Юрий Черкас

Юрий Черкас:

Системы Anti-APT как автомобили: иногда можно проехать на спорткаре, а где-то пройдет только внедорожник

В последнее время большую опасность для информационных систем представляют так называемые целевые атаки (APT, advanced persistent threat), которые разрабатываются с учетом уникального ИТ-ландшафта и организационной структуры компании-жертвы. Юрий Черкас, руководитель направления инфраструктурных ИБ-решений Центра информационной безопасности «Инфосистемы Джет», рассказал CNews, как устроены системы противодействия APT и как правильно выбрать решение такого класса.

CNews: Какие основные тренды рынка инфраструктурной безопасности вы можете выделить в 2016 году?

Юрий Черкас: В этом году на рынке инфраструктурной безопасности лидировало три направления. Традиционно пользовалась спросом сетевая безопасность, что связано сразу с двумя аспектами. Во-первых, компании активно переходят на технологии Next Generation и заменяют свои устаревшие межсетевые экраны, а во-вторых, внедряют решения класса Firewall Management, которые помогают систематизировать управление многочисленными сетевыми устройствами.

Помимо этого, не утихал интерес к системам Web Application Firewall (WAF), причем решения были востребованы как на российском рынке, так и среди компаний из СНГ. Тема не новая, но в свете массированных DDoS-атак в ноябре, она приобрела дополнительный драйвер, и мы сейчас практически в режиме реального времени следим за реакцией рынка на случившееся. А поскольку проведенные атаки были направлены на бизнес-логику приложений и уязвимость самих web-серверов, а не на каналы связи, есть повод всем всерьез задуматься о безопасности web-приложений. Тема эта интересная, и мы следим за появлением на рынке новых игроков и интеграционных решений, например, таких, как работа WAF в связке с другими компонентами инфраструктуры и средствами безопасности.

Отдельно стоит выделить решения класса Anti-APT для противодействия целевым атакам (APT — advanced persistent threat, «целевая атака»). В этом году многие компании продолжили «присматриваться» к ним. Рынок постепенно приходит к пониманию того, что APT является неотъемлемым компонентом системы информационной безопасности. Также нельзя обойти вниманием то, что во многих проектах, связанных с модернизацией системы сетевой безопасности, также используются «песочницы». Тем не менее, основной пул проектов по Anti-APT мы ожидаем как раз в 2017 году. А пока Центр информационной безопасности компании «Инфосистемы Джет» продолжает инвестировать в это направление и активно наращивает экспертизу работы с различными продуктами. Так, совместно с вендорами мы сформировали критерии «отбора» и сделали большой обзор по Anti-APT, включающий более 30 параметров, своими силами провели многочисленные тестирования на реальном трафике.

CNews: Почему вы выделяете именно класс решений Anti-APT?

Юрий Черкас: Anti-APT для большинства заказчиков — это новый компонент системы информационной безопасности. Если другие подсистемы ИБ так или иначе уже реализованы в компаниях и зачастую требуют лишь модернизации, то Anti-APT в большинстве случаев просто отсутствуют. При этом именно решения этого класса являются сегодня одним из наиболее эффективных средств детектирования современных вредоносов.

CNews: Каковы отличительные особенности APT-атак сегодня?

Юрий Черкас: На наш взгляд, главная черта целенаправленных атак в том, что они не детектируются стандартными сигнатурными методами и средствами защиты. Не столь важно, создается ли вредоносный код специально для атаки на конкретную организацию или это массовая рассылка нового тела вируса в единичном экземпляре. Важно, что антивирус пропустит атаку, вне зависимости от того, где он установлен: на почтовом сервере, web-шлюзе или рабочей станции. Меняются и развиваются именно техники доставки вирусов. И важно смотреть именно на те технологии защиты, которые умеют выявлять вредоносное содержимое, умело замаскированное под легитимный контент.

Anti-APT решение как раз позволяет определить ту самую вредоносную «полезную» нагрузку, которая содержится в, казалось бы, вполне обычном трафике. Конечно, применение таких средств не отменяет использования традиционных инструментов защиты, но Anti-APT существенно расширяют их возможности.

CNews: Какие организации чаще всего становятся мишенью злоумышленников?

Юрий Черкас: Злоумышленники — народ прагматичный, они преследуют свой коммерческий интерес. Поэтому мишенью для атаки может стать любая организация, у которой есть что украсть. Конечно, осознанной целью атаки вряд ли может быть компания из SMB-сектора, но, тем не менее, и против них совершаются противоправные действия. Целью могут быть как денежные средства, так и информационные активы, которые можно продать на черном рынке — персональные данные, коммерческая информация и т.д. Кроме того, ни одна организация не застрахована от попыток вымогательства, например, посредством криптолокера, блокирующего работу важного приложения. Первыми осознали опасность АРТ и начали внедрять средства защиты компании банковского сектора, но это не означает, что организациям других сфер такие атаки не грозят.

Могу привести пример, когда была парализована работа тендерного отдела крупной транспортной компании. Деятельность сотрудников и все тендерные процедуры были приостановлены на сутки, пока «перезаливали» все компьютеры. Ничего страшного не произошло, но, тем не менее, компания понесла косвенные убытки. Классическое «слабое звено» — это служба клиентской поддержки любой компании, которая в электронном виде принимает документы для рассмотрения. Через сотрудников саппорта проходит огромное количество писем с вложениями, каждое из которых необходимо оперативно проверить. Многие решают эти вопросы в ручном режиме, но это отнимает большое количество времени и не всегда результативно.

CNews: Что можно сказать о качестве современных Anti-APT средств?

Юрий Черкас: Говоря о качестве современных решений, я бы сказал образно: автомобили и условия вождения бывают разные, и очень многое зависит от навыков того, кто за рулем. И если спортивный автомобиль проигрывает внедорожнику на просёлочной дороге, это не говорит о плохом качестве спорткара. Это лишь демонстрирует, что в данном конкретном случае лучше подходит внедорожник.

По нашему опыту, сегодня заказчики очень щепетильно подходят к выбору Anti-APT решений. И не приобретают их, пока не протестируют на своей инфраструктуре, в условиях, максимально приближенных к боевым. Это позволяет говорить о том, что если компания выбирает для себя решение того или иного производителя, то делает это абсолютно обоснованно и со знанием дела. А дальше уже встает вопрос тонкой настройки и дальнейшей эксплуатации.

Представленные сегодня на рынке средства защиты от АРТ-атак являются уже достаточно зрелыми. Но готового решения «из коробки», способного закрыть сразу все проблемы, не существует. Решение всегда подбирается индивидуально, с учетом имеющейся инфраструктуры и бизнес-процессов организации, а также наиболее «популярных» векторов атак.

CNews: Как подойти к выбору Anti-APT решения?

Юрий Черкас: В целом, механизмы Anti-APT действуют на трех уровнях: анализ сетевого трафика, анализ контента, анализ поведения рабочих станций. Существуют Anti-APT продукты, функционал которых закрывает все три уровня. Однако идеальных решений нет. Мы рекомендуем нашим клиентам отталкиваться от выбора вектора атаки, который необходимо закрывать в первую очередь.

Всегда при выборе подобного решения должен проходить некий первоначальный технологический отсев на основании понятных критериев, когда заказчик понимает, какого класса решения в принципе готов рассматривать в связи с их архитектурными особенностями, функциональными нюансами и т.д. Второй важный этап проекта выбора Anti-APT — это параллельное тестирование уже отобранных решений с одним и тем же трафиком. Последовательное тестирование не всегда показательно, так как все атаки имеют вероятностную составляющую. Тестирование позволяет оценить реальную производительность, процент ложных срабатываний, а также степень влияния работы решения на скорость выполнения основных бизнес-процессов организации.

CNews: Какова стоимость реализации Anti-APT проекта?

Юрий Черкас: Все зависит от того, какой продукт вы выбираете, в какой комплектации, в каком функционале. Но всегда существует возможность поэтапной реализации Anti-APT проекта — это снижает нагрузку на бюджет. Например, в одном из наших проектов в первый год было внедрено решение для защиты электронной почты как наиболее уязвимого канала, на второй год планируется дополнение решением для анализа web-трафика и защиты рабочих станций. В некоторых случаях можно прибегнуть к облачному Anti-APT сервису, хотя бы на время и для ограниченного круга задач — как минимум, это позволит понять, какой функционал действительно нужен организации. Так, один из заказчиков после года использования облачного сервиса принял решение о внедрении собственного полнофункционального решения по анализу контента и запланировал расширение его функционала за счет установки агентов на рабочие станции.

CNews: Как вы видите дальнейшее развитие технологий защиты от APT?

Юрий Черкас: На мой взгляд, развитие защиты технологий защиты от APT продолжится сразу по нескольким направлениям.

Во-первых, сохранится стремление производителей реализовать функционал предотвращения и устранения последствий заражения. Идеальное решение Anti-APT должно не только определять вредоносную активность, но и купировать ее. Параллельно будут совершенствоваться инструменты расследования инцидентов и предоставляемая отчетность.

Во-вторых, произойдет более глубокая интеграция решений класса Anti-APT в инфраструктуру безопасности. Продукт, который не взаимодействует с остальными компонентами, будет функционально проигрывать с точки зрения эффективности тем средствам защиты, которые могут в том числе обеспечить непрерывный обмен информацией друг с другом. Важно создать сквозную эко-систему, в которой информация о выявленной угрозе будет мгновенно распространяться по всей инфраструктуре безопасности.

В-третьих, будут активно использоваться технологии машинного обучения. Одно дело использовать стандартные технологии, которые по четко заданным критериям выявляют угрозы, а другое — это анализ поведения и построение сложных математических моделей.


Вернуться на главную страницу обзора