Антонио Форцьяри: Symantec разработала унифицированный подход к борьбе с АРТ на основе множественных точек контроля

Антонио Форцьяри, эксперт по  кибер-безопасности Symantec в регионе EMEA, и Андрей Зеренков, главный консультант по информационной безопасности Symantec в регионе EMEA,  подробно разобрали тему изощрённых целенаправленных атак (Advanced Persistent Threat, APT) и объяснил методы защиты от них, разрабатываемые компанией Symantec.

Сейчас тема целенаправленных атак волнует многих специалистов по безопасности. Антонио Форцьяри, эксперт по кибер-безопасности Symantec, и Андрей Зеренков, подробно разобрал для читателей портала Anti-Malware.ru тему изощрённых целенаправленных атак (Advanced Persistent Threat, APT) и объяснил методы защиты от них, разрабатываемые компанией Symantec.

Что такое APT и чем они отличаются от уже привычных атак?

Андрей Зеренков: Главное отличие – в выполняемой в рамках атаки задачи и, соответственно, используемых средствах. Большинство привычных атак ставит своей целью максимизацию извлекаемого дохода при минимизации затрат, что подразумевает возможность проведения одной и той же атаки на отраслевые компании или на более широкий сегмент, вне зависимости от особенностей внутренней корпоративной сети атакуемых компаний и применяемых ими средств защиты. То есть, это типизированные атаки, в наиболее опасном случае «производимые мелким тиражом», что позволяет средствам защиты выявлять и блокировать их на самых ранних стадиях (после того, как они хотя бы один раз «засветятся»). Кибер-преступники здесь рассчитывают лишь на несовершенство системы защиты атакуемых компаний. Совсем другое дело, когда атака направлена только на вашу организацию. В этом случае кибер-преступники используют ещё «незасвеченные» инструменты – эксплойты к уязвимостям (программный код, позволяющий их эксплуатировать), специально созданные под особенности вашей организации вредоносные программы и методы социальной инженерии. APT – медленно и очень осторожно развивающиеся атаки, использующие одновременно несколько возможных вариантов проникновения и продвижения к цели. Одна из основных задач – оставаться незамеченными так долго, как это только возможно, даже после достижения цели и получения требуемого результата. Учитывая, что цель должна оправдывать средства, можно смело заявить, что последствия такой атаки будут очень заметны, и не только в финансовом эквиваленте. Что в прошлом году и произошло с десятками наших банков, включая и наиболее известные. Отсутствие информации о применяемых в рамках атаки методах и средствах делает задачу обнаружения APT очень сложной и трудоёмкой. Напомню, что любая система защиты – это комплекс организационно-технических мероприятий, включающих в себя «человеческий фактор», который в первую очередь и используют кибер-преступники в рамках APT. Ведь человек – это и самое сильное звено защиты, и, одновременно, самое слабое.

Что собой представляют ATP-решения (защита от АРТ)?

Антонио Форцьяри: Защита от АРТ или Advanced Threat Protection (ATP) – задача очень сложная и объёмная, в основе которой лежит новый подход к защите компаний и их критических активов от изощрённых направленных атак. Техники традиционной эшелонированной обороны постоянно совершенствуются в соответствии с актуальными требованиями. Хотя мы всё ещё видим компании, которые не дозрели даже до этого уровня. Однако современные угрозы требуют ещё более глубокого и многоуровневого подхода к построению защиты, охватывающего и сети, и серверы, и устройства сотрудников. Учитывая, что тема ATP ещё достаточно нова, различные компании-производители средств защиты используют различающиеся подходы к созданию ATP-решений. Эти различия в подходах хорошо описаны в документе Gartner “How to Deploy the Most Effective Advanced Persistent Threat Solutions”. В настоящее время на рынке представлены решения, сочетающие в себе некоторые из следующих подходов:

Первый – это анализ сетевого трафика. Анализ сетевого трафика необходим для определения так называемого стандартного поведения сети, чтобы затем выявлять отклонения от него. То, что выходит за рамки обычного поведения вполне может оказаться частью атаки.

Второй - расследование на уровне сети. Инструменты, позволяющие перехватывать сетевые пакеты, обеспечивают реконструкцию сетевых потоков и событий за требуемый период (дни или даже недели) для обеспечения процессов реагирования на инциденты и для проведения расследований.

Третий - анализ объектов. Выполняется анализ файловых объектов в так называемой «песочнице», эмулирующей программно-аппаратную среду, которая может располагаться как в корпоративной сети компании, так и в облаке, для выявления вредоносных программ, получаемых по e-mail, через Web- и SMB-трафик.

Четвертый - анализ поведения на компьютерах. Обычно применяется ограничение возможностей запускаемого приложения рамками виртуального контейнера, защищающего вычислительную среду от непредусмотренных действий. Альтернатива этому – использование так называемых «белых списков» приложений, разрешённых для использования (запуск любых других приложений блокируется по умолчанию).

И, наконец, последний пятый - расследования на уровне компьютеров. Используются инструменты инверсивного управления (Inverse of Control, IoC), обеспечивающие перехват управления компьютером, что особенно полезно в случае его заражения. Они обеспечивают процессы реагирования на инциденты и проведение расследований.

Стратегия Symantec в области создания ATP-решений – одновременно использовать все эти подходы.

Можно ли создать ATP на основе продуктов различных производителей?

Антонио Форцьяри: В последние годы мы наблюдаем развитие различных взаимодополняющих подходов к созданию ATP-решений. Недавно возник новый: для улучшения защиты, обнаружения и реагирования компании начали детально оценивать сетевую активность, корреляцию поведения на компьютерах и анализировать информацию с множества точек контроля. Что получило название «Второй волны АТР-решений». Наше решение MSS-ATP (Symantec Managed Security Services – Advanced Threat Protection) развивается именно в этом направлении. Symantec входит в альянс производителей средств защиты “Specialized Threat Analysis and Protection (STAP)”, обеспечивающих интеграцию своих решений с другими. MSS-ATP обеспечивает выявление и определение приоритетов наиболее критических для компании инцидентов на основе автоматизированного анализа корреляции событий в сети и на компьютерах, что снижает вероятность ложных срабатываний. И, поскольку MSS-ATP взаимодействует с уже установленными средствами защиты компьютеров, отпадает необходимость установки, мониторинга и обслуживания дополнительного программного обеспечения.

Андрей Зеренков

Главный консультант по информационной безопасности / архитектор систем информационной безопасности.

Глубокие знания и обширный опыт в области информационной безопасности позволяют Андрею решать задачи любого направления, предпочтительными являются защита от APT и других сложных современных угроз, управление рисками информационной безопасности и борьба с утечками конфиденциальной информации.

С чего начинать и что необходимо учитывать при создании ATP?

Антонио Форцьяри: Прежде всего, при построении ATP-решения важно не только использование тех или иных продуктов и технологий, но и изменение принципиального подхода. Поэтому в настоящее время при создании стратегии информационной безопасности CISO рассматривают четыре этапа: «Подготовка», «Защита», «Обнаружение» и «Реагирование». Предыдущий, устаревший, подход обычно ограничивался лишь этапами «Подготовка» и «Защита». Что оказалось недостаточным в современных условиях, и компании стали больше внимания уделять этапам «Обнаружение» и «Реагирование», чем этапу «Защита». Бреши будут выявляться всегда (идеальной защиты не бывает), поэтому компании должны быть готовы своевременно обнаруживать угрозы и оперативно на них реагировать. И, прежде всего, это относится к АТР. В нескольких крупных компаниях мы уже наблюдаем организационные изменения в соответствии с этой моделью – были созданы подразделения «Подготовки», «Защиты», «Обнаружения» и «Реагирования», которым были поставлены их собственные, отличные от других, цели и задачи.

Новый подход обеспечивает пользователям наилучшую видимость ситуации в динамике, что улучшает качество защиты, обнаружения и реагирования на кибер-атаки, что, по сути, является кибер-устойчивостью компании. Начинать нужно, разумеется, с полноценного использования того, что у вас уже есть – межсетевых экранов, систем обнаружения и предотвращения вторжений, шлюзов, средств защиты компьютеров, тщательность настройки и мониторинга которых позволит своевременно выявлять бреши. При этом одним из важнейших элементов мониторинга является использование аналитической информации из глобальной мониторинговой сети (например, Symantec Global Intelligence Network, GIN), существенно улучшающей возможности обнаружения атак. Один из простейших примеров – сопоставление адресов исходящего трафика с данным об известных серверах управления атаками. Именно в этом направлении развиваются услуги Symantec Managed Security Services в целом и решение MSS-ATP в частности.

После того, как вы обеспечили мониторинг, следует одновременно расширять возможности обнаружения атак в сети (на этой стадии обычно добавляется анализ объектов, передаваемых по сети) и на компьютерах (используя решения для проведения расследований). Ключом к успеху в данном случае является способность интегрировать между собой средства анализа событий в сети и на компьютерах. Должна быть обеспечена полная двусторонняя интеграция, что обеспечит и качество обнаружения, и гибкость реагирования - это и есть этап «Обнаружения».

Однако ATP-решение здесь ещё не заканчивается: вы уже можете обнаруживать кибер-атаки, и на передний план выходит эффективность реагирования, как ключ к минимизации их воздействия на бизнес компании и обеспечения устойчивости к последующим атакам. Реагирование на инциденты – ключевая задача для любой компании, поскольку одних лишь функций защиты и обнаружения недостаточно - нужно предусмотреть также и этап «Реагирования/Восстановления».

Компаниям также необходимо инвестировать и в «Подготовку». Ибо как можно быть кибер-устойчивым без знаний об инструментах, методах и наработках, используемых кибер-преступниками? В отличии от пилотов, которые могут тренироваться на симуляторах, мы, как защитники, тренировочной средой не обладаем и учимся на реальных инцидентах. Но, как показывает армейский опыт, солдаты, не побывавшие под реальным огнём, мог войти в ступор в бою под наведённым на них оружием. Подобное же может случиться и с нетренированными ИБ-специалистами.

И последнее, но не менее важное: нам необходима аналитическая информация, позволяющая полностью видеть ситуацию – это аналитические данные о противнике и общая аналитика о ситуации, как фундамент задач обнаружения и реагирования на инциденты информационной безопасности, которые как раз и получаются на этапе «Подготовки».

Что представляет собой ATP-решение Symantec и чем оно отличается от других?

Антонио Форцьяри: Symantec пока предлагает лишь одно ATP-решение, это – MSS-ATP, то есть услуга по управлению ATP-защитой, которая существенно уменьшает время, необходимое для обнаружения, приоритезации и реагирования на инциденты информационной безопасности за счёт интеграции решений Symantec по защите компьютеров c продуктами сетевой безопасности других производителей. Symantec создал партнёрскую экосистему, которая уже включает в себя такие известные компании в области сетевой защиты, как Check Point, Palo Alto Networks и Sourcefire (подразделение Cisco). В рамках данной экосистемы осуществляется обнаружение и корреляция вредоносной активности и в сети, и на компьютерах, что позволяет существенно снизить вероятность ложных срабатываний и выявлять наиболее опасные инциденты. А это, в свою очередь, позволяет обеспечить наиболее оперативное реагирование на них. При этом интеграция между STAP-устройствами и решениями Symantec для защиты компьютеров осуществляется без использования какого-либо дополнительного программного обеспечения.

Symantec также представила очень полезные для клиентов сервисы «Реагирования на инциденты» (Incident Response Service) и «Аналитики по угрозам потенциальных противников» (Manages Adversary Threat Intelligence). Первый – это абсолютно новый сервис реагирования на инциденты, предоставляющий пользователям прямой доступ к критически важным функциям, информации и знаниям в рамках различных сценариев реагирования на инциденты. Второй – новый аналитический сервис, предоставляющий информацию об угрозах и аналитику, позволяющую оценить кибер-риски для ключевых активов компании, исходя из текущей ситуации с атаками в Интернет. Вы можете получать информацию различными путями – через портал с помощью автоматических обновлений, которые можно интегрировать в ваши аналитические системы, или в качестве аналитической услуги – информации об отслеживаемом противнике в виде детализированных отчётов об инициаторах атак, что обеспечивает уникальную видимость кибер-атак всех типов, целью которых может стать, в том числе, и ваша организация.

Одновременно, Symantec работает над новыми продуктами и услугами в области ATP. Два решения: Symantec ATP:Endpoint (SATP:E) и Symantec ATP:Network (SATP:N) находятся на стадии тестирования, чуть позднее выйдет ATP-решение для электронной почты. Все они будут работать в тесной интеграции между собой, обеспечивая высокое качество защиты за счёт корреляционного анализа событий, происходящих на компьютерах, в сети и каналах электронной почты. Решение SATP:E опирается на уже имеющиеся у заказчиков антивирусные комплексы Symantec Endpoint Protection (SEP) версии 12.1.5, что снимает необходимость использования дополнительных агентов.

Как относиться к ATP-решениям – как к затратам или как к инвестициям? Если второе, то как быстро они могут окупиться?

Антонио Форцьяри: Обоснование инвестиций в безопасность – одна из тех задач, которые поглощают наибольшее количество времени CISO/CSO. Стоит ли АТР-решение запрашиваемых денег? Хорошие ли это инвестиции? Обеспечит ли оно необходимую видимость происходящего сейчас и в перспективе?

Как байкер я слишком хорошо знаю, что могу упасть и разбить свой мотоцикл. Поэтому вопрос не в том, случится ли это, а в том, когда это случится. Наиболее распространённое мнение среди байкеров: «Ты не настоящий байкер, если ещё не разбивал мотоцикл». Именно поэтому я вложил деньги в очень хороший шлем, качественную кожаную куртку с защитой плеч и локтей, кожаные перчатки, кожаные брюки, полноценную защиту позвоночника и гоночные ботинки со встроенными элементами защиты.

Через три месяца после покупки я упал на своём спортивном байке на скорости примерно 100 км/ч. Он был серьёзно повреждён, но всё-таки смог доставить меня домой. Мои шлем, перчатки и куртка также были серьёзно повреждены, но больше всего мне помогла кевларовая защита локтя, встроенная в куртку – она буквально спасла мою руку при столкновении с ограждением.

Чем были мои деньги, потраченные на экипировку – затратами или инвестициями? Я уверен в том, что это были действительно правильные инвестиции – они избавили меня от серьёзных проблем при аварии.

Та же логика применима ко всем технологиям защиты и, особенно, к ATP. Атаки происходят постоянно, и рано или поздно окажутся успешными в отношении Вашей компании. Как профессионалы в области информационной безопасности и как производитель продуктов защиты мы должны сделать всё возможное, чтобы предотвратить кибер-Пёрл-Харбор.

Для того, чтобы должным образом обосновать инвестиции существует множество моделей ROSI. Но основой основ является внедрение культуры информационной безопасности во всей организации. Ключ к успеху – реальная поддержка этого процесса на уровне бизнес-функций.

Каким компаниям (по виду бизнеса, размеру, регуляторным требованиям, и т.д.) в первую очередь следует задуматься об ATP?

Андрей Зеренков: Это, скорее, вопрос того, насколько рискованна деятельность компании, насколько подвержена она направленным атакам и насколько ценна её информация для атакующих.

Обычно государственные компании (особенно правительственные структуры), являются желанной целью, как обладатели ценной информации. В то же время, промышленные, финансовые, энергетические и нефтегазовые компании являются не менее желанной целью для очень опасных атак (вспомните, например, такие названия, как Stuxnet, DragonFly и Hidden Lynx). И мы видим очень сложные глубоко интеллектуальные направленные атаки на компании практически всех секторов экономики, например, вредоносную программу Regin в секторе телекоммуникационных компаний, и ряд других.

Какие «подводные камни» необходимо учитывать при создании ATP-решения?

Андрей Зеренков: Технологии, обеспечивающие более высокий уровень предотвращения/обнаружения добавляют и существенно больший объём «шума». Каждая технология имеет свою цену, но ни одна из них не совершенна. Все они вызывают определённый процент ложных срабатываний, и компаниям приходится тратить часть своих ресурсов на анализ событий, позволяющий отделить ложные срабатывания от реальных инцидентов. Создание центра кибер-безопасности (Cyber Defense Center, CDC) поможет решить задачи анализа событий и отсеивания ложных срабатываний. И наши новые ATP-технологии помогут реализовать в CDC правильный функционал обнаружения направленных атак.

Каково ваше видение развития ATP-технологий и планы Symantec в этом направлении?

Антонио Форцьяри: Компания Symantec уже выпустила решение MSS-ATP в первой версии, обеспечивающее интеграцию решений по защите компьютеров с решениями сетевой защиты других производителей. Была создана экосистема партнёров, включающая в себя такие известные компании как CheckPoint, Palo Alto Networks и Sourcefire (подразделение Cisco). В настоящее время готовятся к выпуску новые ATP-решения Symantec, которые обеспечат нашим пользователям лучшие возможности обнаружения атак и реагирования на них.

Подход Symantec к ATP-защите выходит далеко за рамки простого блокирования угроз. Это не лоскутное одеяло из разрозненных решений. Symantec разработала унифицированный подход к борьбе с АРТ на основе множественных точек контроля развития атаки на всех стадиях. Решение, которое Symantec скоро выпустит, будет включать в себя технологии обнаружения атак и оперативного реагирования на угрозы.

Во-первых, это «облачная песочница» “Cynic”, обеспечивающая выявление вредоносных программ на основе анализа их поведения как в виртуальной, так и в физической средах. Во-вторых, это платформа взаимодействия “Synapse”, обеспечивающая прозрачный обмен информацией между решениями защиты компьютеров, электронной почты и шлюзов для ускорения процессов реагирования.

Данные разработки дополнят портфель ATP-решений Symantec, уже включающий в себя: Symantec Managed Security Services – Advanced Threat Protection (услугу управления АТР-защитой и реагированием), Symantec Incident Response Service (сервис реагирования на инциденты информационной безопасности) и Symantec Intelligence DeepSight Portal and DataFeeds (сервис предоставления аналитической информации об угрозах).

Спасибо за интервью и успехов в бизнесе!