Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Лучший отчет о промежутках времени между неправомерной авторизацией в системе и обнаружением факта взлома публикуется компанией Verizon (https://www.verizon.com/business/resources/reports/dbir/). Отчет 2016 года (https://enterprise.verizon.com/resources/reports/2016/DBIR_2016_Report.pdf) показал следующие тревожные долгосрочные тенденции:

• среднее время от первоначального взлома хакером до утечки персональных или учетных данных обычно занимает от нескольких минут до нескольких дней;

• большинство злоумышленников (70–80 %) находятся в системе в течение длительного времени (месяцами) до обнаружения;

• обнаружение нарушений злоупотребления внутренними ресурсами происходит лишь в 10 % случаев.

И это несмотря на доказательства, что большинство нарушений регистрируются в логах и, вероятно, были бы обнаружены, если бы логи были просмотрены. Для ясности, я говорю о логах компьютерной системы, а также логах механизмов обеспечения информационной безопасности (например, брандмауэров, систем обнаружения вторжений и т. д.).

К сожалению, большинство средств системы безопасности генерируют в логах тысячи, если не миллионы сообщений о событиях, которые не относятся к злоупотреблениям. Или, если они указывают на фактическую вредоносность, документируются события, которые имеют очень и очень низкий риск для окружения (например, когда брандмауэр регистрирует заблокированный пакет). В результате большинство логов весьма «замусорены», т. е. содержат больше бесполезной информации, чем полезной. Имея это в виду, хорошее сообщение о событии системы безопасности должно иметь следующие характеристики:

• низкий уровень шума;

• низкий уровень ложных срабатываний и несрабатываний, т. е. появление предупреждения с высокой вероятностью указывает на реальный взлом;

• понятное описание события;

• глубокие подробности, которые могут быть полезны специалистам по ИБ;

• генерация события всегда инициирует расследование инцидента.

Вот это и есть святой Грааль обнаружения вторжений.

Развитые устойчивые угрозы (APT, Advanced Persistent Threats) – это атаки, которые проводятся профессиональными преступными группировками. В компрометации подавляющего большинства предприятий, военных систем и других субъектов в течение последнего десятилетия виновны атаки именно такого рода. На самом деле большинство экспертов по ИБ считают, что все подключенные к Интернету организации уже были успешно скомпрометированы или, в случае необходимости, могут быть скомпрометированы в любой момент. APT-атаки совершаются профессиональными хакерами, которые отличаются от обычных следующими особенностями:

• стараются сохранить присутствие в системе после первоначального взлома;

• не «убегают» в случае обнаружения;

• имеют десятки и даже сотни способов взлома и эксплойтов, которые могут использовать, включая уязвимости нулевого дня;

• всегда получают полный контроль над взломанной системой;

• ставят целью постоянную кражу интеллектуальной собственности;

• как правило, ведут атаки из «безопасной гавани» – страны, в которой их никогда не будут преследовать за их деятельность (все верно, во многих государствах хакерство часто спонсируется и поощряется).

APT-атаки намного сложнее выявить традиционными методами обнаружения вторжений. Это возможно, но очень непросто без внедрения и настройки систем обнаружения вторжений. Некоторые системы из числа рассмотренных в этой главе эффективно обнаруживают и предотвращают APT-атаки. Именно поэтому мы о них говорим.

Существует два основных способа обнаружения вторжений: отслеживать подозрительное поведение и сканировать сигнатуры. Многие системы обнаружения вторжений включают оба перечисленных метода.