Главное о целевых атаках

Главная задача злоумышленников – кража и использование в своих интересах секретной, конфиденциальной или любой другой информации жертвы. Целями APT-атак, как правило, становятся крупные компании, а также правительственные организации, которые имеют дело со сверхсекретными данными, например военными и финансовыми вопросами или патентами.

В ходе сложных целевых атак хакеры проникают в компьютерную сеть жертвы, где пристально отслеживают перемещение данных, действия основных пользователей и важную информацию. При этом злоумышленники делают все, чтобы остаться незамеченными, и могут использовать для этого сложные инструменты. В этой статье мы расскажем подробнее о том, по каким признакам специалисты по кибербезопасности могут распознать APT-атаку, а также какие инструменты лучше выбирать для защиты.

По каким признакам отличить APT-атаку

1. Целевые фишинговые сообщения в электронной почте

Хакерам нужен вход в систему, и для этого они часто используют электронную почту. Основываясь на данных разведки, проводимой перед атакой, злоумышленники выбирают темы, которые могут вызвать интерес у нужных им сотрудников. Сообщения могут содержать зараженное вложение или ссылку, которая загружает программу, предоставляющую доступ к системе потенциальной жертвы.

Целевой фишинг отличается от обычного, когда электронные письма рассылаются всем подряд с целью «выудить» личную информацию или данные как можно большего количества людей. Он персонализирован – нацелен на конкретных людей в конкретных компаниях. При этом зло­умышленники используют добытую ранее личную информацию, чтобы казаться более убедительными и придавать достоверность своим сообщениям.

Очень важно, чтобы сотрудники знали об опасности фишинга и рисках, связанных с открытием вложений и переходом по сомнительным ссылкам.

2. Старые логины

Отслеживайте и анализируйте количество входов в вашу сеть. Если заметили, что в нерабочее время выполняется много входов в систему или используются какие-то необычные шаблоны входа, стоит насторожиться. Это особенно актуально, когда вход в систему осуществляется сотрудниками руководящего звена с высоким уровнем доступа в вашей сети.

Злоумышленники могут находиться в других странах, чем может объясняться необычное время входа в систему. Также они зачастую стараются действовать, когда в офисе мало или вообще нет людей, которые могли бы заметить и остановить подозрительную активность.

3. Трояны-бэкдоры

Для обеспечения постоянного доступа к системе жертвы атакующие часто используют трояны-бэкдоры – программы, позволяющие удаленно подключаться к компьютерам в скомпрометированных сетях и отправлять или получать команды. Такую ситуацию можно сравнить с постоянно открытой задней дверью в доме, в то время как замок на главном входе – учетные данные для входа – поменяли.

4. Перемещение данных

Хакеры находятся в вашей системе с определенной целью – добыть конкретную информацию. Не оставляйте без внимания случаи пересылки больших пакетов информации, изменения месторасположения файлов или перемещения данных с сервера на сервер. Отслеживайте информацию, передаваемую с компьютера на компьютер внутри сети, а также данные, отправляемые на внешние устройства.

Контролируйте необычные подключения, в том числе к внешним ресурсам.

5. Данные сгруппированы и готовы к экспорту

Обращайте внимание на большие файлы, которые находятся не там, где они должны быть. Часто зло­умышленники группируют и сжимают данные, прежде чем экспортировать их из вашей системы. Это позволяет им одновременно перемещать большие объемы данных. Еще один признак того, что хакеры готовятся экспортировать пакеты данных, – это появление архивов, формат которых ваша компания обычно не использует. Также внимательно отнеситесь к расширению файлов в пакетах данных.

Какие компании выбирают защиту от АPT-атак

Примером компании, которая выбирает защиту от APT-атак, может быть один из заказчиков «Лаборатории Касперского» – ТОО «Азиатский Газопровод». Это оператор строительства газовой магистрали Казахстан – Китай. Общая протяженность газопровода – более 7,5 тыс. километров. Проектная мощность – 55 млрд куб. м в год. Магистраль включает три параллельные нити: проектная мощность нитей «А» и «Б» – 30 млрд куб. м в год, «С» – 25 млрд куб. м. Компания предоставляет услуги по транспортировке как транзитного газа, так и на внутренний рынок Казахстана. И защита от целевых сложных угроз – это вопрос непрерывности работы инфраструктуры.

Для начала был проведен пилотный проект. По его итогам эксперты «Лаборатории Касперского» предложили различные защитные подходы, технологии и решения. В результате компания выбрала в качестве защиты от сложных направленных атак комплекс продуктов «Лаборатории Касперского» – Kaspersky Anti Targeted Attack для выявления вредоносной активности в сети и Kaspersky EDR Expert для расследования инцидентов и реагирования на них.

«Азиатский Газопровод» – крупный индустриальный объект, который является составной частью газопровода Туркменистан – Узбекистан – Казахстан – Китай. Для обеспечения максимально эффективной защиты от киберугроз мы применили наши компетенции и опыт как во время пилота, так и в процессе реализации», – отмечает Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Казахстане, Средней Азии и Монголии.

Что нужно знать о решениях «Лаборатории Касперского»

Для крупных компаний и предприятий важна возможность отслеживать малейшие признаки подозрительной активности – атакуют их, как правило, высокопрофессиональные хакеры, а цена пропущенной атаки слишком высока. Важно иметь решение, способное, во-первых, видеть и защищать от всех возможных угроз, а во-вторых, – защищать все активы компании. Для решения этих задач «Лаборатория Касперского» предлагает платформу Kaspersky Anti Targeted Attack.

Платформа, усиленная возможностями Kaspersky EDR Expert, представляет собой решение класса XDR для защиты от сложных угроз, целевых и APT-атак. Этот продукт полностью интегрирован с такими решениями, как Kaspersky Security для бизнеса, а также с Kaspersky Security для почтовых серверов и Kaspersky Security для интернет-шлюзов для автоматического ответа на сложные угрозы на сетевом уровне. Единое решение снижает нагрузку на внутренних ИБ-экспертов и экономит время и ресурсы за счет автоматизации процессов по противодействию угрозам на уровне сети и конечных точек, а также благодаря детальной и обогащенной контекстом информации, доступной из единой консоли управления.

Единая экосистема для борьбы с целевыми атаками и сложными угрозами от «Лаборатории Касперского» отличается гибким развертыванием и интеграцией в любую инфраструктуру (Hardware/Virtual Appliance). Предусмотрена возможность работы в режимах мониторинга и блокировки. Все перечисленные системы устанавливаются у заказчика.