Большая картина.

Previous Entry Поделиться Next Entry
11 марта, 2016
e_kaspersky
Весной прошлого года мы обнаружили Duqu2 – очень профессиональную и дорогостоящую кибершпионскую операцию с господдержкой какой-то дружественной страны. И вычислили мы её тогда при тестировании бета-версии Kaspersky Anti Targeted Attack Platform – специального решения против подобных целевых атак.

И вот, ура! - продукт официально зарелизен и готов к употреблению!

Kaspersky Anti Targeted Attack Platform

Но вначале немного лирики о том, как мы дошли до жизни такой и почему потребовалась такая специфическая защита.

Кому не терпится сразу к продукту –тыц сюда.

Раньше не только солнце было ярче, небо синéе, а пивная пена пушистее. Как же просто раньше было бороться с мировым кибер-зловредством!

Конечно, тогда мне так не казалось. Тогда мы работали по 25 часов в сутки и проклинали вирусописателей за их плодовитость. Каждый месяц (а то и чаще) случались глобальные эпидемии какого-нибудь червяка и это представлялось самым адским из возможных адов. И, конечно, мы ошибались.

В начале века вирусы были уделом, в основном, студентов, хулиганов и «вечно молодых» переростков. У них не было ни желания, ни способностей создать нечто действительно серьёзное. Эпидемии гасились в считанные дни, часто проактивными средствами. А главное – у авторов не было мотивации, они хулиганили просто «по приколу». Поэтому хулиганили любительски, в свободное от Doom и Duke Nukem время :)

В середине 2000-х в Интернет пришли большие деньги и новые технологии, которые объединили всё-всё от электростанции до MP3-плеера. За деньгами пришёл профессиональный кибер-криминал, за технологиями – кибер-военщина и спецслужбы. У них была сильная мотивация, средства и мозги, чтобы создавать действительно сложную малвару и проводить искусные атаки, оставаясь «вне радара».

Когда-то тогда «умер антивирус» - традиционные средства защиты более не могли обеспечивать приемлемый уровень защиты. Началась гонка вооружений – эскалация вечного противоборства между нападением и защитой. Кибер-атаки стали точечными, скрытыми, некоторые очень продвинутыми. В свою очередь, антивирусы (которые таковыми, по сути, уже не являлись) эволюционировали в сложные, многокомпонентные системы для многоуровневой защиты, напичканные тучей разнообразных технологий. Секюрити-системы корпоративного уровня обросли ещё более внушительным арсеналом для контроля периметра и обнаружения вторжений.

Однако у этой парадигмы оставался небольшой, но критический для особо крупных организаций недостаток: такие решения неспособны проактивно обнаружить самые профессиональные целевые атаки – атаки уникальной малварой, со специфическим социнжинирингом, через ранее неизвестные уязвимости, с оглядкой на современные секюрити-технологии. Атаки, спланированные и с особой осторожностью реализованные топ-спецами, имеющими бездонное финансирование, а иногда и господдержку. Иногда такие атаки могут оставаться незамеченными многие годы – например, обнаруженная в позапрошлом году операция Equation корнями уходит аж в 1996г.

Банки, министерства и ведомства, критическая инфраструктура, производство – десятки тысяч крупных организаций разной специализации и формы собственности, основа современной экономики и миропорядка, - все они оказались уязвимыми перед реальной угрозой. И спрос на их данные, деньги и интеллектуальную собственность есть.

И что же теперь – накрыться простынями и медленно ползти на кладбище? С целевыми атаками вообще можно бороться?

Можно и нужно! На любой меч найдётся щит. Впрочем, увы, и наоборот тоже – абсолютной защиты не бывает. Цель защиты – сделать атаку экономически нецелесообразной, установить барьеры, чтобы заставить агрессора отказаться от нападения на организацию в «пользу» другой, менее защищённой, жертвы. Конечно, будут исключения, когда речь идёт о политически-мотивированной атаке против конкретной жертвы. В этом случае атака будет вестись до победного конца, но это не причина не предпринимать контрмер.

Тадам! Для борьбы с целевыми атаками как раз и предназначен Kaspersky Anti Targeted Attack Platform (KATA). Что это такое, как оно работает и сколько стоит?

scr02

scr03

scr05

scr06

scr07

Для начала небольшой ликбез в анатомию целевой атаки.

Целевая атака всегда эксклюзивна – она «заточена» на конкретную организацию или лицо. Сначала злоумышленники скрупулёзно собирают информацию до самых мелких мелочей – ибо от полноты знания жертвы зависит успешность и цена операции. На этом этапе изучается всё от конкретных людей, их жизни, семье, хобби и т.д. до особенностей строения корпоративной сети, и на этой основе строится тактика атаки. Дальше – (i) внедрение в сеть и получение удалённого доступа с максимальными привилегиями, (ii) развитие «успеха» - компрометация критичных узлов инфраструктуры и, наконец, (iii) хищение/уничтожение данных, нарушение бизнес-процессов или чего-то ещё в соответствии с поставленной целью и сокрытие следов активности.

Мотивация, продолжительность этапов, векторы атак, технологии проникновения, малвара – всё это очень индивидуально. Однако какой бы эксклюзивной ни была целевая атака, у неё есть одно слабое место - даже небольшое «шебуршание» (сетевая активность, поведение объектов и др.) вызывает аномалии, отклонения от обычной сетевой активности. Имея на руках Большую картину, полученную с высоты птичьего полёта из разных источников в сети, можно вычислить взлом.

Для сбора первички о таких аномалиях и создания Большой картины KATA использует сенсоры – специальные агенты, которые анализируют IP/веб/e-mail трафик, а также события на рабочих станциях и серверах. Например, перехват IP-трафика (HTTP(s), FTP, DNS) мы делаем с помощью TAP/SPAN; веб-сенсор интегрируется в прокси-серверы через ICAP, а почтовый сенсор подключается к e-mail серверам через POP3(s). Агенты очень лёгкие (для Windows - около 15 мегабайт), совместимые с другим секюрити-софтом, оказывают минимум влияния на производительность как сети, так и компьютеров.

Собранная первичка (объекты и метаданные) передаётся в Центр Анализа для обработки различными методами (сэндбокс, сканирование антивирусным движком и настраиваемыми YARA правилами, проверка файловой и URL репутации, детект уязвимостей и др.), построения корреляций (с использованием машинного обучения) и архивирования. Можно подключать систему к нашему облаку KSN или построить её внутреннюю, корпоративную копию KpSN для пущей гибкости и безопасности.

Большая картина в наличии – можно приступать к делу! На этом этапе KATA как раз и выявляет подозрительную активность и может сигнализировать о неприятностях админам и в SIEM (Splunk, Qradar, ArcSight). Причём чем дольше система работает, чем больше у неё накоплено данных о работе сети - тем выше эффективность, поскольку становятся очевиднее отклонения от нормального сетевого фона.

Слышу логичный вопрос: ОК, нашли атаку, а дальше-то что? А дальше, разумеется, атаку надо локализовать, анатомировать и делать выводы. Здесь на помощь мы присылаем наш «спецназ», который всё это обучен делать.

Подробнее об особенностях работы KATA здесь.

Так, какие ещё вопросы остались? А! «Сколько стоит». Ну, здесь однозначного ответа нет. Точнее есть, но очень уж неопределённый: «плюс-минус полушарие» :) Цена вопроса зависит от сотни факторов, в том числе от размера и топологии корпоративной сети, конфигурации продукта и пакета сопроводительных услуг. Ясно точно – цена будет на порядок ниже потенциального ущерба.



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «technology»


Так победим же, ура, всем вискаря))
Е.К., поздравляю с новым продуктом.


Спасибо! Вернусь домой - обязательно надо поздравить команду лично.

Пацан сказал - пацан сделал. Касперский слов на ветер не бросает, поздравил лично. Вискарь был отменным. Спасибо, Е.К., работаем дальше, праздник закончился, бой продолжается...

А пацан под Курском, или Берлин на горизонте?

Очень круто!

А моей дочери ваши спецы не смогли помочь- вирус зашифровал каждый файл на компе и уже год никто не может разобраться с этой напастью. Все фото утеряны((

Да, бывают такие случаи.. Криптуха в шифровальщиках игогда бывает исключительной сложности. От такого спасает банальный бэкап на внешний носитель. А лучше - на два. На один - раз в неделю (или день, в зависимости от ценности информации), на другой - раз в полгода (или в месяц).

Синхронизация на облако, кстати, не помогает - она отлично скопирует зашифрованные файлы. Была у меня идея для условного дропбокса - перед синхронизацией хотя-бы хедер файла проверять, чтобы не синхронизировать явно не офисный и не jpegовский файл.

(Удалённый комментарий)
По дешифровке файлов я бы порекомендовал обратиться на официальный форум "Лаборатории Касперского" в раздел "Борьба с вирусами": http://forum.kaspersky.com/index.php?showforum=18 Там есть несколько опытных форумчан, которые иногда творят чудеса. Попытка не пытке, попробуйте.

Евгений, это всё замечательно, конечно, но почему ваш антивирус до сих пор не может справиться со спамерами мэйл.ру и всплывающими окнами типа казино Вулкан?

Ээээ... А что говорит техподдержка?
И какой именно продукт? Они различаются по функционалу.

Суть проблемы в том, что однажды после очередного торрента (простите мне эту слабость) на каждый второй клик начало выскакивать рекламное окно на полный экран. Содержание уже не помню, казино или ещё какая-то ерунда, но ничего непристойного. К тому же все сайты вдруг оказались разбиты на части контекстной рекламой. Она лезла везде, это было настоящее бедствие. Попробовал исправить пробной версией Касперского. Я не спорю, может касперский не позволит взломать мой мобильный банк, и стоит на страже моего пароля как пограничник на страже Родины, но с такой тривиальной задачей, как обуздать вышедший из берегов визуальный мусор - не сдюжил, получилось только сменой браузера на яндекс (Хром, Мозилла, ИЭ - все оказались поражены этой чумой). С техподдержкой я не связывался - какие вопросы могут быть к бесплатному продукту?
Ещё стартовая страница вдруг стала мэйл.ру. Впрочем, о том, что это такое, вы можете прочитать в главе Луркоморья, посвящённой Мэйл.ру, в разделе "Троян-реклама". Ещё я обнаружил у себя - сюрприз - несколько пробных утилит, которые упорно не выпиливались, имя им легион, но запомнил я лишь одну, самую липкую - IOrbitUninstaller. Последнее может не относиться к вашей специализации - но вы представьте себе облегчение, которое испытают миллионы пользователей, избавившись от таких в общем-то нехитрых скриптов-присосок, которые, может, и не украдут ваши личные данные, но нервов попортят порядком.

Edited at 2016-03-12 20:56 (UTC)

1) Всё дело в том, что по умолчанию в продуктах ЛК не включён детект программ, которые относятся к категории потенциально-нежелательных программ (ПНП / PUP).
ПНП по своей сути не относятся к злостным зловредам (их название при детекте начинается на not-a-virus... (т.е. не-вирус...)).
После установки продукта желательно (а в Вашей ситуации - обязательно!) нужно включить обнаружение таких программ.
Включите в продукте детект потенциально нежелательного ПО (настройки - дополнительно - параметры угроз и исключений - обнаруживать другие программы), запустите обновление баз и по его окончании перезагрузите компьютер; запустите полную проверку на вирусы
Если проблема сохранится - обратитесь в раздел "Борьба с вирусами" официального форума Лаборатории Касперского (http://forum.kaspersky.com/index.php?showforum=18), где приложите требуемые по правилам логи (http://forum.kaspersky.com/index.php?showtopic=322756).

2) За контроль изменений в ОС (в т.ч. и стартовой страницы в браузере) в новых продуктах (2016) отвечает модуль "Контроль за изменениями в ОС". Если продукт не 2016 - обновите. Если модуль не включён - включите. В его настройках запретитет все изменения. После этого без Вашего разрешения стартовая страница, а также поиск по умолчанию не поменяются.

3) При наличии пробной лицензии можно обратиться на форум (ссылка выше).

Здравствуйте!

Проделайте, пожалуйста, следующие действия: главное окно Касперского => Настройка => Дополнительно => Угрозы и исключения => установите галочку напротив "Обнаруживать другие программы, которые могут быть использованы злоумышленником для нанесения вреда компьютеру или данным пользователя". Включение этой функции позволит обнаруживать различное рекламное ПО.

В Kaspersky Internet Security 2016 и Kaspersky Total Security 2016 версии 16.0.1.445 в компонент "Контроль изменений в операционной системе" были добавлены новые функции "Использовать помощник по установке", "Блокировать рекламные сообщения" и "Контролировать изменения".

При включении первой функции при установке программ Касперский будет блокировать установку дополнительного программного обеспечения, в том числе и рекламного.

При включении второй функции в случае при установке программ Касперский будет блокировать показ рекламы или предложений об установке дополнительного программного обеспечения, в том числе и рекламного.

При включении третьей функции Касперский будет контролировать параметры операционной системы, браузеров, а также параметры сети. То есть изменение браузера по умолчанию теперь вы точно сможете отследить, а при установке галочки напротив "Автоматически запрещать изменения" - соответственно, ещё и автоматически блокировать такие действия.

Если вы пользуетесь Kaspersky Free, то, насколько я помню, вышеупомянутых новый функций там нет. Так что переходите на Kaspersky Internet Security 2016 или Kaspersky Total Security 2016 и вы забудете о назойливых рекламных программах, всплывающих окнах и т. п.

Если оно так, здОрово работаете, ребята. Отразите это в рекламе какой-нибудь, что ли, а то люди даже не знают, что кроме адБлока ещё кто-то эту чуму способен победить.

Забыл добавить. Для блокировки рекламы на сайтах не забудьте включить Анти-Баннер. Он отключён в настройках по умолчанию. В Kaspersky Free, насколько я помню, Анти-Баннера также нет. Так что это ещё один повод перейти на Kaspersky Internet Security 2016 или Kaspersky Total Security 2016.

Вот ну ничего не понял из поста. Казино Вулкан достало уже, да.
Про Мексику интересней было в стопицот раз.

Ответитл уже выше, но продублирую и здесь.
1) Включите в продукте ЛК детект потенциально нежелательного ПО (настройки - дополнительно - параметры угроз и исключений - обнаруживать другие программы), запустите обновление баз и по его окончании перезагрузите компьютер; запустите полную проверку на вирусы
2) Если проблема с "Вулканом" сохранится - обратитесь в раздел "Борьба с вирусами" официального форума Лаборатории Касперского (http://forum.kaspersky.com/index.php?showforum=18), где приложите требуемые по правилам логи (http://forum.kaspersky.com/index.php?showtopic=322756).

> У них не было ни желания, ни способностей создать нечто действительно серьёзное.

Лол, аффтар проецирует собственную посредственность на реальный мир. Были и желания, и способности, и полностью полиморфные вирусы. «Нечто действительно серьёзное» — такое может написать лишь кодомакака без способностей и фантазии.

Алсо, не понял смысла этого питча с очередным мега-IDS для энтропрайза. Это ж питч для тупых высокопоставленных админов, что он делает в ЖЖшечке? Ежу ж понятно, что его элементарно задавить через DOS из ложных срабатываний, как и любой другой IDS.

Хорошо быть обычным человеком! Максимум, что грозит - банальное ransomware :-)

Верно только приблизительно, поскольку:
1. "просто пользователю" или малому бизнесу грозят:
- банковские троянцы,
- шифровальщики-вымогатели, вайперы,
- остальное по мелочи.
2. крупному и госам плюс к тому:
- целевые атаки на финансовый отдел/бухгалтерию,
- клиентские базы данных (включая номера кредиток, например, если проводятся платежи),
- воровство прочей любой конфиденциальной и секретной информации (если есть).
3. промышленным объектам, транспорту, телекому плюс к тому атаки на инфрструктуру (SCADA/оборудование):
- криминальные атаки (традиционная преступность) с целью что-то материальное физически украсть,
- кибер-саботаж с целью блокировать работу или физически разрушить.

Если кратко - то примерно вот так.

Edited at 2016-03-12 20:03 (UTC)

Ну да, я вымогателя и имел в виду. Банковские трояны менее эффективны, ибо американский онлайн-банкинг дает очень мало возможностей - деньги произвольно не переведешь, так, перекинешь со сберегательного на чековый :-)

И в обоих случаях используется социальная инженерия - человек сам, своими руками, запускает исполняемый файл, да еще и привилегии ему все разрешает. Как это они прискорбно...

А вот если крупный бизнес - на такой и зиродэй не жалко потратить. Не говоря уж о критической инфраструктуре - тут можно такое вымогательство устроить, жертвы еще и рады будут заплатить. Вроде уже был случай в госпитале - это про который широко известно стало.

Хотя, даже в таких организациях тупо срабатывает банальная социнженерия - невзирая на все напоминания, обязательные тренинги/зачеты и прочие и phishing alerts. Cовсем тупые зловреды, конечно, обламываются о жестко урезанные пользовательские права, но если неучтенная дырочка, и сумели "поднять привилегии", то кабздец... Надо взглянуть, кстати, что у нас в госконторе стоит на компах, чем оберегаются... :-)

(Удалённый комментарий)
?

Log in

No account? Create an account