© 1995-2021 Компания «Инфосистемы Джет»
Опыт пилотного внедрения решений класса Anti-APT
Информационная безопасность

Своим опытом проведения пилотных проектов по защите от целенаправленных атак поделился Сергей Барбашин

«Не пытайтесь накрыть все. Определите, что Вы хотите защищать»

№8 (276) / 2016

26.10.2016

Посетителей: 76

Просмотров: 78

Время просмотра: 3.6 мин.

Успешно проведенный пилотный проект – это почти половина успеха для будущего внедрения, тем более, если речь идет о новой технологии, которую в России почти никто пока не внедрял. Своим опытом пилотирования решений класса Anti-APT с читателями «Jet Info» делится Сергей Барбашин, независимый эксперт.

– Что сподвигло вас к тому, чтобы начать этот проект?

– Общая ситуация с кибербезопасностью, в том числе в финансовом секторе, привела к тому, что появился новый класс решений Anti-APT. Конечно, традиционные средства защиты при должной настройке и конфигурировании позволяют и предотвращать, и выявлять целенаправленные атаки, но для этого требуются большие трудозатраты. Кроме того, не нужно забывать, что инфраструктура в компаниях постоянно меняется.

Если в компании создать корректное сегментирование, изолирование объектов защиты, корректный мониторинг, благодаря всему этому можно выявлять аномалии, нетрадиционное поведение объектов защиты и новые виды атак. Anti-APT-решения позволяют автоматизировать все эти трудозатраты..

– По поводу Anti-APT-решений звучат и скептические высказывания. Не считаете ли Вы эту тему маркетинговым ходом?

– Мне кажется, на текущий момент у рынка и заказчиков появилось системное понимание необходимости продуктов Anti-APT. Проблема противодействия APT-атакам не новая, но в последние годы она приобрела массовый характер.

 

Свою роль в подготовке рынка сыграли, конечно, и аналитические агентства, которые обозначили актуальность данных решений. Например, Gartner, NSS Labs и Forrester уже представили соответствующую аналитику, включающую список ведущих вендоров, и рынок активно ее использует.

– Как Вы подходили к выбору решения? На что обращали внимание в первую очередь?

– Это достаточно сложный вопрос, поскольку выбор решения индивидуален для каждой организации. Если говорить о моей практике, мы использовали гибридный подход: мы смотрели, что есть в мире, и ориентировались на это, потом выясняли, представлены ли эти решения в России, если «нет», можно ли привести их для тестирования. На сегодняшний день в мире насчитывается несколько десятков решений, которые относятся к классу Anti-APT. Я считаю, что, как минимум, необходимо рассматривать группы решений: например, решения, направленные на анализ сетевого и почтового трафика, решения по агентскому анализу на рабочих станциях и серверах, «песочницы». Такой подход был выработан не случайно, моя практика тестирования показала, что одно решение не способно дать 100-процентную защиту. Именно поэтому я придерживаюсь комплексного гибридного подхода в защите, в том числе в рамках защиты от APT.

 

В этом смысле наше тестирование было очень показательным: мы параллельно тестировали две «песочницы», и было видно, как один продукт находил что-то одно, что не находил другой, и наоборот. Я считаю, что именно в рамках Anti-APT имеет смысл использовать не менее двух продуктов, в том числе на разных каналах, от разных вендоров.

– Могли бы Вы отметить критерии успешности тестирования Anti-APT-решений? Что для Вас является наиболее значимым показателем успешности?

– Как говорится, аппетит приходит во время еды. В рамках тестирования заказчик начинает лучше разбираться в системах, понимает, как их можно использовать эффективнее. Соответственно, меняется подход к тестированию. Проблемы с тестированием встречаются при интеграции любого продукта в текущую инфраструктуру заказчика. Поскольку у всех разные инфраструктуры, будут созданы различные условия для эксплуатации любого средства защиты.

 

Лично для меня критерий успешного тестирования – это выявление реальной атаки на живом трафике. Такой результат наглядно демонстрирует эффективность выбранной вами системы. Если же мы говорим об имитации заражения, когда заведомо отправляется вирус, а система его успешно находит, на мой взгляд, это не так показательно. В этом случае для получения успешного результата все было подготовлено заранее.

 

Выявить реальную атаку гораздо более ценно. По своему опыту могу сказать, что в течение месяца при проведении тестирования на живом трафике можно выявить несколько реальных атак. Если тестирование Anti-APT-решения в организации проходит впервые, после начала тестирования до выявления первых инцидентом может пройти меньше часа.

– Планируете ли Вы использовать режим блокировки? Для каких каналов угроз такой режим применим?

– Решения, где предусмотрена возможность блокировки, зачастую используют модули тех же компаний-производителей. Но моновендорный подход имеет свои ограничения: если у нас нет средств защиты того же вендора, мы не сможем автоматически и защищаться, и предотвращать.

 

В этом плане решения, которые позволяют проводить мониторинг и оповещение, являются более гибкими для дальнейшей настройки и тюнинга. Например, в большинстве организаций есть SIEM-системы. Если настроить связку с ними, это позволит автоматически блокировать и реагировать выявленные инциденты. В этом плане такие решения ничем не уступают Anti-APT с автоматической блокировкой «из коробки».

 

Если мы говорим о почтовом трафике, режим блокировки будет актуален, при анализе web-трафика можно рассматривать режим анализа его копии. С режимом блокировки нужно быть осторожным, так как каждая новая система будет являться новой точкой отказа, и она может привести к недоступности сервисом организации. Не все готовы на это пойти.

– Одна из частых проблем – инспекция SSL-трафика. Как вы рекомендуете решать эту проблему?

– В большинстве случаев решения Anti-APT не обладают средствами инспекции зашифрованного трафика, поэтому это потребует дополнительных средств защиты. Кроме того, возникает юридический аспект: как организация относится к тому, что все действия пользователей полностью просматриваются.

 

Конечно, инспекция SSL-трафика повышает эффективность Anti-APT-решения. Я думаю, в этом случае можно внедрять систему Anti-APT поэтапно: сначала не раскрывая SSL-трафик, используя данные «отправитель-получатель», а в дальнейшем перейти к анализу контента.

 

Также проблему с инспекцией SSL можно решить продуктами или модулями продуктов, которые устанавливаются непосредственно на хосты и на рабочие станции. К сожалению, внимание вендоров к этому подвиду решений не очень высоко, хотя на моей практике оно показывало очень высокую эффективность.

– Довольно часто приходится сталкиваться с ограничением бюджетов. В таких условиях рассматривается поэтапная реализация проекта. Как Вам видится этапность? Какие приоритеты Вы бы расставили?

– Мой совет: не нужно строить решение сразу на всю организацию. Для начала выявите самые уязвимые места и закройте их. Не пытайтесь накрыть все.

 

На данный момент самым распространенным способом проникновения является почта, поэтому лучше начать именно с нее. Анализ web-трафика может стать следующим этапом. При этом, возможно, вы примите решение защищать конкретные выделенные сегменты организации, а не всю инфраструктуру. Перед тем как приступить к проекту по построению защиты в организации, нужно задать себе вопрос: что организация хочет защищать? Как правило, APT-атаки направлены на основной бизнес-процесс организации, так как их основная цель – монетизация. Для банков – это управление денежными потоками, для брокерской организации – управление брокерской деятельностью, для ритейла – управление кассовым оборудованием, складскими остатками и т.д. Зная свой бизнес-процесс, что и как у тебя могут украсть, ты понимаешь, как следует выстроить защиту.

 

Я считаю, что частично это задача компаний-интеграторов: прийти ко мне не просто с набором решений, а с некоторым готовым предложением. Я хотел бы понимать, зачем мне внедрять эти решения и какую пользу организация, которую я в данный момент представляю, может от этого получить. От интегратора я ожидаю некоторой консалтинговой составляющей в этом вопросе, тогда процесс тестирования и последующего внедрения пойдет более осознанно и эффективно.

– Довольно часто приходится слушать, что «песочницы» легко обойти. Как бы Вы прокомментировали данное высказывание?

Наше тестирование показало, что вредоносное программное обеспечение пытается выявить «песочницу», – а сделать это можно по некоторым признакам. Если вредонос понимает, что это не рабочая станция, он сворачивает свою активность. Поэтому я возвращаюсь к мысли, которую высказал ранее, защита от угроз нулевого дня должна быть гибридной, дабы нивелировать этот минус «песочниц».

– Как Вы видите дальнейшее развитие технологий? В какую сторону будут развиваться эти продукты?

– Точки съема информации для определения зловредной активности уже все определены и давно используются. Будущее решений этого класса мне видится в развитии интеллектуального способа определения, зловредная эта активность или нет. Я думаю, мы уйдем от неких шаблонов и правил к более интеллектуальному поведению, машинному обучению и т.д. – это тренд сегодняшнего дня для всех решений ИТ и ИБ.

– Большое спасибо за беседу!

Уведомления об обновлении тем – в вашей почте

Противодействие угрозам на уровне рабочих станций: решение TRAPS

Как реализована защита от целенаправленных кибератак на конечных точках в решении TRAPS от Palo Alto Networks

Опыт MSSP по противодействию кибератакам

В статье описан опыт использования различных технологий в SOC для противодействия целенаправленным атакам

Трудности при тестировании «песочниц»: тяжело в учении, легко в бою

О решениях класса «песочницы» написано и сказано немало. Да, теоретического материала много, а что с практикой?!

Гонка вооружений ИБ. Сводки с полей

Как Банк «Союз» ускорил Time-to-Market при разработке интеграционной шины для своего кредитного конвейера

Противодействие угрозам на уровне рабочих станций: решение Trend Micro Endpoint Sensor

Как реализована защита от целенаправленных кибератак на конечных точках в решении Trend Micro Endpoint Sensor

Противодействие угрозам на уровне рабочих станций: решение SandBlast Agent

Как реализована защита от целенаправленных кибератак на конечных точках в решении SandBlast Agent

Противодействие угрозам на уровне рабочих станций: решение Kaspersky Endpoint Detection and Response

Как реализована защита от целенаправленных кибератак на конечных точках в решении Kaspersky Endpoint Detection and Response

Обзор решений Anti-APT: от слов к делу

Современные вредоносы zero-day легко обходят традиционную защиту, поэтому появился новый класс решений Anti-APT

Противодействие угрозам на уровне рабочих станций: решение FireEye HX

Как реализована защита от целенаправленных кибератак на конечных точках в решении FireEye HX

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня