Целевая атака - это кибер атака, направленная на конкретную цель. Как правило определенную организацию, представляющую интерес для злоумышленников. В отличии от кибер атак массового назначения целью которой является максимально возможный охват жертв данной атаки, перед проведением целевой атаки злоумышленники тщательно готовятся, проводятся мероприятия по кибер разведке, могут проводится физические мероприятия, нацеленные на сбор дополнительной информации. На основании собранной информации злоумышленники планируют атаку, готовят фишинговые письма, содержащие специально подготовленное для этой атаки вредоносное программное обеспечение, которое до момента добавления в базы антивирусных средств защиты может не детектироваться антивирусом целевой организации. Информацию об организации, использующихся средствах защиты информации, работниках организации и информации о самих работниках не составляет труда получить из открытых источников информации. Например информацию о средствах защиты информации можно получить из проанализировав закупочную документацию целевой организации, открытые тендеры проводят не только государственные организации, но и некоторые коммерческие. Как правило из технических заданий можно определить не только средства защиты информации, использующиеся в организации, но и схемы сети. Информацию о работниках целевой организации достаточно в соцсетях и профильных информационных каналах. Пользователи самостоятельно выкладывают о себе информацию, дающую представление об атакуемом субъекте, с целью максимально эффективной подготовки к атаке. Проникнув внутрь защищенного периметра сети организации злоумышленники закрепляются и как правило используют легитимное программное обеспечение для горизонтального распространения например RDP, которое как правило не вызывает вопросов у администраторов и специалистов по информационной безопасности и не детектируется системами безопасности. Закрепившись, злоумышленники могут длительное время наблюдать за работой пользователей и проверять службу информационной безопасности, на какие методы она реагирует, а какие не замечает. Такие атаки могут длиться месяцы и годы, при этом оставаясь незамеченными, получая при этом необходимую информацию.
Защита от целевых атак является трудоемкой и ресурсоемкой задачей, но при этом вполне выполнимой. Для решения задач защиты от целевых атак, производители средств защиты информации выпускают специализированные программные комплексы, сочетающие в себе элементы сбора информации о сетевом трафике, о почтовом трафике, о web трафике пользователей, об информации из песочницы, информацию с рабочих станций и другие источники событий информационной безопасности. Собранная информация обогащается информацией из баз данных производителя средств защиты информации об актуальных угрозах (Threat Intelligence) и анализируется по специально разработанным для поиска таких атак алгоритмам. В результате администратор информационной безопасности получает возможность узнать о проведении целевой атаки на организацию и предотвратить ее. Защиту от целевых атак можно организовать и на базе программного обеспечения с открытым исходным кодом, используя такие решения, как IDS/IPS Snort или Suricata, песочница Cuckoo, анализатор сетевого трафика, например Netflow ManageEngine NetFlow Analyzer, ловушку Honeyd, анализатор логов на базе комплекса программ Elasticsearch, Logstash, Kibana (ELK) с подключением, в том числе, логов операционных систем пользователей и серверов, и др. Для учета инцидентов и приема информации о событиях информационной безопасности от сотрудников организации и других источников, можно использовать бесплатную для небольших организаций версию ManageEngine ServiceDesk Plus. Для настройки всего комплекса программ требуется специалист, обладающий определенными компетенциями, а так же специалист, или несколько специалистов, в зависимости от размера организации, которые будут проводить мониторинг событий информационной безопасности, их анализ и выявление из них инцидентов. Для противодействия злоумышленникам, кроме обнаружения целевых атак, необходимо не только обнаруживать их, но и предотвращать, для этого специалистам по информационной безопасности необходимо выстраивать процессы реагирования на инциденты и их дальнейшее расследование, с целью предупредить в дальнейшем их повторение.
Обратившись в нашу компанию, наши аналитики выполнят обследование информационной системы, спроектируют оптимальный вариант системы защиты информации, используя богатый накопленный опыт и экспертизу, с учетом особенностей Вашей инфраструктуры, установят и настроят средства защиты информации, на базе коммерческих продуктов, или используя OpenSource решения, а так же помогут подготовить сценарии реагирования на инциденты информационной безопасности. Такой подход позволяет нашим Заказчикам сосредоточится на выполнении основных бизнес задач, не тратя время и значительные денежные средства на устранение последствий действий злоумышленников.