Большая картина.

Весной прошлого года мы обнаружили Duqu2 – очень профессиональную и дорогостоящую кибершпионскую операцию с господдержкой какой-то дружественной страны. И вычислили мы её тогда при тестировании бета-версии Kaspersky Anti Targeted Attack Platform – специального решения против подобных целевых атак.

И вот, ура! — продукт официально зарелизен и готов к употреблению!

Но вначале немного лирики о том, как мы дошли до жизни такой и почему потребовалась такая специфическая защита.

Кому не терпится сразу к продукту –тыц сюда.

Раньше не только солнце было ярче, небо синéе, а пивная пена пушистее. Как же просто раньше было бороться с мировым кибер-зловредством!

Конечно, тогда мне так не казалось. Тогда мы работали по 25 часов в сутки и проклинали вирусописателей за их плодовитость. Каждый месяц (а то и чаще) случались глобальные эпидемии какого-нибудь червяка и это представлялось самым адским из возможных адов. И, конечно, мы ошибались.

В начале века вирусы были уделом, в основном, студентов, хулиганов и «вечно молодых» переростков. У них не было ни желания, ни способностей создать нечто действительно серьёзное. Эпидемии гасились в считанные дни, часто проактивными средствами. А главное – у авторов не было мотивации, они хулиганили просто «по приколу». Поэтому хулиганили любительски, в свободное от Doom и Duke Nukem время ;)

В середине 2000-х в Интернет пришли большие деньги и новые технологии, которые объединили всё-всё от электростанции до MP3-плеера. За деньгами пришёл профессиональный кибер-криминал, за технологиями – кибер-военщина и спецслужбы. У них была сильная мотивация, средства и мозги, чтобы создавать действительно сложную малвару и проводить искусные атаки, оставаясь «вне радара».

Когда-то тогда «умер антивирус» — традиционные средства защиты более не могли обеспечивать приемлемый уровень защиты. Началась гонка вооружений – эскалация вечного противоборства между нападением и защитой. Кибер-атаки стали точечными, скрытыми, некоторые очень продвинутыми. В свою очередь, антивирусы (которые таковыми, по сути, уже не являлись) эволюционировали в сложные, многокомпонентные системы для многоуровневой защиты, напичканные тучей разнообразных технологий. Секюрити-системы корпоративного уровня обросли ещё более внушительным арсеналом для контроля периметра и обнаружения вторжений.

Однако у этой парадигмы оставался небольшой, но критический для особо крупных организаций недостаток: такие решения неспособны проактивно обнаружить самые профессиональные целевые атаки – атаки уникальной малварой, со специфическим социнжинирингом, через ранее неизвестные уязвимости, с оглядкой на современные секюрити-технологии. Атаки, спланированные и с особой осторожностью реализованные топ-спецами, имеющими бездонное финансирование, а иногда и господдержку. Иногда такие атаки могут оставаться незамеченными многие годы – например, обнаруженная в позапрошлом году операция Equation корнями уходит аж в 1996г.

Банки, министерства и ведомства, критическая инфраструктура, производство – десятки тысяч крупных организаций разной специализации и формы собственности, основа современной экономики и миропорядка, — все они оказались уязвимыми перед реальной угрозой. И спрос на их данные, деньги и интеллектуальную собственность есть.

И что же теперь – накрыться простынями и медленно ползти на кладбище? С целевыми атаками вообще можно бороться?

Можно и нужно! На любой меч найдётся щит. Впрочем, увы, и наоборот тоже – абсолютной защиты не бывает. Цель защиты – сделать атаку экономически нецелесообразной, установить барьеры, чтобы заставить агрессора отказаться от нападения на организацию в «пользу» другой, менее защищённой, жертвы. Конечно, будут исключения, когда речь идёт о политически-мотивированной атаке против конкретной жертвы. В этом случае атака будет вестись до победного конца, но это не причина не предпринимать контрмер.

Тадам! Для борьбы с целевыми атаками как раз и предназначен Kaspersky Anti Targeted Attack Platform (KATA). Что это такое, как оно работает и сколько стоит?

Для начала небольшой ликбез в анатомию целевой атаки.

Целевая атака всегда эксклюзивна – она «заточена» на конкретную организацию или лицо. Сначала злоумышленники скрупулёзно собирают информацию до самых мелких мелочей – ибо от полноты знания жертвы зависит успешность и цена операции. На этом этапе изучается всё от конкретных людей, их жизни, семье, хобби и т.д. до особенностей строения корпоративной сети, и на этой основе строится тактика атаки. Дальше – (i) внедрение в сеть и получение удалённого доступа с максимальными привилегиями, (ii) развитие «успеха» — компрометация критичных узлов инфраструктуры и, наконец, (iii) хищение/уничтожение данных, нарушение бизнес-процессов или чего-то ещё в соответствии с поставленной целью и сокрытие следов активности.

Мотивация, продолжительность этапов, векторы атак, технологии проникновения, малвара – всё это очень индивидуально. Однако какой бы эксклюзивной ни была целевая атака, у неё есть одно слабое место — даже небольшое «шебуршание» (сетевая активность, поведение объектов и др.) вызывает аномалии, отклонения от обычной сетевой активности. Имея на руках Большую картину, полученную с высоты птичьего полёта из разных источников в сети, можно вычислить взлом.

Для сбора первички о таких аномалиях и создания Большой картины KATA использует сенсоры – специальные агенты, которые анализируют IP/веб/e-mail трафик, а также события на рабочих станциях и серверах. Например, перехват IP-трафика (HTTP(s), FTP, DNS) мы делаем с помощью TAP/SPAN; веб-сенсор интегрируется в прокси-серверы через ICAP, а почтовый сенсор подключается к e-mail серверам через POP3(s). Агенты очень лёгкие (для Windows — около 15 мегабайт), совместимые с другим секюрити-софтом, оказывают минимум влияния на производительность как сети, так и компьютеров.

Собранная первичка (объекты и метаданные) передаётся в Центр Анализа для обработки различными методами (сэндбокс, сканирование антивирусным движком и настраиваемыми YARA правилами, проверка файловой и URL репутации, детект уязвимостей и др.), построения корреляций (с использованием машинного обучения) и архивирования. Можно подключать систему к нашему облаку KSN или построить её внутреннюю, корпоративную копию KpSN для пущей гибкости и безопасности.

Большая картина в наличии – можно приступать к делу! На этом этапе KATA как раз и выявляет подозрительную активность и может сигнализировать о неприятностях админам и в SIEM (Splunk, Qradar, ArcSight). Причём чем дольше система работает, чем больше у неё накоплено данных о работе сети — тем выше эффективность, поскольку становятся очевиднее отклонения от нормального сетевого фона.

Слышу логичный вопрос: ОК, нашли атаку, а дальше-то что? А дальше, разумеется, атаку надо локализовать, анатомировать и делать выводы. Здесь на помощь мы присылаем наш «спецназ», который всё это обучен делать.

Подробнее об особенностях работы KATA здесь.

Так, какие ещё вопросы остались? А! «Сколько стоит». Ну, здесь однозначного ответа нет. Точнее есть, но очень уж неопределённый: «плюс-минус полушарие» :) Цена вопроса зависит от сотни факторов, в том числе от размера и топологии корпоративной сети, конфигурации продукта и пакета сопроводительных услуг. Ясно точно – цена будет на порядок ниже потенциального ущерба.