Комплексные таргетированные угрозы: обеспечение защиты
Можно с уверенностью сказать, что комплексные таргетированные угрозы – это не обычные любительские атаки. Такие угрозы работают на основе передовых технологий, а также нескольких методов и векторов для целенаправленных атак на конкретные организации с целью получения конфиденциальной или секретной информации. Защита от таких угроз требует особого подхода.
Учитывая масштаб прошлогодних нарушений безопасности, в будущем следует быть готовыми к новым, еще более мощным атакам вредоносных угроз. Они могут выполняться в интересах иностранных агентств, враждебных правительств, политических активистов и беспринципных компаний, тайно ворующих секреты. Благоприятной почвой для атак могут стать глобальные события, например Олимпийские игры. Способствует их распространению и постоянная нестабильность на Ближнем Востоке, а также экономический кризис в Европе.
Взломы систем в интересах целых государств сегодня рассматриваются как неминуемая угроза или грядущий кошмар – для тех, кто понимает масштаб проблемы. Как сообщает издание Asia Times, Комиссия Конгресса по оценке экономических отношений и безопасности между США и Китаем (USCC) недавно поделилась сходными опасениями. Директор инициативы Cyber-Statecraft Атлантического совета назвал китайскую угрозу настолько огромной, что военные эксперты по кибербезопасности описали ее как "величайшее в истории человечества перераспределение богатств путем кражи и пиратства".
Учитывая постепенное и неустанное распространение в мире комплексных таргетированных угроз, они совершенно точно предвещают неприятности. В то время как военные подрядчики и предприятия высокого уровня шаг за шагом повышают свою грамотность в области безопасности и усиливают защиту, средние и небольшие компании становятся следующей логической мишенью целенаправленных атак. Нередко компании этого сектора рынка бывают особенно привлекательны для злоумышленников, одновременно обладая конфиденциальной информацией крупных предприятий и правительственных агентств и работая в инфраструктуре безопасности, типичной для средних компаний. Однако их бюджеты сравнительно невелики, и они не могут позволить себе выделенных ИТ-специалистов по безопасности, которые смогли бы защитить их от все более изощренных угроз. Добавьте к этому недостаточную осведомленность таких предприятий в вопросах безопасности, которая проистекает из обманчивого ощущения своей анонимности, и получится идеальная цель для комплексных таргетированных угроз.
Учитывая, что хакеры смогли довольно глубоко проникнуть в сеть Lockheed Martin, прежде чем их активность обнаружили, небольшие и средние предприятий действительно находятся в большой опасности. Казалось бы, на случай столкновения с пугающими комплексными таргетированными угрозами у них практически нет вариантов защиты. Это вовсе не так.
Методы защиты
Многие из атак на средние компании можно полностью или частично предотвратить с помощью регулярного обучения и информирования пользователей. Следует постоянно применять рекомендации по безопасности: не открывать вложения и файлы PDF из неизвестных или нежелательных источников, дважды проверять подозрительные вложения электронной почты и регулярно менять пароли. Самое главное, что предотвратить атаку гораздо дешевле, чем исправлять ее последствия. Таким образом, упреждающий контроль угроз обеспечивает высокую рентабельность инвестиций, которая так важна при ограниченных бюджетах средних компаний.
При этом нельзя полагаться только на пользователей: для сохранности данных организации крайне важно внедрить надежную инфраструктуру информационной безопасности. Лучше всего эту мысль выразил эксперт по безопасности Брюс Шнайер: в случае с атаками традиционных вредоносных программ "защита от злоумышленника – это относительное понятие. Если вы защищены лучше других, он найдет другую жертву. Комплексная таргетированная угроза – совсем другое дело. Здесь злоумышленник по той или иной причине хочет атаковать вас. В этом случае важен абсолютный уровень защиты. Неважно, насколько он лучше или хуже по сравнению с другими. Здесь имеет значение лишь тот факт, сможет ли ваша защита остановить его".
Первый и важнейший шаг: защита рабочих мест
Средним компаниям необходимо улучшить свою защиту, чтобы не стать жертвой все более опасных комплексных таргетированных угроз. Технологии стандартных брандмауэров и систем обнаружения вторжений недостаточно хорошо блокируют неуловимые и изощренные целевые атаки.
Проблема осложняется еще и тем, что многие из таких технологий не всегда оперативно поддерживаются и обновляются, внушая организациям ложное ощущение безопасности и открывая свободный доступ создателям комплексных таргетированных угроз. Средним компаниям необходимо, как минимум, внедрить надежное средство безопасности рабочих мест, включающее компоненты антивируса, контроля программ и устройств, а также веб-контроля.
Для проникновения в систему большинство комплексных таргетированных угроз используют малоизвестные или вообще неизвестные уязвимости "нулевого дня". Предприятиям необходимо решение для защиты рабочих мест, использующее репутационные технологии и сервисы, которые могут отразить вредоносные виды активности, а также выявить и устранить еще не обнаруженные угрозы. Подобные сервисы позволяют предупредить об опасности заражения пользователей, просматривающих взломанные и подозрительные веб-сайты.
Kaspersky Endpoint Security 8 для Windows сочетает в себе все эти возможности, которые необходимы для всесторонней защиты от комплексных таргетированных угроз. В решении доступны передовые функции защиты от вредоносных программ с различными видами контроля данных: контроль программ, контроль устройств и веб-контроль. Помимо этого предусмотрены настраиваемые "белые" и "черные" списки для ограничения запуска приложений. Эвристические технологии позволяют предупредить пользователя о неизвестных угрозах, а при необходимости – принять немедленные меры для устранения атаки и восстановления поврежденных данных.
А теперь специальная информация для тех, кто считает электронную почту устаревшим источником угроз: все не так просто. В большинстве комплексных таргетированных угроз применяются методы социальной инженерии – в электронных письмах или мгновенных сообщениях. Важной технологией в решении Kaspersky Endpoint Security 8 является функция "безопасной коммуникации", которая работает в популярных программах электронной почты, а также сканирует файлы и ссылки, отправляемые через системы мгновенных сообщений. Кроме того, в решении реализованы технологии защиты от фишинга, которые используют список фишинговых URL-адресов, обновляемый в режиме реального времени с помощью сети Kaspersky Security Network (KSN).
Для защиты шлюза электронной почты может использоваться другое решение – Kaspersky Security для почтовых серверов. Оно защищает от вредоносных программ и спама все популярные почтовые серверы и серверы совместной работы: Microsoft Exchange, Lotus Notes/Domino, Sendmail, Qmail, Postfix и Exim. Решение сканирует все входящие и исходящие сообщения и вложения, фильтрует сообщения по типу вложения и проверяет их на вирусы на сервере Exchange, помогая конечным пользователям отражать фишинговые атаки комплексных таргетированных угроз.
Однако такие угрозы практически никогда не останавливаются только на рабочем месте конечного пользователя: это следует учитывать и при выборе решения безопасности для организации. Решение для защиты от вредоносных программ должно обязательно охватывать все компоненты сети: файловые серверы, рабочие станции и мобильные платформы.
О безопасности среднего сегмента рынка заботится еще одно решение – Kaspersky Security для файловых серверов. Среди его возможностей – сканирование всех ключевых системных компонентов при доступе, по расписанию и по требованию, а также обнаружение, удаление и блокирование вредоносных программ и зараженных объектов.
Поскольку комплексные таргетированные угрозы могут проникнуть через любую рабочую станцию, Kaspersky Endpoint Security 8 для Windows обеспечит защиту всех рабочих станций, в том числе удаленных, от всех типов киберугроз: вирусов, шпионского ПО и хакерских атак. Сканер уязвимостей и угроз постоянно отслеживает все входящие и исходящие файлы и потоки данных (электронную почту, интернет-трафик и сетевое взаимодействие) на предмет наличия вредоносного содержимого. Подробное сканирование выполняется в режиме реального времени при доступе к файлам.
Несколько лет назад комплексные таргетированные угрозы ограничивались платформой Windows. Сегодня все изменилось. В результате недавнего роста числа вредоносных программ для платформы Mac OS X пользователи Mac оказались в незавидном положении, становясь все более уязвимыми для тех же типов атак, что и пользователи Windows. В начале этого года пользователи Mac испытали на себе действие опасного троянца Flashback, к концу апреля 2012 г. заразившего свыше 748 000 компьютеров. Kaspersky Endpoint Security для Mac обеспечивает столь же высокий уровень защиты от угроз, подобных Flashback, и неумолимо растущего количества вредоносных программ для Mac. Оно оснащено мощным антивирусным ядром, технологией эвристического сканирования и функциями оптимизированного использования системных ресурсов. Простое в развертывании и управлении решение поддерживает помещение объектов на карантин и в резервное хранилище.
Решение для Linux на базе антивирусного ядра "Лаборатории Касперского" может обнаруживать, помещать в карантин и удалять вредоносные программы на большинстве операционных систем Linux.
Важный фактор эффективной защиты – прозрачность инфраструктуры. Под этим подразумевается комплексное представление среды и система отчетов, с помощью которых администраторы смогут получать доступ ко всей ИТ-среде и средствам безопасности, отслеживать историю событий безопасности. В едином представлении должны быть сведения не только о рабочих станциях, но и о серверах, виртуальных машинах и мобильных платформах. Все это можно найти в консоли Kaspersky Security Center, предоставляющей широкий спектр инструментов администрирования. Она позволяет управлять множеством приложений для защиты от угроз, настраивать и планировать политики, выполнять интеграцию с решениями Cisco NAC и Microsoft NAP, а также управлять мобильными устройствами.
При этом надо помнить, что ничто не может гарантировать абсолютной защиты от заражения вредоносными программами, особенно когда комплексные таргетированные угрозы становятся более мощными и всепроникающими. Цель любой программы безопасности – максимально снизить вред от угроз наиболее простыми средствами и с наименьшими затратами. Такие защитные решения, как Kaspersky Endpoint Security 8 вместе с дополнительными продуктами обеспечивают функциональность, управляемость и безопасность, которые отвечают требованиям защиты и возможностям бюджета предприятий.