Технология обнаружения целенаправленных атак
Компания Cezurity, российский разработчик средств информационной безопасности, объявила о завершении разработки технологии обнаружения целенаправленных (таргетированных) атак на информационные системы предприятий.
Характер обнаруженных в последнее время атак (Stuxnet, Duqu, операция Аврора, атака на компанию RSA Security и др.) говорит о том, что компьютерные угрозы изменились. Киберпреступность начинает приобретать черты организованной и хорошо финансируемой индустрии. Все более распространенными становятся так называемые целенаправленные атаки (Advanced Persistent Threats, APT), в которых преступников интересуют конкретные цели – как правило, это информационные системы предприятий и даже государств. С помощью атаки решаются задачи, связанные с кибершпионажем или получением выгоды от компрометации данных. Поскольку при этом данные всегда защищены, основной точкой приложения усилий становится обход существующей защиты. Традиционные средства защиты, например антивирусы, сегодня не в состоянии справиться с целенаправленными атаками.
Атаки APT обычно растянуты во времени и поэтапны, от их начала до момента уничтожения следов присутствия могут пройти годы. Злоумышленники используют разные методы сбора данных и внедрения в ИС: это может быть социальная инженерия, эксплуатация известных и неизвестных (zero-day) уязвимостей, вредоносные программы и инструменты сокрытия их присутствия в системах. В атаках могут участвовать инсайдеры.
Разработанная Cezurity технология динамического обнаружения основана на том, что действия злоумышленников неизбежно приводят к изменению атакуемых систем. Чтобы обнаружить атаку, оцениваются изменения систем во времени. Каждый из компьютеров периодически сканируется – собирается информация о состоянии критических объектов (это, например, геометрия исполняемых файлов, положение объектов в системе, их взаимосвязь между собой, поведенческие портреты приложений. Информация классифицируется и сравнивается с результатами прошлых сканирований, в изменениях проводится поиск аномалий. Найденные аномалии подвергаются машинному, а при необходимости и ручному анализу.
Отличие технологии от традиционных подходов – в том, что при динамическом обнаружении анализируются не отдельные состояния систем, а произошедшие изменения. Безопасность обеспечивается за счет того, что защита, как и сама атака, представляет собой постоянный, протяженный во времени процесс, в котором центральное место занимает обнаружение действий злоумышленников.
Одно из важных преимуществ технологии Cezurity состоит в том, что атака может быть обнаружена на самой ранней стадии. При этом детектироваться будет любая из попыток и любой из этапов атаки, что позволит значительно снизить риск компрометации ИТ-инфраструктуры.
Высокая точность обнаружения требует обработки больших объемов информации, поэтому в основе подхода Cezurity лежат облачные технологии, в частности, разработанная компанией платформа анализа Cezurity Cloud, а также ряд методов интеллектуальной обработки больших массивов данных.