APT атаки и как от них защититься

APT – не просто атака, это принцип любой атаки, ее парадигма и структура.

для APT характерно:

• Атака группы лиц, распределение ролей.
• Индивидуальный подход в зависимости от степени защищенности выбранной компании или сектора производства.
• Полный контроль над жертвой, использование всех имеющихся средств.
• Атакующие вернутся, даже если вы сможете успешно противостоять им после взлома.
• Тщательная маскировка присутствия, адаптация к контрмерам, отсутствие у антивирусных вендоров информации о методах атакующих.
• Сбор данных о вашей компании (персонал, инфраструктура, программное обеспечение), продуманная социальная атака.
• Использование ваших клиентов, контрагентов, доверенных адресатов – изучение границ инфраструктуры.
• Наблюдение за жертвой в режиме реального времени.


Типичные способы APT и варианты защиты


Способ № 1

Например: на почту сотрудника компании приходит письмо с документом, использующим слабые места какой-нибудь программы, (это может быть, например - текстовый редактор или почтовый клиент). Также жертву можно заманить на сайт угрожающий браузеру или плагинам - java, javascript, flash.
Считается, что в таких атаках используют неизвестные уязвимости, хотя это не так: в основном, обновление, защищающее используемые слабые места доступно уже несколько месяцев или даже лет.
Альтернативные платформы не защищены от APT атак и также уязвимы – на что ясно указывает случай массового заражения MacOS X компьютеров через слабые места Java.


Способ № 2

Атаковать внешние сервисы – например, сайт вашей компании.

Методы защиты: мы предлагаем 1) актуальные обновления; 2) поместить систему в изолированную демилитаризованную зону (DMZ) - обеспечит только односторонние соединения со стороны корпоративной сети; 3) специальные аккаунты для управления внешними системами (нельзя применить для входа в основную сеть) – хорошая мера для задержки атак, но даже если произошел взлом – у вас будет время для контрудара. Сигнум Консалтинг обеспечит продуманную, тщательно структурированную защиту, даже от внезапной и спланированной атаки.

Способ № 3

У здания жертвы разбрасываются разные носители данных с вредоносным кодом. Злоумышленники могут запустить вражеское ПО или атакующее микро-оборудование внутри инфраструктуры жертвы.

Методы защиты: Сигнум Консалтинг предлагает запретить подключение внешних носителей, отключить от сети неавторизованные устройства, с помощью Software Restriction Policy, Applocker заблокировать исполнения ПО не входящего в список доверенного.

На собственном опыте (а мы работаем с клиентами уже 6 лет) наша компания убедилась, что правильное следование политикам информационной безопасности успешно противодействует APT атакам, в чем вашей компании и поможет Сигнум Консалтинг, если вы обратитесь к нам, чтобы не допустить утечки информации и со всех сторон надежно защитить «важные» файлы.

Защититься от атак поможет лишение пользователей привилегий локального администратора. В 2010 году BeyondTrust тестировали уязвимости в продуктах Microsoft: исследование показало, что работа «стандартного», а не привилегированного пользователя упраздняет 75% критических уязвимостей Windows 7, 100% уязвимостей Microsoft Office и 100% уязвимостей IE.

Для борьбы с атаками Сигнум Консалтинг рекомендует инструмент EMET с технологиями ASLR, DEP, SEHOP - защита уже установленных на системном уровне приложений, а также устаревших, но еще используемых. Для тестирования EMET Microsoft атаковала свои приложения и ОС при помощи 184 популярных эксплоитов не устанавливая системных обновлений. Вывод: EMET показывает хорошие результаты и существенно снижает риски.

Сигнум Консалтинг проследит за своевременным обновлением ПО на ПК, мобильных системах и серверах организации – и не только ПО от Microsoft, но и ПО от третьих сторон, содержащее, по статистике Secunia 78% уязвимостей, которым подвергается типовой Windows ПК.

Сергей Петров, координатор по внедрению проектов компании "Сигнум Консалтинг: « Мы можем поместить все системы, не соответствующие политикам безопасности в изолированную карантинную сеть, где они будут приведены в соответствие политикам. После того, как атакующие закрепятся в вашей системе, они начнут собирать хеши паролей пользователей для атаки pass the hash. Атака производится, пока не будут обнаружены хеши привилегированных пользователей – атакующим нужны для работы права администратора. Так что, в принципе здесь Сигнум Консалтинг предлагает простое решение - ограничение прав пользователя. Мы установим полезные системы-ловушки (honeypot) – так вы всегда сможете узнать о незаконном вторжении в систему».
Отследить активность злоумышленников можно с помощью систем корреляции событий безопасности SIEM.

Проблема: Контролируемое извне вредоносное ПО сразу после установки пытается связаться с контрольным центром, периодически повторяя попытки. Если атака удалась – данные организации изымаются – а это означает создание исходящих соединений из вашей инфраструктуры. Передаваемые данные кодируются и упаковываются в стандартные протоколы http, https, ftp, dns.

Защита: Сигнум Консалтинг обеспечит необходимую проверку передаваемых наружу данных. Мы сможем отследить и проконтролировать, в каком формате передаются данные, например: на вашем прокси-сервере аномальное количество rar архивов, а стандарт архивирования в компании - zip или arj, значит - есть угроза безопасности.

Проблема для ИБ - большое число сотрудников с привилегиями. Во многих случаях именно ИТ-персонал – злостный нарушитель политик безопасности: использование серверов для проверки почты и выхода в сеть, несоблюдение политик сложности и частоты паролей.

Защита: Сигнум Консалтинг обеспечит аудит ИБ Active Directory c помощью Microsoft ADRAP. Также потребуется сократить привилегии, ролевое делегирование прав доступа.

Проблема - отсутствие грамотной структуры доменов AD и сегментирования сети, единого управления ИБ: сети многих крупных компаний разрослись и часто находятся в состоянии хаоса.
Решение: категоризация и разграничение инфраструктуры с помощью IPsec и механизма Server and Domain isolation позволит обмениваться данными с критическим системами только тем, кому это необходимо.

Сигнум Консалтинг поможет вашей компании изолировать сервера и ПК с самыми ценными данными, так чтобы они были доступны только членам определенной группы AD, с компьютеров в определенных зданиях при условии успешной аутентификации по паролю и смарт-карте. Самые ценные данные по R&D проектам мы предлагаем поместить в специальный сегмент сети с воздушным зазором, доступ к которому извне невозможен в принципе.

Для того чтобы ваша компания могла успешно отражать APT атаки, лучше обратиться к профессионалам.
Сигнум Консалтинг – это

Знание проблемы ИБ изнутри. Мы в курсе того, как именно будут действовать злоумышленники – нам известны схемы, тонкости и нюансы работы атакующих.

Большой опыт защиты предприятий от разных видов атак.

Мы следим за актуальными технологиями в области информационной безопасности. Новейшее программное обеспечение и своевременные обновления.

Мы разрабатываем политики информационной безопасности индивидуально, учитывая слабые стороны ИБ вашей компании.


Наши контакты:
ООО «Сигнум»
г. Санкт-Петербург
Телефон: (812) 677 25 50
Email: office@signumgroup.ru
Web: www.signumgroup.ru