Угрозы нулевого дня: как защитить бизнес от киберугроз, от которых нет защиты. Рецепты от Check Point

Каждый день компьютеры и смартфоны, на которых мы работаем, рискуют подвергнуться кибератакам. Методы, при помощи которых вредоносные программы похищают деньги и данные компаний, все ухищреннее. Кроме того, появляется все больше неизвестных проблем — вирусов и атак, работу которых трудно прогнозировать. Существуют ли способы защиты? «Да», — говорит Сергей Невструев, эксперт по защите от неизвестных угроз Check Point Software Technologies.

В рамках партнерского проекта Сергей рассказывает о том, как защитить свою компанию от таких кибератак.

Современные угрозы — что это?

— В 2017 мир был потрясен атаками WannaCry и NotPetya, когда после заражения компьютера программный код вируса-червя шифровал почти все хранящиеся на компьютере файлы. За расшифровку предлагалось заплатить выкуп в криптовалюте.

Атаки нанесли многомиллиардный ущерб: так, атака NotPetya вывела из строя треть украинской экономики. Пострадали аэропорт Харькова, Национальный банк Украины, Чернобыльская АЭС и многие другие организации.

С того момента все стали воспринимать кибератаки очень серьезно: заговорили о кибероружии. То есть менялись атаки — и, соответственно, отношение к ним в мире.

В последние пару лет мы не видели масштабных атак, которые «положили» бы экономику какой-либо страны. Но мы видели множество атак, направленных на конкретные компании. Злоумышленники изменили тактику: вместо того, чтобы поражать массово всех, они стали разрабатывать целенаправленные нападения на выбранные организации. Они стали более сложными, часто длительными, многостадийными.

Например, если раньше заражение начиналось с одного письма на электронную почту, то сейчас злоумышленники могут, например, начать атаку на мобильные телефоны: чтобы заставить пользователя скачать вредоносное приложение, получить логин и пароль от корпоративной почты. А потом — дальше развивать свою атаку. Другими словами, в атаке будет задействовано несколько устройств или сервисов.

Важный переломный момент в развитии киберугроз — появление угроз нулевого дня.

Угрозы нулевого дня направлены на неустраненные уязвимости ИТ-систем. Это вредоносные разработки, о которых не знают, против которых еще не созданы механизмы защиты.

Хакеры получили в свое распоряжение большое количество инструментов, которые позволяют модифицировать атаку на лету. Фактически, сейчас они могут разослать тысячи писем с уникальным вредоносным вложением в каждом письме. И таким образом сигнатурные методы защиты стали малоэффективными: создав защиту от одного вида угроз, вы не сможете заблокировать оставшиеся, так как они будут отличаться.

Как защищать компанию, если традиционные средства неэффективны

Угрозы нулевого дня направлены на атаку так называемого периметра корпоративной сети (компьютерную сеть компании и всех ее устройств, которые подключены к внешним (общедоступным) сетям и интернету, сервисам. — Прим. «Про бизнес»).

Уже сейчас против таких вредоносов найден инструмент — динамический анализ. Его принято называть песочницей.

Песочница позволяет открыть новый подозрительный файл в безопасной среде и посмотреть, как он будет себя вести, к каким сервисам будет обращаться, какие изменения в операционной системе будут происходить. Наблюдая за поведением операционной системы, можно с уверенностью сказать, безопасен этот файл или нет.

Как только появились первые песочницы, злоумышленники сразу стали думать, как можно их обойти. Способов существует множество. Например:

• Можно отсрочить вредоносную активность на время, ведь песочница не может тестировать файл вечно. Так что файл пройдет проверку и только после этого начнет свою вредоносную активность. Поэтому сейчас современные песочницы искусственно ускоряют таймер, чтобы заставить сработать потенциальную угрозу. В ответ на это злоумышленники стали использовать собственный таймер, а не системный. И так далее
• Есть вредоносное ПО, которое обнаруживает наличие самой песочницы. Ведь это программное обеспечение, которое каким-то образом присутствует в системе. Можно по наличию определенных файлов, по особым параметрам определить ее и, соответственно, вредонос не будет запускаться и таким образом избежит детектирования.

Что делать в таких ситуациях? Надо было найти решение, которое усложнит хакерам обход защиты и при этом не будет замедлять бизнес-процессы. В 2015 году Check Point выпустила решение SandBlast Network, которое обеспечивает надежное обнаружение вредоносов, даже самых скрытных. Эта песочница хорошо зарекомендовала себя на рынке.

В тестe Breach Prevention System Test независимой лаборатории NSS Labs решение, состоящее из шлюза Check Point и SandBlast Network, заблокировало 100% атак.Вообще без ложных срабатываний, показав лучший результат в тесте.

Прямые атаки 

После того как решения, связанные с созданием шлюза с песочницей, смогли надежно блокировать угрозы на уровне периметра в трафике, возникла новая проблема: «размывается» и пропадает сам периметр. То есть сотрудники берут ноутбуки, подключенные в офисе к защищенной корпоративной сети, — и работают в кафе, в транспорте, дома. В общем, там, где им удобно, и пандемия лишь ускорила этот тренд.

Исходя из таких реалий, требуется изменить сам подход к защите — вместо того, чтобы создавать какие-то решения или защитные устройства — условные бутылочные горлышки, через которые нужно фильтровать весь входящий и исходящий трафик, который мы получаем, должны защищать сами конечные устройства и данные на них.

Что такое конечные устройства? Поговорим подробнее о:

• Рабочих станциях
• Мобильных телефонах. Смартфоны все чаще используются для работы, и как правило, у всех установлена рабочая почта. Если есть почта, значит, есть и конфиденциальные данные. Зачастую пользователи вводят логин и пароль на телефоне. И если телефон каким-то образом заражен, то злоумышленник может этот логин и пароль перехватить, и таким образом начнется атака: у хакера появится доступ к корпоративной сети.

Угроза для рабочих станций

Мы в Check Point верим, что нет одной волшебной технологии, которая защитит от всего: хорошая защита — это система, «оркестр» из проверенных технологий, работающих вместе. При защите рабочих станций мы исходим из необходимости остановить активность как можно раньше, а лучше — вообще ее предотвратить.

Например, у нас есть технологии, которые позволяют сократить площадь атаки: шифрование диска, VPN, Application Control (контроль уязвимых приложений). Другими словами, эти решения позволяют сделать так, что машина становится неинтересной злоумышленнику, он больше не видит ее как жертву.

Если атака началась и злоумышленник, к примеру, отправляет письма с вредоносными документами, есть несколько технологий, которые позволяют полностью предотвратить атаку до тех пор, пока вредоносный файл не попал на рабочую станцию. Антивирус быстро заблокирует известные вирусы, и вдобавок такое решение Next Generation Antivirus позволит заблокировать новые неизвестные вредоносы, но не по так называемой статичной сигнатуре, а по большому набору разных статических параметров. Их количество огромно — тысячи. Поэтому для их выявления активно используются технологии машинного обучения.

Threat Emulation (эмуляция) перехватит подозрительный файл и отправит его в песочницу. А с помощью Threat Extraction пользователю автоматически предоставят очищенную безопасную копию этого файла, чтобы не вызывать задержек в доставке.

Но что делать, если в атаке не присутствует файл с вредоносной программой? Сейчас набирают популярность так называемые бестелесные атаки, когда файл вообще отсутствует, а все, что нужно, злоумышленник создает динамически в памяти. В этом случае даже Next Generation Antivirus не поможет и нужно использовать другие технологии, которые могут блокировать атаки по поведению.

Решение есть у нашей компании: у Check Point SandBlast Agent есть большое количество технологий, движков, которые позволяют блокировать по поведению, например:

• Anti-Exploit (обнаруживает взлом приложений)
• Anti-Evasion (обнаруживает попытки замаскировать активность)
• Anti-Mimikatz (против сбора паролей)
• Anti-Ransomware (борется с вымогателями) и несколько других.
• Движок поведенческого анализа, Behavioral Guard, постоянно анализирует поведение операционной системы и сохраняет данные о событиях локально на жесткий диск. В случае обнаружения подозрительной активности мы можем заблокировать ее и, используя накопленные данные о системе (Behavioral Guard), «откатить» атаку до самого ее начала, то есть понять, с чего атака началась, понять ее точку входа.
  
  Более того, мы можем полностью восстановить зашифрованные или поврежденные файлы.

Используя накопленные данные о поведении системы, мы можем восстановить всю цепочку атаки и расследовать инцидент. Будет видно, какую брешь в обороне рабочей станции использовал злоумышленник, с чего атака началась, какими он пользовался инструментами и какими методами. Это очень важный этап, потому что он позволяет предотвратить следующую атаку.

SandBlast Agent защищает сейчас тысячи заказчиков по всему миру и миллионы рабочих станций, и никто из них не пострадал от нашумевших атак, никто не понес существенного ущерба. Подход многоуровневой защиты в режиме предотвращения проверен на практике и доказал свою эффективность. В последнем актуальном тесте NSS Labs SandBlast Agent снова продемонстрировал максимальную эффективность защиты среди других вендоров и заблокировал 100% атак как в почте, так и в вебе.

Как защитить смартфоны

Есть компании, которые разрешают своим сотрудникам работать со смартфона: читать корпоративную почту и так далее. Но с какого устройства будет работать сотрудник? Часто информация на смартфоне гораздо более ценная, но с точки зрения безопасности пользователь куда более небрежен со своим телефоном, чем с рабочими станциями. Злоумышленники это прекрасно понимают и активно этим пользуются. Вот несколько примеров:

1. Что такое современные угрозы для смартфонов? Прежде всего, вредоносные приложения. Их огромное количество, они встречаются как в неофициальных магазинах приложений, так и в Google Play Store и в Apple App Store (хотя и редко).

2. Социальная инженерия тоже работает очень хорошо: мы видим много атак на сервисы видеоконференций. Люди сначала скачивают бесплатные сервисы видеоконференций (Zoom, например), но им нужны платные опции. Они начинают их искать и находят: злоумышленники предоставляют взломанные версии этих программ, но кроме желанных опций в них есть вредоносная нагрузка, которая позволяет злоумышленнику начинать атаку. Таким образом, пользователь получает бесплатно желаемую программу, но при этом его телефон заражен и начинает собирать данные.

Еще один пример: был случай, когда телефон сотрудника был произведен малоизвестным брендом. И заражен шпионским ПО еще до продажи. То есть пользователь в магазине купил дешевый телефон, установил все необходимые приложения, начал работать, а в это время его телефон с уже предустановленной вредоносной программой собирал данные.

Что делать для защиты данных со смартфона? В решениях для защиты мобильных телефонов есть мощный движок, который может отследить и фишинг, и зловредные сайты, и вредоносные приложения. Например, наша компания может на самом устройстве, не перенаправляя никуда трафик:

1. Анализировать контент.

2. Обнаруживать, что происходит в части сетевых соединений.

3. Замечать вредоносную активность и надежно ее блокировать.

Если мы говорим о защите личного устройства пользователя (предположим, о смартфоне), здесь есть некий концептуальный конфликт: с одной стороны, если телефон используется для корпоративных целей, то нужно его контролировать. С другой стороны, мы не можем себе позволить контролировать всю пользовательскую активность. Никто из пользователей не оценит, если незнакомый системный администратор получит доступ к его сообщениям или фотографиям.

Что с этим делать? Разработано достаточно много подходов. Например, можно реализовать на телефоне пользователя такой условный контейнер — у нас это решение называется Check Point Capsule. Корпоративные данные хранятся там, и если пользователь, например, покидает компанию, ИБ-отдел может просто удалить этот контейнер. Пользовательские данные при этом не страдают — к ним нет доступа.

При этом сам контейнер не защищает от киберугроз — если телефон скомпрометирован, злоумышленник в том числе получает и доступ к этому контейнеру. Ведь решения по кибербезопасности не могут ограничивать поведение пользователя: какие приложения пользователь ставит на свой собственный смартфон. В этом случае можно использовать и другие решения. Например, SandBlast Mobile — вся защита, которая требует доступа к трафику, происходит локально на устройстве. С одной стороны, программа получает доступ к трафику пользователя, но данные, куда ходил пользователь, никуда не передаются.

Существует ли полная защита?

Несмотря на разнообразие векторов атак, способов, размытие периметра, защититься от новых угроз можно. Мы в Check Point предлагаем и комплексную архитектуру безопасности — Infinity.

Это набор разных наших продуктов, которые защищают от новых и будущих угроз и упакованы в коммерческое предложение. Компания платит не за технологию, устройство или продукт, а за одного пользователя от организации. В рамках заданного бюджета компания получает доступ ко всем технологиям Check Point, которые существуют на сегодняшний момент.

Читайте также

• «Бизнес не готов к таким киберугрозам»: мошенники используют коронавирус и другие методы для наживы. Cheсk Point советует, что делать