Так ли страшна Advanced Persistent Threat (APT) как её малюют?

  • Article

Любой, кто читает новости информационной безопасности заметит, что новостные ленты пестрят сообщениями об успешных атаках крупнейших компаний ИТ-индустрии. Sony, Google, Nortel, RSA были вынуждены во всеуслышание заявить о неслыханном ранее. Кроме них множество других компаний заявило о том, что они подверглись атакам в стиле APT. Термин APT последние несколько лет на слуху у всех. Переводят его по-разному:

· изощренные постоянные угрозы

· постоянные прицельные атаки

· продвинутые постоянные угрозы

Видя разброд и шатание в дискуссиях об APT, а иногда и использование APT как нового способа продавать дорогостоящие товары и услуги в сфере ИБ я написал статью о том, что же такое APT и чем они отличаются от привычных нам атак.

Многие говорящие об атаке в стиле APT предполагают использование сложных средств или ранее неизвестных уязвимости. Другие верят, что если вы не гигантская корпорация, то вам нечего опасаться. Оба утверждения ошибочны. Чаще всего во время атаки применяются очень простые средства, известные каждому специалисту ИБ, такие как Windows Credential Editor, minkatz, pwdump.

Раньше было принято считать, что достаточно построить защиту, отражающую атаки случайных злоумышленников, и они уйдут атаковать соседа, то теперь так просто отделаться не удастся. С приходом APT модель атакующего кардинально изменилась. Теперь они отличаются чрезвычайной усидчивостью, настойчивостью и наличием больших ресурсов. Никаких технологически продвинутых приемов в APT не используется, поэтому Microsoft предлагает применять новый термин Determined Adversaries – настойчивые противники (атакующие). Это позволит более точно отразить происходящее в ИБ индустрии и вписать в единую картину такие явления как Stuxnet.

Если ваша компания работает над инновационными решениями, владеет ценной интеллектуальной собственностью, выполняет правительственные заказы или связана с политическими партиями, то скорее всего вам нужно тщательно проверить свою инфраструктуру и готовиться к отражению настойчивых и прицельных атак. Корпоративный шпионаж был всегда, но сейчас мы вошли в новую эру.

Как защищаться от атак в стиле APT рассказывается во второй статье. В ней я рассматриваю мифы, связанные с уязвимостями, рассказываю о быстром развертывании обновлений, говорю об инструментах проведения аудита инфраструктуры, таких как MSAT, MBSA и заканчиваю вариантами сегментирования сети с помощью IPsec.

Даже если вы не считаете, что ваша организация подвержена APT рекомендую посмотреть вебкаст про Advanced Persistent Threat с конференции Teched Russia. Он поможет вам научиться защищаться от наиболее часто применяемых атак актуальных для Windows инфраструктуры.