еще один способ обхода средств защиты связан с использованием цифровых сертификатов (техника code signing). Преступники просто подпишут свой код, причем не исключено, что для этой цели они незаконно воспользуются действующим сертификатом другой компании.

Для обхода антивируса злоумышленники обфусцируют (запутывают) вредоносный код, шифруют его и используют специальные упаковщики. В этом случае антивирус не заметит зашифрованное или упакованное вредоносное ПО – его можно будет выявить с помощью песочницы, способной распознавать применение подобных техник благодаря эмуляции действий реальных пользователей.

Кроме того, на момент атаки антивирус не детектирует вредоносное вложение — проходит какое-то время (несколько часов или даже суток). За это время злоумышленники успеют продвинуться по инфраструктуре и закрепиться, а самое главное — установить бэкдоры, которыми они будут пользоваться в случае потери основного канала попадания в инфраструктуру. Наконец, антивирусы не хранят данные для последующего — ретроспективного — анализа объектов, циркулирующих в сети.

Как правильно использовать имеющиеся инструменты

Важно, чтобы применяемые средства защиты умели видеть не только трафик, циркулирующий между корпоративной сетью и интернетом, — именно таков функционал межсетевых экранов, чаще всего устанавливаемых в организации. Они должны отслеживать еще и внутрикорпоративный трафик, чтобы видеть горизонтальные перемещения злоумышленника.

Внедрение в сети NTA-решения позволит организации отслеживать трафик объектов, которые циркулируют не только при обмене с внешним миром, но и внутри организации. Это позволит держать под контролем обмен файлами, межсерверные взаимодействия, взаимодействия между рабочими станциями пользователей и т. п.

Защита внутренней сети — проблема всех компаний. NTA-инструменты выявляют атаки как на периметре, так и внутри сети.

«
В нашей практике были ситуации, когда злоумышленники не смогли проникнуть в головную организацию через ее периметр и демилитаризованную зону (DMZ)[2], но преодолели менее защищенный периметр одного из филиалов и оказались внутри сети. У головной организации и филиалов общий домен-контроллер, который находится в главном ЦОД. Злоумышленники начали атаковать контроллер домена. Наша NTA-система помогла обнаружить угрозу за счет разбора протокола SMB[3] и выявления нелегитимных запросов списка пользователей в домене.
»

Кадровый вопрос

Бюджет, выделяемый на обеспечение информационной безопасности, в российских организациях расходуется в первую очередь на приведение инфраструктуры в соответствие требованиям регуляторов. А это значит, что существенная часть средств уходит на разработку и адаптацию организационно-распорядительных документов, на приобретение и внедрение минимально необходимых технических средств защиты (таких как антивирусы, к примеру). Таким образом, деятельность специалистов по безопасности в этих компаниях во многом оказывается далека от практической инфорационной безопасности. Несоблюдение ИБ-гигиены в российских компаниях и серьезность угрозы со стороны APT-группировок обязывают компании проводить мониторинг событий безопасности, устанавливать специализированные средства защиты, использование которых потребует от сотрудников глубокого знания этих продуктов.

В случае возникновения нетиповых инцидентов, например APT-атаки со сложными техниками, тактиками и инструментарием, целесообразно привлекать специалистов по реверс-инжинирингу, детальному разбору, проведению форензики и анализу рабочих станций, что позволит расследовать уже случившийся инцидент.

Задача специалистов, которые работают внутри организации, — обнаружить инцидент на максимально ранней стадии, чтобы он затронул как можно меньшее количество активов.

Примечания

  1. Ошибка программы, намеренно оставленная разработчиком.
  2. DMZ (demilitarized zone) — особая буферная зона, в которую из локальной сети выносятся сервисы, требующие доступа извне.
  3. SMB — сетевой протокол прикладного уровня для удаленного доступа к файлам, принтерам и другим сетевым ресурсам.