О существующих методах защиты "РГ" рассказал руководитель управления исследования угроз "Лаборатории Касперского" Тимур Биячуев.
Какая динамика целевых атак и на какие компании они направлены?
Тимур Биячуев: Количество целевых атак растет, как и их сложность. Некоторые группировки обладают богатыми возможностями и широчайшим арсеналом, включающим эксплойты нулевого дня и бесфайловые средства атаки (вредоносные программы, скрывающиеся в оперативной памяти).
Мы видим атаки на поставщиков и третьих лиц. В начале этого года наши эксперты прогнозировали появление серьезных вредоносных программ, работающих под UEFI (это прослойка между аппаратной частью машины и операционной системой). Вирус, работающий в UEFI, может обойти многие защитные средства, т.к. может загружаться даже раньше операционной системы. И вот недавно такая угроза была обнаружена в реальных атаках.
Среди целей злоумышленников как государственные, так и частные организации из очень широкого спектра отраслей: телекоммуникации, энергетика, фармацевтика, финансовый сектор и т.д. Для целевых атак уязвимы любые элементы корпоративной сети, но, как правило, атаки направлены на самое слабое звено. Очень часто применяются техники социальной инженерии.
Можно ли полностью защититься от целевых атак, и какие инструменты помогают выявить неизвестные ранее атаки?
Тимур Биячуев: Полностью защититься от целевых атак, конечно, нельзя. Но можно значительно усложнить злоумышленникам проникновение в корпоративную сеть и сократить время обнаружения целевой атаки. Традиционных методов защиты для этого недостаточно - нужно применять комплексные подходы. В нашем портфолио представлена платформа Kaspersky Anti Targeted Attack, которая предназначена для обнаружения сложных кибератак. Комплексная киберзащита включает анализ сетевого трафика, облачные технологии, "песочницу" - изолированный компьютер, на котором потенциально вредоносная программа запускается в специально созданном окружении (так мы анализируем ее активность).
Обязательное применение в защите нашли и такие продвинутые технологии, как машинное обучение и поведенческий анализ. "Мозгом" нашего защитного решения является анализатор, который мониторит всю сеть и "дирижирует" своими компонентами. Так, сенсоры на компьютерах корпоративной сети присылают статистику о том, что у них происходит, на центральный узел, где анализатор агрегирует события и коррелирует их. Допустим, он обнаружил, что файл на определенной машине подозрительный. Анализатор забирает файл с этой машины и отправляет его в "песочницу", чтобы выполнить дополнительную проверку. Если файл и в "песочнице" демонстрирует подозрительное поведение, то анализатор признает его вредоносным. При этом у анализатора есть исторические данные обо всех объектах, которые приходили со всех точек сбора информации. Так что признав новый объект вредоносным, он может посмотреть в базе, были ли похожие. Таким образом он может обнаружить компоненты угрозы, которые остались незамеченными другими защитными механизмами.
Как работает модуль поведенческого анализа угроз?
Тимур Биячуев: В отличие от "песочницы", он работает на компьютерах реальных пользователей. Когда пользователь запускает новый объект, активируется запись и выполненные действия сравниваются с экспертными правилами, а также проверяются моделью машинного обучения. Задача здесь - принять решение о том, вредоносный объект или нет, как можно быстрее. Мы применяем разные методы машинного обучения в наших решениях, в частности глубокое обучение используется в модуле поведенческого анализа угроз.
Какие требования учитываются при разработке?
Тимур Биячуев: Для любых методов очень важно поддерживать низкий уровень ложных срабатываний. Потому что каждое из них приводит к ущербу - простоям или необходимости восстановить работоспособность системы. Это влияет на нашу репутацию и доверие клиентов. Важно соблюдение баланса между способностью обобщать информацию и сохранением очень низкого уровня ложных срабатываний. Нам это удается, и результаты многочисленных независимых тестов это подтверждают. Защита от ложных срабатываний в продуктах "Лаборатории Касперского" эшелонированная: если один способ не сработает, то сработает другой.
Также очень важна интерпретируемость результатов. Необходимо понимать, за что модель признает тот или иной объект вредоносным, чтобы эффективнее обучать ее. А поскольку злоумышленники постоянно работают над обходом средств защиты, рассчитывать на долговременный эффект обученной модели не стоит. Элементы многослойной защиты, которые перекрывают друг друга, необходимо постоянно перевыпускать, дообучая их на новых данных.
Как работает "облачная" инфраструктура для сбора и анализа данных?
Тимур Биячуев: В наше "облако" поступают данные от наших антивирусных продуктов из всех регионов мира. Чем больше географическая распределенность, тем лучше для моделей машинного обучения. В некоторых регионах есть очень специфические угрозы (например, в Китае или Бразилии). Метаданные о разных объектах накапливаются в наших инфраструктурных экспертных системах. Одна из них Astraea, она работает с метаданными и может обнаруживать новые угрозы по статистике, файловые объекты ей не нужны.
Есть ли специфические для России угрозы?
Тимур Биячуев: В России много программ, атакующих финансовые сервисы. Очень распространены мобильные угрозы. Например, характерная для нас угроза - банковский троян, распространяющийся через ссылки в SMS. После того, как телефон заражен, вирус начинает рассылать по всей адресной книге вредоносные ссылки и даже может скрыть факт отправки сообщения с этого телефона. Программа получает контроль над всеми SMS, а значит, может перехватывать банковские коды и даже подавлять работу банковских приложений. Поэтому необходимо устанавливать надежный мобильный антивирус для защиты своего смартфона.