Предложена новая система защиты бизнеса от кибератак

Она ориентирована на малый и средний бизнес – через него злоумышленники могут атаковать и крупный
Евгений Разумный / Ведомости
Евгений Разумный / Ведомости

«Лаборатория Касперского» и Angara Technologies Group запускают в России новые управляемые системы защиты от сложных целевых кибератак (APT) на корпоративные сети – Angara Cyber Resilience Services EDR и antiAPT. Об этом «Ведомостям» сообщили представители обеих компаний. EDR отслеживает все процессы, происходящие на компьютере, и, если возникает угроза, сообщает пользователю об инциденте и блокирует подозрительные файлы; antiAPT анализирует трафик между всеми устройствами, подключенными к сети через прокси-сервер, и проверяет почтовые ящики пользователей на наличие угроз, рассказывает гендиректор Angara Professional Assistance Оксана Васильева. Сами по себе решения EDR и antiAPT уже давно существуют на рынке, признает она, – новизна конкретной программы в том, что она предполагает удаленный доступ аналитиков Angara к системе киберзащиты клиента, прежде ему пришлось бы самому настраивать решение. Программа ориентирована на малый и средний бизнес, все чаще подвергающийся хакерским атакам в последние годы.

По словам директора департамента корпоративного бизнеса «Лаборатории Касперского» Вениамина Левцова, в схеме взаимодействия «Лаборатории Касперского» и Angara с заказчиком первая поставляет программные решения, которые выявляют вредоносную активность и упрощают реагирование на нее. Вторая – обеспечивает заказчика командой аналитиков, которые занимаются непрерывным мониторингом и расследуют каждый конкретный инцидент, говорит гендиректор Angara Technologies Group Сергей Шерстобитов. Системы защиты автоматические, но софт без экспертов будет для заказчика малоэффективен, говорит Васильева.

В плане маркетинга тема antiAPT перегрета в мировом масштабе, считает директор по развитию бизнеса компании Positive Technologies в России Максим Филиппов, но поймать таргетированную атаку исключительно в автоматическом режиме практически невозможно. Поэтому поставщики защиты от APT в том или ином виде добавляют в решения человеческую экспертизу: кто-то – команду экспертов, кто-то – телеметрию и облака, кто-то – новомодные техники (например, машинного обучения, различных видов анализа поведения и т. п.), рассказывает Филиппов. На сегодняшнем этапе это правильно и логично, считает он: без экспертных знаний, без человека эффективность средств защиты подобного класса – под большим вопросом.

Ядро antiAPT-решения от «Лаборатории Касперского» (Kaspersky Anti Targeted Attack) – эвристический анализатор, системно исследующий поведение подозрительных объектов в специально отведенной для этого виртуальной машине, объясняет Левцов: объект разбивается на подпроцессы, из которых состоит, и каждый запускается, после чего система анализирует его поведение и внешние коммуникации. Второй компонент решения, KEDR, позволяет в автоматизированном режиме искать сложные целевые атаки, продолжает Левцов. Эта система сканирует объекты сетевого пространства и, если какой-то из них вызывает подозрения, реагирует по одному из предопределенных правил: либо изолирует станцию от сети, либо блокирует конкретный файл и направляет его в карантин.

Целевые атаки, рассказывает Левцов, – комбинация из заражения средствами социальной инженерии, размещения некоторых первичных элементов в сети «жертвы», постепенного подкачивания элементов, в ходе которого может использоваться вполне законное программное обеспечение. А antiAPT решения, говорит Васильева, анализируют цепочки отдельных событий, каждая из которых может оказаться APT-атакой. Она приводит пример: пользователю пришло письмо с вложением (которое само по себе ничем не заражено), тот открыл это вложение, а в нем ссылка на сайт. Пользователь посетил сайт – и ему в кэш попал неизвестный троян в виде инфицированной картинки; в час Х устанавливается соединение с командным центром злоумышленника. Вообще софт antiAPT необходим, по словам Васильевой, в следующих случаях: когда для атаки используется легитимный функционал и эксплуатируются уязвимости; когда проводятся фишинговые атаки – атаки, нацеленные на доверчивость пользователей; в случае угроз нулевого дня и неизвестных угроз.

Если 5–7 лет назад APT-атаки готовились главным образом на крупные компании, то в последнее время они становятся все более опасны для бизнеса практически любого размера, рассказывает Левцов: необходимые для их проведения технологии стали появляться на черном рынке и стали доступны более широкому кругу злоумышленников. Для того чтобы такие технологии отслеживать, говорит Левцов, «Касперский» и разработал эти средства, которые основываются на «песочнице» и на глубоком эвристическом анализе. Но, как отмечает Левцов, эти средства требуют экспертов, умеющих использовать эти средства защиты. Практически вся ответственность перед заказчиком лежит на сервисном партнере – Angara Professional Assistance, говорит Шерстобитов: расследованием конкретных инцидентов занимаются аналитики компании. «Лаборатория Касперского», говорит он, отлично понимает специфику и ландшафт локальных российских угроз, поэтому выбор Angara Technologies Group пал именно на «Касперского».

В отличие от крупных компаний, которые могут позволить себе собственную команду следящих за информационной безопасностью профессионалов, представители малого и среднего бизнеса не всегда имеют эту возможность, считает Шерстобитов. По его словам, именно поэтому сервисная модель – экономически оправданное предложение, выгодное для малого и среднего бизнеса. Услуги, предоставляемые Angara Technologies, стоят 380 руб./мес. (EDR), 450 руб./мес. (antiAPT) и 790 руб./мес. (EDR + antiAPT) за один хост: в случае системы EDR хост – это защищаемая единица (ПК или сервер Windows), в случае antiAPT единицей является пользователь. Таким образом, имеющей 50 хостов компании услуги Angara Technologies и использование защитного ПО обойдутся в 228 000, 270 000 или 474 000 руб. в год.

По данным Positive Technologies, доля целенаправленных атак в последнее время превышает долю массовых: во II квартале 2019 г. – 59%, или на 12 процентных пунктов выше, чем в I квартале. В ходе расследований киберинцидентов экспертный центр безопасности Positive Technologies все чаще встречает атаки на крупные организации через компании-партнеры, рассказывает Филиппов: выбирая целью крупную компанию и понимая, что атака на нее в лоб потребует бОльших усилий, злоумышленники взламывают менее защищенного и менее крупного партнера этой организации и используют его как плацдарм для дальнейшей целенаправленной атаки.