Так, российские специалисты по информационной безопасности считают, что их компании в целом подготовлены к защите от целенаправленных атак. 49% респондентов оценивают свою степень готовности как среднюю, 25% опрошенных поставили оценку "выше среднего", а 5% считают, что их организации превосходно защищены от целенаправленных атак. Ключевым фактором, который мешает организациям обнаруживать целенаправленные атаки, является увеличение их сложности. Вторым по значимости фактором респонденты считают недостаток информации о существующих угрозах. На третьем месте в списке факторов, мешающих обнаружению целенаправленных атак, по мнению участников опроса, является неосведомленность пользователей.
В отличие от целевых угроз обычные атаки предполагают широкий охват атакуемых систем. "Они могут быть направлены как на всех пользователей сети Интернет по принципу "на кого Бог пошлет", так и на отраслевые компании. Отразить такого рода атаку достаточно просто, так как они в целом однотипны и могут быть заблокированы стандартными средствами защиты. Рассматривая же таргетированную атаку, следует помнить, что ее объектом является отдельно взятая организация. Такая атака тщательно планируется, при этом используются различные методы проникновения в Сеть и ее реализации, начиная с социальной инженерии и заканчивая использованием так называемых эксплойтов. Эксплойт - это вредоносный код, позволяющий эксплуатировать в том числе еще неизвестные уязвимости программных продуктов. Проходит такая атака максимально незаметно для пользователей и сотрудников информационной безопасности. Как показала практика, в некоторых случаях такие атаки продолжались в течение нескольких лет. Обычные средства защиты, например, антивирус на рабочей станции, зачастую бессильны против таргетированных атак", - рассказал консультант по безопасности Check Point Software Technologies Анатолий Виклов.
Но как раз в вопросах защиты от целевых угроз большинство российских организаций все еще полагается на традиционные средства защиты. Наиболее популярными средствами защиты, по мнению опрошенных, являются антивирусы. Второе место респонденты отдают системам безопасности на уровне шлюза электронной почты, а третье - управлению обновлениями.
Сегодня специализированные средства защиты для целенаправленных атак еще не получили широкого распространения в российских компаниях. Менее 13% участников опроса используют технологии песочниц (Sandbox) и лишь 8% используют систему защиты от угроз следующего поколения. Тем не менее более 48% опрошенных заявили о наличии планов двигаться в сторону автоматической защиты от угроз.
"Про целенаправленные атаки заговорили не так давно, поэтому специализированных средств для защиты от них не так уж и много. Безусловно, сегодня существует целый рынок средств защиты от внешних угроз, в числе которых межсетевые экраны, антивирусы, средства обнаружения и предотвращения вторжений и так далее. И большинство производителей в погоне за модным трендом уже успели заявить, что их средства тем или иным способом помогают защититься от целенаправленных атак. С одной стороны, действительно, любое средство защиты периметра Сети помогает защититься от атаки. С другой - надо понимать, что целенаправленные атаки - это новый вызов для корпоративных IT-департаментов, и какое-то одно средство вряд ли сможет существенно снизить риски. Поэтому к таким заявлениям производителей следует относиться по принципу "доверяй, но проверяй", - отметил генеральный директор Zecurion Алексей Раевский.
Эксперты советуют компаниям при выборе средств для противодействия таргетированным атакам планировать организацию глубокой многоуровневой защиты, которая будет охватывать всю инфраструктуру компании, начиная с анализа сетевого трафика на наличие атак и заканчивая антивирусной проверкой на рабочих станциях сотрудников и серверов. "Обязательным требованием защиты является наличие так называемой "песочницы", или средства эмуляции угроз. Это специальный программно-аппаратный комплекс, который в режиме реального времени запускает выполнение всех файлов, которые приходят в организацию по электронной почте или через Интернет. Интеллектуальная система сверяет поведение такого файла с эталонным и на основании выявленных или невыявленных поведенческих аномалий выносит вердикт. В случае если файл признан вредоносным, его запуск блокируется, и заражения не происходит. Такой программно-аппаратный комплекс может располагаться как в инфраструктуре организации, так и в облаке. Сейчас именно анализ объектов в эмуляторе является основной мерой противодействия таргетированным атакам", - отметил Анатолий Виклов.
"Обычные средства определяют атаки по фиксированным "сигнатурам", то есть по наборам сетевых пакетов, характерным для различных видов атак. То есть, если хакеры обнаружили какую-то новую уязвимость, сигнатура которой отсутствует в базе данных системы, атака пройдет незамеченной. В отличие от них интеллектуальные системы анализируют сетевую активность и умеют отличать отклонения от стандартных потоков данных, которые могут говорить о ведущейся атаке. К сожалению, интеллектуальные системы нуждаются в тонкой настройке, которая под силу только высококвалифицированным специалистам, - добавил Алексей Раевский. - Кроме этого, они могут ошибаться, интерпретируя какую-то легальную, но не совсем обычную сетевую активность, как попытку взлома. Поэтому для снижения риска целенаправленной атаки необходим комплексный подход - помимо специализированных средств обязательно использование всего спектра систем защиты от внешних угроз и постоянный внимательный анализ их работы силами сотрудников департамента инфобезопасности". Таким образом, на первый план выходит соблюдение "хороших практик" ИБ - наличие, регулярное обновление и, главное, соблюдение таких документов, как политика безопасности организации, регламенты по обновлению ПО, планы действий в случае обнаружения атаки и ликвидации ее последствий.