Пример:
Рассмотрим применение продукта в рамках конкретного реального сценария. Энергетическая компания, в сети которой располагается 1300 компьютеров, часть из которых принадлежит руководящему персоналу, при анализе инфраструктуры обнаружила около 4200 различных приложений. При развертывании программного комплекса по аналитике, просканировав собственное программное обеспечение, руководитель ИТ-отдела был поражен: насколько объемное количество софта содержится в базе данных небольшой организации. Приложения были разнообразными по своим задачам и функционалу: часть из них была полностью легитимна, часть – нелигитимна. А 5% софта и восе не имели отношения к работе фирмы. Обратимся к фактам: доля лишнего ПО в организации возросла с 5% до 41% в ущерб локальной сети. При этом терялись и работо-часы - из-за установленных на рабочих местах мессенджеров и компьютерных игр, инсталляция которых пользователями не ограничивалась. В конечном итоге всё это обернулось финансовыми потерями, частично компенсировать которые помог именно подход default deny.
Однако, блокировка по умолчанию – это далеко не панацея от всех бед. При этом вы можете удаленно управлять программами, которые позволяют осуществлять функции удаленного администрирования, коммуникаторами, клиентами социальных сетей. Но это не дает возможности полноценной защиты от уязвимостей, что на сегодняшний день с позиции безопасности является для компаний угрозой №1. Писатели вирусов в своей «производственной практике» применяют именно наличие уязвимостей, с целью доступа к конфиденциальной информации. Поэтому с точки зрения уязвимых мест целесообразно воспользоваться отдельным функционалом: качественный антивирусный продукт, к примеру, предлагает комплексные решения, которые позволяют не только своевременно производить тесты и публиковать открытые отчеты, но и предъявлять статистику обнаружений, лечений, превентивных мер и т.д.
- Если вернуться к позиции облачных решений, о которых и идет речь в материале, следует взглянуть на ситуацию реально. С точки зрения «облака» подобных тестов в индустрии еще не было. Обусловлено это молодостью технологии, которая пока что находится в стадии становления. Первый подобный тест мы провели в минувшем году: безусловно, технология «облака» - не наше авторское решение, как и интеграция с системами инфозащиты. Однако, удалось добиться того, что продукт был отмечен положительно на тестах авторитетной компании WestCoastLabs. Первый тест представлял собой корретировку динамической репутации: 94% процента программ, файлов и приложений, применяемых на базовых компьютерах, и существующих в мире в целом, изучить иным образом, помимо помещения их в облако, попросту невозможно. Если бы эту информацию попытались сжать и перебросить на локальные клиенты, то процесс идентификации был бы невозможен. Состояние анализа репутации можно было определить наглядно, что позволило наилучшим образом охарактеризовать сам продукт. Второй частью теста стал контроль приложений, который по достигнутому результату был положительным более, чем на 90%. Тестирование default deny было показательным в плане конкретного зловреда под названием Red October – данный вирус на протяжении ряда лет не детектировался антивирусными программами. Нашим специалистам удалось не только «раскрутить» его, но и собрать массу информации о том, как данная программа работает. В итоге динамический анализ в сочетании с быстрой реакцией и высоким уровнем осведомленности о происходящем на машинах пользователей позволил говорить об адекватности существующего комплекса современным условиям киберугроз.
Если говорить о работе технологии KSN в условиях предлагаемых решений и сервисов, следует вернуться к техническим аспектам. Итак, рассмотрим основные постулаты более детально. Запущенные в конце 2013 года решения для бизнеса предлагают интегрированный с облаком пакет программных сервисов: веб-контроль, контроль приложений, анти-malware и контроль устройств, а также основных модулей. При этом в программный пакет интегрирована мобильная защита, защита веб-интерфейса и почтовых клиентов, также предполагается шифрование данных. Помимо облачных, также применяются иные решения, связанные с киберугрозами: к примеру, сервис kaspersky ddos prevention, который стал итогом 15-летней работы специалистов. Нелегитимный трафик фильтруется сквозь своеобразный «центр очистки», и в случае направленных DDoS-атак сервису предоставляется гарантированная доступность собственных онлайн-ресурсов именно благодаря тому, что отработка DDoS атак происходит через центры очистки. В каких случаях это может быть эффективно? Наверняка, большинство пользователей осведомлено о работе так называемых «бот-сетей», когда генераторы DDoS-трафика осуществляют контролируемую направленную атаку на те, или иные ресурсы. В условиях нездоровой конкуренции – это один из наиболее действенных инструментов, поскольку организовать подобную атаку незатратно, а последствия ее могут быть весьма внушительны.
Существует еще один полезный сервис IRIS, который представляет собой систему раннего реагирования с предоставлением заказчикам всех данных экспертизы. Благодаря наличию облачной инфраструктуры, большая часть продуктов и сервисов позволяет автоматически обрабатывать массивный объем информации. Помимо этого, аналитики не упускают из практики и ручную обработку большого количества вирусов. Ведется активная работа в области бот-нетов с изучением их центров управления, постоянным мониторингом и контролем принципов работы. Здесь следует сделать акцент на область таргетированных атак: когда подобная атака начинается, заказчики получают превентивную информацию о том, на какие организации она направлена и когда начнет свое действие. Если говорить о возможности практического применения подобных комплексов, следовало бы отметить их несомненную актуальность в условиях современного бизнеса. Рассматривая основные аспекты направленного вредительства со стороны недобросовестных конкурентов, руководителю компании полезно иметь под рукой инструмент, который позволяет не только упредить атаку, но и вовремя выявить агрессора. Как известно, ликвидировать последствия несанкционированного доступа гораздо сложнее – и по числу последствий, и с финансовой точки зрения. Дело обстоит за малым – проводить грамотную информационную политику среди первых лиц компаний, которая бы позволяла не только осуществлять активную security-профилактику, но и подбирать на роль руководителей ИБ-департаментов квалифицированные кадры.
Безусловно, насколько бы ни была сильна защита информации в компании, компьютерные инциденты имеют место и довольно часто. Как правило, каждый подобный случай в той или иной мере предается огласке, соседствует с судебными разбирательствами и привлечением соответствующих субъектов правоохранительных органов. Однако, возвращаясь к вопросам превентивности и конфиденциальности, следует отметить, что открытое расследование инцидентов может нанести непоправимый урон имиджу компании. Между тем, воспользовавшись услугами экспертной защиты, предлагаемой всё теми же отечественными разработчиками, вы можете не только безболезненно ликвидировать последствия, но и выявить «заказчиков» атаки. Помимо этого, на корпоративных компьютерах могут оказаться подозрительные файлы, чья задача ставится под сомнение. А когда «производители» вирусных программ пишут очередной продукт, они предварительно сканируют его с учетом различных систем, дабы убедиться, что вирус не сканируется при «запуске» его в сеть. Именно здесь окажется уместным применение облачных технологий: собственные эвристические сигнатуры позволяют детектировать объекты, не поддающиеся распознаванию посредством рядовых движков сканирования. В данном случае экспертная защита позволяет создавать повышенный уровень безопасности для заказчиков. Клиент получает не только персонализированные данные, но и необходимый базис для расследования. Технология имеет очевидный плюс: во время привлечения сторонних экспертов или правоохранителей часть внутренней информации теми или иными путями выливается наружу. Расследование компьютерных инцидентов – благодатная почва для тематической прессы. Однако, если журналист не будет обладать необходимой компетенцией, банальная утечка может обернуться «информационной бомбой». Именно поэтому желательно максимальным образом ограничить круг лиц, участвующих в подобном расследовании – и в этом могут помочь тематические программы.
Итак, на выходе: что же нам предлагает облачный антивирус?
• Последние версии продукта позволяют разрабатывать сигнатуры, адаптированные с учетом требований конкретного заказчика.
• Благодаря двусторонней коммуникации удается осуществлять комплексную работу по противодействию вирусным атакам с максимальных охватом пользователей и методик.
• «Человеческий фактор» в лице экспертов позволяет скорректировать программные неточности и предоставить для клиента полноценные отчеты о проделанной работе. В случае атаки для решения проблемы выделяется конкретный специалист, который будет вести работу только в рамках указанного инцидента. Всё это было показательно с описанным выше примером недетектируемого вируса Red October. Направлен был зловред на государственные службы, однако охватил весь мир. Сбор конфиденциальной информации и перенаправление ее на собственные сервера в виде файлов или отдельных угроз удалось пресечь именно российским специалистам.
Недектируемый вирус Red October представляет собой серию целевых атак, которые происходили как минимум на протяжении последних 5 лет. Во время проведения данной операции по всему миру жертвами зловреда стали тысячи организаций. Атакованные организации можно разделить на 8 основных подгрупп:
•Правительственные структуры
•Дипломатические ведомства/посольства
•Исследовательские институты
•Торговые и коммерческие структуры
•Ядерные/энергетические исследования
•Нефтяные и газовые компании
•Аэрокосмическая отрасль
• Военные ведомства и компании, связанные с созданием вооружений
Вполне вероятно, что могут быть выявлены и другие категории попавших под влияние зловреда организаций, которые еще были не выявлены специалистами либо же были атакованы ими в прошлом. Как удалось выяснить, операция кибершпионажа проводилась против государственных структур, дипломатических ведомств и научно-исследовательских организаций на протяжении последних пяти лет. Во время нее собиралась секретная информация и данные с компьютеров, мобильных устройств, а также сетевого оборудования атакованных организаций.
На протяжении нескольких месяцев экспертами «Лаборатории Касперского» проводилась комплексная работа, в ходе которой анализировались вредоносные файлы, применяемые в атаке. Нацелено действие зловреда было на конкретные организации в странах Восточной Европы, бывшего Союза и Центральной Азии, а также Северной Америки и Западной Европы.
… Продолжение следует….
Горячие темы