Как выглядят современные угрозы

Если посмотреть развитие киберугроз за последние годы, можно заметить, как со временем менялись атаки и отношение к ним в мире.

В 2017 мир был потрясен атаками WannaCry и NotPetya: с того момента все стали воспринимать кибератаки очень серьезно, заговорили о кибероружии. Атаки нанесли многомиллиардный ущерб: так, атака NotPetya вывела из строя треть украинской экономики. Пострадали аэропорт Харькова, Национальный банк Украины, Чернобыльская АЭС и многие другие организации.

В последние пару лет мы не видели таких масштабных атак, которые положили бы экономику какой-либо страны, но мы видели множество атак, направленных на конкретные компании. Злоумышленники изменили тактику: вместо того, чтобы атаковать массово всех, они стали разрабатывать целенаправленные атаки на выбранные организации. Подобные атаки стали более сложными, часто длительными, многостадийными. Например, если раньше заражение начиналось с одного письма на электронную почту, то сейчас злоумышленники могут, например, начать атаку на мобильные телефоны: они могут заставить пользователя скачать вредоносное приложение, получить логин и пароль от корпоративной почты, а потом дальше развивать свою атаку. Другими словами, в атаке будет задействовано несколько устройств или сервисов.

Важный переломный момент в развитии киберугроз – появление угроз нулевого дня. Хакеры получили в свое распоряжение большое количество инструментов, которые позволяют модифицировать атаку на лету. Фактически, сейчас злоумышленники могут разослать тысячи писем с уникальным вредоносным вложением в каждом письме. И таким образом сигнатурные методы защиты стали малоэффективными: создав защиту от одного вида угроз, вы не сможете заблокировать оставшиеся, так как они будут отличаться.

Традиционные средства защиты больше не эффективны: как сейчас защищать периметр

Против вредоносов нулевого дня был найден инструмент — динамический анализ, или песочница. Песочница позволяет открыть новый подозрительный файл в безопасной среде и посмотреть, как он будет себя вести, к каким сервисам он будет обращаться, какие изменения в системе будут происходить. Наблюдая за поведением операционной системы, можно с уверенностью сказать, безопасен ли этот файл или нет. Как только появились первые песочницы, злоумышленники сразу стали думать, как можно их обойти. Способов существует множество. Например, можно отсрочить вредоносную активность на время, ведь песочница не может тестировать файл вечно, так что файл пройдет проверку и только после этого начнет свою вредоносную активность.

Сейчас современные песочницы искусственно ускоряют таймер, чтобы заставить сработать потенциальную угрозу. В ответ на это злоумышленники стали использовать собственный таймер, а не системный.

Или, например, можно обнаружить наличие самой песочницы. Любая песочница, любая виртуальная среда — это программное обеспечение, которое каким-то образом присутствует в системе. Можно по наличию определенных файлов, по особым параметрам определить, что это виртуальная машина и, соответственно, вредонос не будет запускаться и таким образом избежит детектирования.

Надо было найти решение, которое усложнит хакерам обход защиты и при этом не будет замедлять бизнес-процессы. В 2015 году Check Point выпустила решение SandBlast Network, которая обеспечивает надежное обнаружение вредоносов, даже самых скрытных. Эта песочница хорошо зарекомендовала себя на рынке: в тестe Breach Prevention System Test независимой лаборатории NSS Labs решение, состоящее из шлюза Check Point и SandBlast Network, заблокировало 100% атак вообще без ложных срабатываний, показав лучший результат в тесте.

Новые вызовы: важно защищать конечные устройства

Прекрасно, шлюз с песочницей могут надежно блокировать угрозы на уровне периметра в трафике, но возникла новая проблема: размывается и пропадает сам периметр. Сотрудники берут ноутбуки и работают в кафе, в транспорте, дома — в общем там, где им удобно, и пандемия лишь ускорила этот тренд. Встает вопрос: куда теперь нужно поставить устройство SandBlast, чтобы оно фильтровало трафик? Исходя из таких реалий, требуется изменить сам подход к защите — вместо того, чтобы создавать такое условное бутылочное горлышко, через которое нужно фильтровать весь трафик, мы должны защищать сами конечные устройства и данные на них.

Что такое конечные устройства? Здесь мы говорим о рабочих станциях и о мобильных телефонах. Смартфоны все чаще используются для работы, и как правило, у всех установлена рабочая почта. Если есть почта, значит есть и конфиденциальные данные. Зачастую пользователи вводят логин и пароль на телефоне. И если телефон каким-то образом заражен, то злоумышленник может этот логин и пароль перехватить и таким образом начнется атака: у хакера появится доступ к корпоративной сети.

SandBlast Agent — защита рабочих станций

Мы в Check Point верим, что нет одной волшебной технологии, которая защитит от всего: хорошая защита есть система, ансамбль проверенных технологий, работающих вместе. При защите рабочих станций мы исходим из необходимости остановить активность как можно раньше, а лучше – вообще ее предоствратить.

Например, у нас есть технологии, которые позволяют сократить площадь атаки: шифрование диска, VPN, Application Control (контроль уязвимых приложений). Другими словами, эти технологии позволяют сделать так, что машина становится неинтересной злоумышленнику, он больше не видит ее как жертву.

Если атака началась, и злоумышленник, к примеру, отправляет письма со вредоносными документами, есть несколько технологий, которые позволяют полностью предотвратить атаку до тех пор, пока вредоносный файл не попал на рабочую станцию. Анти-вирус быстро заблокирует известные вирусы, Next Generation Antivirus позволит заблокировать новые неизвестные вредоносы, но не по статичной сигнатуре, а по большому набору разных статических параметров. Их количество огромно – тысячи — поэтому здесь активно используется технологии машинного обучения.

Threat Emulation (эмуляция) перехватит подозрительный файл и отправит его в песочницу, а с помощью Threat Extraction пользователю автоматически предоставят очищенную безопасную копию этого файла, чтобы не вызывать задержек в доставке.

Но что делать, если в атаке вообще не присутствует файл? Сейчас набирают популярность так называемые бестелесные атаки, когда файл вообще отсутствует, а все что нужно, злоумышленник создает динамически в памяти. В этом случае даже Next Generation Antivirus не поможет и нужно использовать другие технологии, которую могут блокировать атаки по поведению.

В Check Point SandBlast Agent есть большое количество технологий, движков, которые позволяют блокировать по поведению, например: Anti-Exploit (обнаруживает взлом приложений), Anti-Evasion (обнаруживает попытки замаскировать активность), Anti-Mimikatz (против сбора паролей), Anti-Ransomware (борется с вымогателями) и несколько других. Движок поведенческого анализа, Behavioral Guard, постоянно анализирует поведение операционной системы и сохраняет данные о событиях локально на жесткий диск.

В случае обнаружения подозрительной активности мы можем заблокировать ее, и, используя накопленные данные о системе (Behavioral Guard), откатить атаку до самого ее начала, то есть понять, с чего атака началась, понять ее точку входа. Более того, мы можем полностью восстановить зашифрованные или поврежденные файлы.

Используя накопленные данные о поведении системы, мы можем восстановить всю цепочку атаки и расследовать инцидент. Будет видно, какую брешь в обороне рабочей станции использовал злоумышленник, с чего атака началась, какими он пользовался инструментами и какими методами. Это очень важный этап, потому что он позволяет предотвратить следующую атаку.

SandBlast Agent защищает сейчас тысячи заказчиков по всему миру и миллионы рабочих станций, и никто из них не пострадал от нашумевших атак, никто не понес существенного ущерба. Подход многоуровневой защиты в режиме предотвращение проверен на практике и доказал свою эффективность.

В последнем актуальном тесте NSS Labs SandBlast Agent снова продемонстрировал максимальную эффективность защиты среди других вендоров и заблокировал 100% атак как в почте, так и в вебе.

SandBlast Mobile — защита мобильных устройств

Есть компании, которые разрешают своим сотрудникам работать с телефона: читать корпоративную почту и так далее. Но с какого телефона будет работать сотрудник?

Рабочая станция — не единственное, что используется для работы. Часто информация на смартфоне гораздо более ценная, но с точки зрения безопасности пользователь куда более небрежен со своим телефоном, чем с рабочими станциями. Злоумышленники это прекрасно понимают и активно этим пользуются.

Что такое современные угрозы для смартфонов? Прежде всего это вредоносные приложения. Их огромное количество, они встречаются как в неофициальных магазинах приложений, так и в Google Play Store и в Apple App Store (хотя и редко).

Социальная инженерия тоже работает очень хорошо: мы видим много атак на сервисы видеоконференций. Люди сначала скачивают бесплатные сервисы видеоконференций (Zoom, например), но им нужны платные опции. Они начинают их искать и находят: злоумышленники предоставляют взломанные версии этих программ, но кроме желанных опций в них есть вредоносная нагрузка, которая позволяет злоумышленнику начинать атаку. Таким образом, пользователь получает бесплатно желаемую программу, но при этом его телефон заражен и начинает собирать данные.

Другой пример: был случай, когда телефон сотрудника был от малоизвестного небольшого производителя. И он заражен шпионским ПО еще до продажи. То есть пользователь в магазине купил дешевый телефон, установил все необходимые приложения, начал работать, а в это время его телефон с уже предустановленной вредоносной программой собирал данные.

От чего мы сможем защитить

В решениях для защиты мобильных телефонов есть мощный движок, который может отследить и фишинг, и зловредные сайты, и вредоносные приложения. Мы можем на самом устройстве, не перенаправляя никуда трафик, анализировать контент, обнаруживать, что происходит в части сетевых соединений, замечать вредоносную активность и надежно ее блокировать.

Если мы говорим о защите личного устройства пользователя (предположим, мы говорим о смартфоне), здесь есть некий концептуальный конфликт: с одной стороны, если телефон используется для корпоративных целей, то нужно его контролировать. С другой стороны, мы не можем себе позволить контролировать всю пользовательскую активность. Никто из пользователей не оценит, если незнакомый системный администратор получит доступ к его сообщениям или фотографиям.

Что с этим делать? Разработано достаточно много подходов. Например, можно реализовать на телефоне пользователя такой условный контейнер — у нас это решение называется Check Point Capsule. Корпоративные данные хранятся там, и если пользователь, например, покидает компанию, ИБ-отдел может просто удалить этот контейнер. Пользовательские данные при этом не страдают — к ним нету доступа. Сам контейнер не защищает от киберугроз — если телефон скомпрометирован, злоумышленник в том числе получает и доступ к этому контейнеру. Мы не можем ограничивать то, какие приложения пользователь ставит на свой собственный смартфон. Как это сделать? У нас есть решение SandBlast Mobile, которое решает эту проблему. Вся защита, которая требует доступа к трафику, происходит локально на устройстве. С одной стороны, программа получает доступ к трафику пользователя, но данные, куда ходил пользователь, никуда не передаются.

Для защиты от новых угроз требуется новый подход к безопасности

Несмотря на разнообразие векторов атак, способов, размытие перметра, защититься от новых угроз можно. Check Point предлагает комплексную архитектуру безопасности – Infinity. Это набор разных наших продуктов, которые защищают от новых и будущих угроз, и упакованы в коммерческое предложение. Компания платит не за технологию, устройство или продукт, а за одного пользователя от организации. В рамках заданного бюджета компания получает доступ ко всем технологиям Check Point, которые существуют на сегодняшний момент.

Сергей Невструев, эксперт по защите от неизвестных угроз Check Point Software Technologies