Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Профессиональные APT-хакеры умеют проникать в компании, практически не оставляя следов. В течение многих лет считалось трудным, если не невозможным, их обнаружить. Но в итоге методы обнаружения вторжений стали эффективнее, и теперь доступно несколько продуктов, сервисов и компаний, весьма успешных в поиске APT-атак и им подобных.

Производители операционных систем создают функции и службы, которые значительно лучше находят такого рода преступления. Примерами могут служить сервисы компании Microsoft Advanced Persistent Threat (https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics) и Advanced Threat Protection (https://www.microsoft.com/en-us/WindowsForBusiness/windows-atp).

Многие компании теперь регулярно отслеживают поведение десятков APT-группировок, определяя, что и где они делают. Многие компании предлагают услуги по быстрому обнаружению APT-атак и оповещению об их присутствии. Вероятно, самая большая разница между традиционными и более новыми методами обнаружения вторжений заключается в возможности у последних сбора данных о многих компаниях в Интернете. В этой области наиболее известны компании CrowdStrike (https://www.crowdstrike.com/), AT&T Cybersecurity (https://cybersecurity.att.com/) и давний игрок на рынке TrendMicro (https://www.trendmicro.com/ru_ru/business.html). Хакерам становится все труднее скрыть свое вторжение.

Следующая глава повествует о пионере обнаружения вторжений, докторе Дороти Деннинг. В главе 16 речь пойдет о Михаиле Дубинском, менеджере по продукции одного из наиболее передовых сервисов обнаружения вторжений, доступных сегодня.

На протяжении нескольких десятилетий я думал, что один из моих особых талантов в области информационной безопасности – это умение обнаруживать признаки вредоносной хакерской активности. Я могу заметить потенциальную хакерскую угрозу и найти способы ее более раннего обнаружения и генерации оповещений. Я по-прежнему считаю, что у меня это получается лучше, чем у кого бы то ни было, однако я взаправду считал, что мой подход к обнаружению вторжений/аномалий абсолютно оригинален. Даже слегка задавался по этому поводу. Но потом я узнал о выдающейся работе доктора Дороти Деннинг для IEEE (Института инженеров электротехники и электроники), посвященной экспертным системам обнаружения вторжений в реальном времени (https://users.ece.cmu.edu/~adrian/731-sp04/readings/denning-ids.pdf). В ней было описано все то, что я считал своим «оригинальным» видением, правда доктор Деннинг написала свою работу в 1986 году, задолго до того, как я сделал свои «открытия».

Это был первый из тех многочисленных случаев, когда я осознавал, что мое «оригинальное» видение вовсе не было таковым. Все мы опираемся на открытия великих людей, а доктор Деннинг, безусловно, стала легендой и одним из первопроходцев в области информационной безопасности. Вот что она мне сказала: «Когда я начинала работу, такой отдельной сферы, как информационная безопасность, еще не существовало. Не было ни книг, ни журналов, ни конференций, посвященных этой теме. Нам были доступны лишь докторские диссертации и несколько статей, опубликованных в таких мультидисциплинарных журналах, как Communications of the ACM. Но мне повезло работать в Университете Пердью, одном из немногих, начавших работу в области информационной безопасности наряду с МТИ и другими».

В колледже доктор Деннинг увлекалась математикой и думала, что станет преподавать ее старшеклассникам. Но в процессе получения степени бакалавра математики в Мичиганском университете она работала под руководством директора радиоастрономической обсерватории, который порекомендовал ей освоить программирование для решения рабочих задач. На последнем году обучения она прошла один из немногих доступных в то время курсов по информатике. Позже, в Университете Рочестера, Дороти создала транслятор командного языка, чтобы упростить выполнение программ на мэйнфрейме IBM, а также разработала и преподавала курсы по языкам программирования и компиляторам. Любовь к преподаванию мотивировала ее на получение докторской степени в Университете Пердью, где она изучала курс по операционным системам, который читал ее будущий муж, Питер Деннинг. В рамках этого курса рассматривались принципы обеспечения информационной безопасности на уровне ОС. Это положило начало многолетнему увлечению темой информационной безопасности. Она даже преподавала один из первых в стране курсов по этому предмету.