Целенаправленная атака (или targeted attack — TA) имеет несколько значений в зависимости от того, где этот термин применяется. В военном деле целенаправленная атака имеет значение удара по определенному объекту (движущаяся или стационарная). Самый явным примером будет использование дронов для нанесения авиаудара по зданию или машине для устранения угрозы. Примерно такое же значение имеет целенаправленная атака в сфере кибербезопасности. Обычно, когда упоминается TA, то сразу приходит в голову APT (Advanced Persistent Threat или продвинутая постоянная угроза). К сожалению, APT это лишь верхушка айсберга. В этой статье Вы узнаете про методы выбора цели, спектре угроз, который входит в TA, а также методы защиты от них.
В сфере информационной безопасности целенаправленная атака означает любые нападения злоумышленников на конкретную выбранную ими цель. Жертву атаки могут выбирать по разным параметрам: от доступности инфраструктуры жертвы до конечной цели самой атаки. Конечной целью может быть взлом и изъятие базы данных организации, промышленный шпионаж, порча репутации компании или же кража средств. Если целью атаки является промышленный шпионаж, то злоумышленники могут создать бэкдор в инфраструктуре сети компании и засесть в ней на длительное время для выгрузки чувствительных данных, которые могут нанести репутационный или финансовый урон. Если же целью злоумышленников является кража одного критически важного документа или же вывода из строя промышленной системы, который может привести к аварии, убыткам или же к техногенной катастрофе, то методы проникновения, как и длительность нахождения в сети будут значительно отличаться. Одной из такой атак была Stuxnet.
Stuxnet была запущена в 2010 году на территории Ирана, которая впоследствии привела ко временному выводу из строя завода по переработке урана, считающегося стратегически важным объектом. Согласны, что эта атака будет считаться как APT, но это достаточно хороший пример TA. Злоумышленники физически запустили программу в сети завода по переработке урана в Иране, где в течение длительного времени маскировали свое присутствие. Stuxnet маскировала данные о работе центрифуг, показывая обычные данные о количестве оборотов в минуту и температуре. В это время программа активно увеличивала обороты центрифуг для того, чтобы вывести их из строя для нанесения урона ядерному потенциалу Ирана. Когда же программа распространилась по всему Интернету, заражая персональные компьютеры и сети, то она, проведя проверку с зараженном компьютером на совместимость, отключалась. То есть, данная программа является прекрасным примером ТА, так как она была разработана для определенного оборудования и с четкой целью вывода его из строя. Однако большинство компаний могут подумать, что такая атака их не коснется, так как такой вид целевой угрозы далек от них. Хорошо, тогда давайте рассмотрим один из самых простых видов целевой атаки – фишинг.
Фишинг может иметь несколько видов. Первый, Вам могут отправить письмо со ссылкой на сайт или файл, содержащий вредоносную программу, с помощью которого Ваш компьютер или систему могут зашифровать, заразить программой шпионом, который будет собирать логины и пароли, или просто украдет все важные файлы компании. Вы можете сказать, что Ваша сеть закрыта и не имеет доступа в Интернет. Хорошо, тогда позвольте следующий сценарий. Ваша компания имеет закрытую сеть, в которую извне не попасть, однако, в ней все же есть лазейка в виде Ваших сотрудников. Предположим, злоумышленник хочет проникнуть в сеть. Для этого он может использовать методы OSINT (разведка данных из открытых источников) и узнать информацию о Ваших сотрудниках и найти человека, у которого скоро день рождения или какая-то знаменательная дата. Злоумышленник может заказать доставку цветов и приложить к ней записку с теплыми словами и флешку, на которой будет написано «Открой меня» и подписать ее либо от имени коллектива компании или же близкого человека. Сотрудник, ничего не подозревая, будет тронут таким жестом внимания и без всяких мыслей откроет содержимое флеш накопителя, тем самым заразив всю Вашу сеть. К сожалению, такого рода атаки не так уж и редки, и для злоумышленников такие атаки ничего не стоят, ведь они смогут получить гораздо больше просто с помощью данных, хранящихся у Вас в сети. Как мы можем это предотвратить?
Есть несколько способов, о которых было рассказано в недавних статьях. Среди них стоит отметить обучение сотрудников и прививание культуры кибергигиены. Вы даже можете использовать сценарии, описанные в этой статье, для более личного подхода при проведении курсов и мастер-классов для сотрудников. Но этот путь долгий и сложный, который по мере его ввода не сможет защитить Вас от потенциальных угроз на 100%. Для этого надо также усилить техническую защиту Вашей сети. Это можно осуществить с помощью выделения средств для найма специалистов ИБ или же наняв отдельную аутсорс-организацию, которая будет Вас защищать. Однако при аутсорсинге, компании стоит знать какую именно защиту она хочет получить с учетом политик безопасности, государственных стандартов и законов о защите персональных данных. Также есть другой вариант — купить готовое решение у проверенных вендоров.
Одним из таких вендоров может быть «Лаборатория Касперского» и их продукт Kaspersky Anti Targeted Attack (КАТА). «Лаборатория Касперского» обеспечивает надежную защиту организаций от сложных угроз, APT – и целевых атак в полном соответствии с требованиями законодательства, предоставляя решение класса XDR (Extended Detection and Response).
Платформа Kaspersky Anti Targeted Attack, объединенная с Kaspersky EDR, сочетает расширенный функционал для обнаружения угроз на уровне сети и возможности EDR. Это комплексное решение класса XDR для обнаружения, расследования и реагирования на кибератаки на основе унифицированной серверной архитектуры и централизованного управления из единой веб-консоли. Теперь вы можете контролировать и надежно защищать все популярные точки входа потенциальных угроз: сеть, веб-трафик, электронную почту, рабочие места, серверы и виртуальные машины.
В дополнение к встроенным передовым технологиям обнаружения и анализа, платформа обогащается аналитическими данными об угрозах (Threat Intelligence) и сопоставлением обнаружений с базой знаний тактик и техник злоумышленников MITRE ATT&CK. Основными возможностями KATA являются:
- Многоуровневая архитектура;
- Мощные аналитические модули;
- Высокопроизводительная песочница;
- Ретроспективный анализ;
- Аналитика угроз, работающая в двух режимах;
- Автоматический поиск сложных угроз;
- Проактивный поиск сложных атак.
Важно отметить, что любая организация, вне зависимости от размера и сложности инфраструктуры, и даже физическое лицо могут стать целью злоумышленников. Возможно, даже сейчас, читая эту статью, Вы уже являетесь жертвой целевой атаки. Поэтому, берегите себя и свои информационные системы от угроз информационной безопасности.