Семь шагов хакеров. Как выстроить эшелонированную оборону от кибератак

Как бы изощренны и сложны не были кибератаки, все они развиваются по одному и тому же многоступенчатому принципу. Отсюда — необходимость выстраивания полноценной системы эшелонированной обороны, которая состоит из целого комплекса решений. Это позволяет бизнесу организовать оборону от киберугроз на каждом этапе хакерской атаки.

Как действует злоумышленник при атаке на инфраструктуру

Противостояние преступникам начинается с понимания того, как они совершают свои нападения. Модель кибератак описана достаточно давно, называется она Cyber Kill Chain. Согласно этой модели, киберпреступники, осуществляя атаку, последовательно выполняют семь действий. При этом каждое из них (кроме самого первого) становится возможным только после того, как завершено предыдущее. Именно поэтому для каждого из этапов нападения применимы свои методы и инструменты защиты.

Важно понимать, что все эти действия могут осуществляться на протяжении значительного времени. Согласно последним данным, от момента получения хакерами доступа к инфраструктуре жертвы до обнаружения следов нахождения злоумышленника, в среднем проходит 37 дней.

Все начинается со сбора информация о цели (Reconnaissance). Для этого используются пассивные действия: сбор данных из открытых источников, — или активные: сканирование сети, проверка уязвимостей. 

Далее происходит вооружение (Weaponization), подготовка инструментария для атаки. В это время подбирается или создается вредоносное ПО. 

Третий этап — доставка (Delivery), передача вредоносного ПО к цели при помощи фишинга, заражения через носители данных и т.п. 

На четвертом этапе злоумышленники используют уязвимости в системе для получения несанкционированного доступа к ней. Этот этап называется эксплуатация (Exploitation). 

Далее наступает очередь установки  вредоносного ПО (Installation), которое должно в дальнейшем обеспечить преступникам постоянный доступ в пределы периметра организации. 

На этапе управления и контроля (Command and Control) происходит установка соединения злоумышленника с информационной средой. 

Наконец, на последнем этапе действий по объектам (Actions on Objectives) реализуются цели киберпреступников. Они могут быть весьма разнообразными и даже сочетаться вместе: кража данных, их подмена, удаление.

Первая линия обороны

В роли внешних «крепостных стен» инфраструктуры сегодня используются решения, которые необходимо внедрить в первую очередь: Next Generation Firewall (NGFW), Web Application Firewall (WAF) и Endpoint Protection (EPP). 

Next Generation Firewall (NGFW) — межсетевые экраны нового поколения, защищают внешний периметр организации. NGFW, в отличии от традиционных межсетевых экранов, работают на уровне приложений, поэтому контролируют не только ip-адреса, но и сайты (и даже виджеты соцсетей), веб-приложения, умеют выделять в трафике файлы, проверять их антивирусом и отправлять в песочницу, защищают от вторжений и фишинга. При этом, благодаря современным и гибким системам управления, администраторы могут легко управлять даже огромными политиками в десятки тысяч правил.

NGFW предоставляет множество средств обеспечения безопасности: глубокую проверку пакетов, которая позволяет найти и заблокировать зловредное ПО, системы контроля работы приложений, обнаружения и предотвращения вторжений (IDS/IPS), фильтрации по URL или даже контенту, антивирусную защиту, управление политиками безопасности. 

Большинство организаций сегодня имеют собственные веб-сайты или веб-приложения. Они требуют отдельного средства защиты, специального файрволла или Web Application Firewall (WAF). Этот фильтр отслеживает и проверяет весь входящий и исходящий HTTP/HTTPS-трафик и просто блокирует подозрительные запросы.

Решения этого класса дают возможность защититься от распространенных видов атак (SQL-инъекций, межсайтового скриптинга (XSS), вредоносных ботов, попыток взлома с использованием неизвестных ранее уязвимостей). WAF ведет в реальном времени мониторинг угроз и уведомляет администратора о подозрительных инцидентах. 

Еще один инструмент первой линии обороны — EPP (Endpoint Protection), средства защиты конечных точек. Они нужны потому, что ни одно решение не может дать стопроцентной гарантии непопадания вредоносного ПО к пользователю. Поэтому каждый компьютер, работающий в периметре организации, должен иметь собственные средства защиты.

Современные EPP уже давно перестали быть классическими антивирусами. Это комплексы c множеством дополнительных возможностей. Среди них — контроль программ, который умеет разрешать или блокировать использование ПО, контроль привилегий, отслеживающий выполнение политик безопасности. При этом современные ЕРР еще и управляются из единого центра.

Внутренние стены крепости

За внешними стенами замка всегда есть дополнительные. В системе защиты инфраструктуры роль внутренних стен выполняют Network Traffic Analysis (NTA), Network Detection and Response (NDR), Endpoint detection and response (EDR), Extended detection and response (XDR), Sandbox и Deception.

Эффективность отражения кибератаки во многом зависит от того, насколько быстро удается обнаружить присутствие хакеров в инфраструктуре. Отвечают за это решения классов NTA и NDR. Их роль — выявить присутствие преступников внутри защищаемого периметра и сообщить о нем администраторам, чтобы они приняли соответствующие меры.

Эта задача не так проста: киберпреступники всеми силами стремятся «замести следы». Это проще сделать в событиях различных систем, но в трафике их присутствие выявляется достаточно эффективно. За анализ трафика как раз отвечают решения NTA (Network Traffic Analysis) и NDR (Network Detection and Response). NTA проверяет сигнатуры (подписи) пакетов трафика, NDR работают без них, опираясь на искусственный интеллект, машинное обучение и поведенческую аналитику.

NTA/NDR выстраивают карту взаимодействий в сети, фиксируют «общение» узлов, устройств, пользователей и приложений друг с другом, выявляют подозрительные активности, анализируют зашифрованный трафик, причем часто анализировать можно и метаданные шифрованных сессий, выявляя угрозы без непосредственного обращения к содержимому пакетов. 

NDR, кроме того, умеет автоматически реагировать на угрозы, изолируя хосты с подозрительной активностью, а также агрегировать отдельные срабатывания в структурированные инциденты. Ко второму рубежу обороны NTA и NDR позволяет отнести их способность анализировать как внешний, так и внутренний трафик. Эти решения могут использоваться при расследовании инцидентов.  

Решения EDR и XDR, в отличие от EPP, позволяют обнаруживать инциденты безопасности, расследовать и даже устранять их на конечных точках. EDR работает проактивно, то есть определяет аномалии и подозрительные действия до того, как они могут развиться в серьезный инцидент.

XDR — еще более совершенное средство защиты. Помимо конечных точек такие решения могут контролировать несколько уровней стека безопасности. Часто ИБ-вендоры, выпуская EDR-решения, предусматривают возможность расширения их функционала до XDR при работе в экосистеме, связках с другими продуктами

Решения этих классов дают возможность отслеживать в реальном времени поведение конечных устройств, сохранять телеметрию для будущих расследований и визуализировать цепочку событий при их проведении. EDR/XDR дают возможность оперативно реагировать на инциденты: изолировать зараженную машину, остановить процесс, выгрузить данные для отчета или передать их в SIEM для анализа и корреляции с другими событиями.

Sandbox или песочница — средство дополнительной проверки подозрительных объектов (файлов, ссылок и т.п.). Она позволяет безопасно запускать файлы и приложения в изолированной среде.

Sandbox может использовать статический и поведенческий виды анализа. Первый подразумевает проверку объектов встроенными антивирусами, второй — запуск файла или ссылки в изолированной среде с последующим вердиктом и построением цепочки действий. И, если файл совершает действия, нелегитимные с точки зрения Sandbox, они будут зафиксированы, даже если сигнатур на такую угрозу нет.

Возможности песочниц широки. Это — и защита от всех типов вредоносных программ, и анализ поведения объектов, и защита файловых хранилищ, электронной почты. Они могут даже анализировать файловую систему на наличие вредоносного ПО и защищать от сложных, бесфайловых атак. При этом Sandbox — решение, которое интегрируется с другими системами безопасности — EPP, SIEM, DLP и пр.

Для защиты инфраструктуры можно использовать не только отдельные решения, но и даже платформы. Относятся такие инструменты к классу Deception — платформам для защиты бизнеса от целевых атак с помощью технологии киберобмана.

Deception создает приманки и ловушки для вредоносных объектов. Приманки распространяются на реальные хосты пользователей, а ловушки — среди рабочих ИТ-активов компании. При взаимодействии с ними специалисты получают уведомление об инциденте безопасности.

Ловушки, создаваемые Deception — эмуляции реальных элементов ИТ-инфраструктуры компании (операционных систем, баз данных, приложений), а приманки — ложные артефакты на конечных устройствах реальных пользователей, преступники часто используют их для развития кибератак и повышения своих привилегий в сети компании-жертвы. 

Иными словами, роль Deception — запутать хакеров, вынудить их совершить ошибку или обозначить свое присутствие внутри периметра организации.

Человеческий фактор

Помимо технологий киберпреступники используют человеческий фактор. Сюда можно отнести фишинг, социальную инженерию, использование слабых паролей, старые версии ПО без соответствующих обновлений безопасности, использование личных устройств для работы, несоблюдение политик безопасности. Здесь нам помогут решения классов Automated Security Awareness Platform (ASAP), Security Awareness (SA) и Enterprise Password Management Tools (EPM).

Первые два — онлайн-платформы, используемые для повышения осведомленности сотрудников в области информационной безопасности сотрудников компании. Процесс обучения на этих платформах выстраивается автоматически, в форме уроков, а образовательные программы рассчитаны на разные уровни подготовки пользователей. EPM же — это система для централизованного управления корпоративными паролями и их автоматического обновления.

Все эти меры сокращают риски, связанные с человеческим фактором, такие как несанкционированный доступ к информационным ресурсам или возможные утечки данных. При этом ЕРМ может автоматически создавать отчеты о действиях пользователей и администраторов, о соответствии нормативным требованиям.

Я не осветил целый ряд классов решений, который призван помочь в расследовании инцидентов, усилить безопасность авторизации и аутентификации пользователей, защищать конкретные системы и многое другое. Я постарался подобрать тот набор, который будет максимально полезным для любой инфраструктуры.

Также отмечу, что на российском рынке доступны все описанные классы решений от российских и зарубежных вендоров: UserGate, Код Безопасности, Positive Technologies, «Лаборатория Касперского», Гарда, Xello, Phishman, Strongpass и другие.