В последнее время появляется все больше статей и отчетов на тему вирусов-шифровальщиков, и это не случайно. Нацеленные вирусы-шифровальщики, действующие по принципам APT, в последнее время постоянно атакуют компании и постоянно присутствуют в новостях.
Относительно недавно корпорации MITRE, плотно работающая с Illusive, анонсировала концепцию активной защиты (Active Defense). Эта концепция, названная MITRE Shield, ориентирована прежде всего на APT-атаки. Поэтому она применима и для защиты от APT-шифровальщиков, для чего необходимо использовать подмножество содержащихся там защитных техник. В этой статье рассматриваются три ключевых момента, которые нужно учесть при разработке стратегии активной защиты от программ-вымогателей.
Переход от пассивной защиты к активной
Для начала, немного о самой матрице Shield. MITRE Shield — это база знаний распространенных техник и тактик, которая помогает специалистам ИБ выстраивать активную защиту и усовершенствовать систему кибербезопасности. MITRE Shield показывает командам ИБ способы активной защиты, в том время как фреймворк MITRE ATT&CK каталогизирует поведение злоумышленников и уже широко используется в кибербезопасности.
База Shield была создана с целью «заставить специалистов задуматься о переходе от пассивной защиты к более активной» и «противостоять современным атакам, собирая данные о хакерах, и таким образом лучше подготовиться к будущим нападениям».
Создание Shield — это значимое событие в мире ИБ. Методы злоумышленников стали изощреннее, и существующих СЗИ теперь просто недостаточно для того, чтобы остановить некоторые атаки или даже обнаружить их. По опыту последних лет мы знаем, что хакеры успешно проникают за охраняемый периметр, при этом системы обнаружения на основе аномалий их не замечают. Специалистам ИБ нужно мыслить не только в рамках пассивной защиты, и атаки программ-вымогателей — яркий тому пример.
Шифровальщики и АРТ — смертельное сочетание
Необходимо четко понимать, чем именно опасны современные программы-вымогатели, поэтому остановимся на трех главных фактах о них.
Факт 1. Продвинутые программы-вымогатели — это совсем не то же самое, что атаки spray-and-pray
Традиционные программы-вымогатели, которые часто называют «раскидай и жди» (Spray and Pray), действуют максимально быстро на том хосте, куда им удалось проникнуть. Вирус поражает машину, затем сразу же шифрует локальную систему и распространяется по сети для заражения других систем, в которые можно проникнуть.
Однако в последнее время мы сталкиваемся с атаками совершенно нового типа. Они часто выполняются по заказу криминальных группировок и сочетают в себе техники шифрования и методы АРТ-атак. Современные злоумышленники доставляют полезную нагрузку не сразу после первоначального взлома. Сначала в поисках ценных активов они с осторожностью хирурга перемещаются по сети от одной конечной точки к другой. Только после того, как обнаружены наиболее критичные активы, их заражают программами-вымогателями.
Атакующие могут эксплуатировать следующие уязвимые данные, хотя это и не полный список:
- логины и пароли, неосторожно оставленные в истории браузера;
- привилегированные учетные данные, например, администратора домена, которые сохранились в системной памяти после сеанса удаленной поддержки;
- данные, которые хранятся в приложениях и используются, например, для обновления ПО или других видов обслуживания.
Факт 2. Deception парализует злоумышленников
С помощью средств активной защиты можно заманить хакера в ловушку и парализовать его до того, как он нанесет ущерб. Каким образом? Нужно выполнять две задачи:
- активно сокращать поверхность атаки за счет непрерывного обнаружения траекторий атак и их устранения;
- применять технологии киберобмана для обнаружения угроз и латерального движения на самой ранней стадии атаки, а также для отвлечения внимания атакующих от продуктивных хостов.
Модуль Attack Surface Manager решения Illusive выполняет первую задачу, автоматически обнаруживая и удаляя случайно оставленные в системе учетные данные. Его функционал также позволяет детально исследовать пути до критических активов и получать информацию о рисках, необходимую для принятия взвешенных решений и снижения мобильности злоумышленников.
Что касается второй задачи, для Illusive киберобман — это то, с чего началась компания. Платформа активной защиты Illusive размещает обманные артефакты в реальных средах (что существенно отличается от принципов работы ханипотов). Эти артефакты немедленно выдают присутствие злоумышленников, как только хакеры начинают взаимодействовать с ними. Обманные технологии практически полностью лишают атакующих возможности замаскировать свое присутствие и провести атаку.
Какие техники из матрицы MITRE Shield подходят для этой задачи? Вот несколько из них:
- контент-приманка — фальшивая информация для обмана противника;
- учетные данные-приманки — фальшивые учетные данные, которые размещаются по всей инфраструктуре. Таким образом, шансы того, что злоумышленники попробуют воспользоваться ими, значительно увеличиваются;
- cистемы-ловушки пригодятся для сбора киберразведки о поведении злоумышленников.
Факт 3. Автоматизация защиты от шифровальщиков заставляет злоумышленников замедляться
В рамках перехода от пассивной защиты к активной с помощью матрицы MITRE Shield автоматизация мер безопасности также должна быть более активной.
Обманные технологии по-настоящему меняют правила игры, позволяя защитникам переходить в нападение и автоматически расставлять ловушки для злоумышленников в масштабах всей организации. Если не применять обманные технологии, злоумышленники видят реальную инфраструктуру. При каждом взаимодействии с ней они узнают все больше о вашей системе безопасности, и о том, что и где расположено. Обманные технологии показывают злоумышленникам то, чего на самом деле в инфраструктуре не существует, заставляя их понапрасну тратить время и силы.
Долгое время хакеры использовали автоматизацию, из-за чего у служб ИБ появлялось много ручной работы. Это было сражение, которое невозможно выиграть. Но благодаря киберобману возможно прямо противоположное. Теперь автоматизированные средства защиты заставляют злоумышленников замедляться, работать вручную и дают преимущество командам ИБ.
Узнайте больше о технологиях активной защиты Illusive
Заинтересованы в технологиях Active Defense? Закажите демо, расчет цен или тестирование Illusive Networks.