Обнаружение APT-атак*

Цели APT

Следует отметить, что целенаправленные атаки – вещь достаточно сложная и ресурсоёмкая. Считается, что они ведутся против крупных компаний и государственных организаций. Поэтому небольшие компании надеются, что они точно не могут стать целью подобной целенаправленной атаки – и не предпринимают никаких действий по защите от APT. Однако хакеры могут действовать не напрямую, но через последовательность из нескольких взломов, например, партнёров заказанной цели. Именно поэтому внимание злоумышленников, которые проводят целевую атаку, может быть привлечено и к небольшим компаниям, которые, как правило, защищены не очень сильно. Если же компания не является крупной или не сотрудничает с крупными компаниями, то её информационная система может быть использована как плацдарм для нападения на крупные компании.

Таким образом, можно констатировать, что практически любая компания может быть взломана хакерами и использована в целенаправленной атаке.

Цели атакующих могут быть следующие:

• Проникновение сквозь периметр. Первая фаза любой атаки – преодоление защитных механизмов защитного периметра компании. Цель этой фазы – внедрить своё средство дистанционного исполнения команд внутрь периметра и отключить средства защиты. Во время этой фазы злоумышленники могут заблокировать работу системных журналов, антивирусных инструментов, межсетевых экранов и других защитных механизмов, установленных на периметре, а системы аутентификации могут ослабить с помощью возвращения к простым методам. После внедрения агента влияния и установления с ним необнаруживаемого канала взаимодействия первая фаза проникновения заканчивается.

• Исследование внутренней сети и захват нужных систем. После проникновения внутрь периметра хакеры начинают исследовать и модифицировать сетевую инфраструктуру, изучая её для обнаружения нужных им ресурсов. Если сеть компании не является конечной целью, но используется как посредник, то интерес для злоумышленников представляют коммуникационные сервисы: электронная почта, веб-сервер, базы данных и другие сетевые сервисы, которые могут пригодиться для атаки на основную цель. В целевой системе хакер ищет уже бизнес-приложения, в которых хранятся нужные ему данные, и модифицирует информационную систему так, чтобы можно было беспрепятственно получить доступ к этой информации. Когда цели обнаружены выполняется их захват и перестройка конфигурации таким образом, чтобы можно было просто достигнуть основной цели APT.

• Выполнение вредоносных действий. После того, как захвачены нужные информационные системы компании, производится уже само вредоносное действие. Следует отметить, что хакеры заинтересованы в том, чтобы взломанные системы были под их контролем как можно дольше, поэтому скрывают своё присутствие. Если им нужно скачать определённую информацию, то они делают это постепенно, чтобы не привлечь внимание службы безопасности. Если используют почтовый сервис для рассылки вредоносных сообщений, то не загружают его полностью только своими задачами. Поэтому-то присутствие посторонних зачастую остаётся незамеченным очень долго.

Главное – обнаружить

Однако для небольших компаний инструменты защиты, скорее всего, не нужны. Если информационная система компании используется лишь как промежуточное звено в нападении, то достаточно заметить сам факт взлома и устранить изменения конфигурации, которые внёс хакер. Если присмотреться к первым двум фазам целенаправленной атаки, то можно заметить, что в процессе их проведения хакерами приходится модифицировать конфигурации средств защиты (первая фаза) и инфраструктурных компонентов информационной системы (вторая фаза). Поэтому несанкционированное изменение ключевых компонент защиты и инфраструктуры и является признаком хакерской атаки. Поэтому чтобы выйти из-под APT, компании нужно контролировать корректность настроек всех средств защиты и инфраструктурных устройств. Если же фиксируются какие-то отклонения от нормы, то конфигурацию нужно немедленно возвращать в первоначальное состояние – это и есть основной метод борьбы с APT. Если хакеры обнаружат, что вносимые ими изменения в конфигурацию быстро исправляются, то они просто откажутся от использования данной информационной системы в нападении на основную цель.

Инструменты контроля конфигураций средств защиты разрабатываются достаточно давно. Одним из разработчиков подобных инструментов является компания Titania, которая зарекомендовала себя с лучшей стороны на российском рынке. Она производит два продукта – Paws Studio и Nipper Studio, которые как раз и предназначены для контроля и выявления несанкционированных изменений конфигурации. Рассмотрим их возможности поподробнее:

Paws Studio

Следует отметить, что инструмент Paws Studio в основном предназначен для проверки соответствия информационной системы заказчика требованиям лучших практик по защите. Он проверяет состояние защищённости рабочих станций и серверов под управлением Windows, Linux и MacOS. В частности, проверки этого инструмента включают в себя методики таких организаций как SANS, NERC, PCI, NSA, STIG и OVAL. К счастью, нападающие не стремятся соблюдать лучшие практики по защите, поэтому они, скорее всего, нарушат требования этих институтов и внутри корпоративные политики безопасности.

Инструмент собирает информацию удалено или вообще без подключения к сети с помощью специального дополнительного модуля сбора информации. Он проверяет корректную настройку таких элементов защиты как антивирусы, средства защиты от шпионов, межсетевые экраны, права доступа к файлам и пароли. Кроме того, проверяется наличие запрещённых приложений и обновлений для разрешённых приложений, а также настройки реестра и парольную политику.

Результатом деятельности программы является отчёт о состоянии защищённости рабочих станций и серверов. Причём в отчёте есть рекомендации по устранению обнаруженных проблем. Кроме того, этот отчёт можно будет показать аудиторам в случае проверок. Если проводить анализ защитных механизмов регулярно, то можно будет обнаружить нарушения в настройке антивирусных приложений или межсетевых экранов, которые могут быть вызваны целенаправленным атаками.

Nipper Studio

Впрочем, более полезен для обнаружения сетевых атак второй продукт компании Titania – Nipper Studio. Он осуществляет аудит сетевых устройств и создает отчеты. Его отчёты могут включать в себя: детальный аудит безопасности по всем расхождениям настроек с оценкой их влияния на защищённость сети, выводы по общему состоянию защищённости всей сети и раздел рекомендаций. Nipper понимает конфигурационные файлы более 80 различных устройств от таких производителей, как Cisco, HP, Juniper, CheckPoint и многих других. С помощью новой модульной архитектуры Nipper Studio будет расширять набор поддерживаемых платформ и в дальнейшем.

Если Paws проверяет конечные устройства, то Nipper проводит комплексный аудит настроек ваших сетевых устройств. Во время аудита настроек межсетевого экрана можно проверить эффективность парольной политики или выделить ключевые сетевые сервисы и компьютеры. Nipper также определит несколько полученные результаты соответствуют политике компании. Любые отклонения от нормы могут означать, что информационная система подверглась целенаправленной атаке, и нужно попытаться восстановить принятую в компании политику безопасности.

Для удобства пользования Nipper Studio поддерживает нескольких систем оценки. При проведении аудита уровня защищённости сетевых устройств теперь можно выбирать между промышленным стандартом системы оценки уязвимостей CVSS v2 и более традиционной системой оценки, разработанной специалистами Titania. Обе системы имеют свои преимущества:

• CVSS v2 позволяет настраивать оценку результатов систем безопасности для того, что является наиболее важным в компании. Например, если более важна целостность и конфиденциальность чем доступность системы, Nipper Studio составит аудиторское заключение о том, как могут отражаться оценки результатов на выбранных приоритетах.
• Традиционная рейтинговая система Nipper Studio оценивает проблемы в традиционно понятных терминах критичности уязвимостей. Это позволяет исправлять вначале наиболее критические настройки, а потом уже просто опасные и несущественные. В то же время CVSS v2 позволяет более качественно оценить состояние защищённости.

По результатам исследования конфигурационных данных Nipper Studio составляет рекомендации по изменению конфигурации для сетевых устройств независимо от того, кем они были произведены. Таким образом, если изменения в систему внесены хакерами, то администраторы, следуя рекомендациям Nipper Studio, заблокируют и их.

Заключение

Системы контроля конфигурационных файлов позволяют фиксировать изменения в конфигурации критически важных для безопасности областей информационной системы и вовремя заметить отклонения от нормы. Это особенно полезно, когда налажено тесное взаимодействие между службой безопасности и ИТ, которые как раз и занимаются администрированием информационной системы. Собственно, контроль конфигураций может обнаружить не только попытки целенаправленных атак, но и внутреннего мошенничества, когда администратор пытается нарушить политику безопасности предприятия. Таким образом, инструменты компании Titania будут полезны для обеспечения безопасности.

Впрочем, есть одна особенность – в системе должны использоваться усиленные механизмы аутентификации. Это связано с тем, что хакеры могут украсть учётные данные пользователя и входить в систему под его именем, и тогда придётся использовать методы анализа поведения пользователей и другие сложные механизмы защиты от APT. Если же в компании развёрнута усиленная система аутентификации, то хакерам, чтобы проникнуть в систему под чужим именем, придётся перестроить конфигурацию этой системы и тем самым выдать себя средствам контроля конфигурации. В России продукт представлен компанией Топ Секьюрити www.tsecure.ru 8-495 2265789