Cada año, las organizaciones mejoran sus herramientas comerciales, introduciendo nuevas soluciones y al mismo tiempo complican su infraestructura de TI. Ahora, en una situación en la que el servidor de correo de una empresa se congela, se borra información importante de los puntos finales o se interrumpe el funcionamiento del sistema automatizado para generar facturas de pago, los procesos comerciales simplemente se detienen.

Benjamín
levtsov

Vicepresidente, Jefe de la División Corporativa de Kaspersky Lab

nicolás
Demídov

Consultor técnico para seguridad de información Laboratorio Kaspersky

Conscientes de la creciente dependencia sistemas automatizados, las empresas también están dispuestas a preocuparse cada vez más por la seguridad de la información. Además, el camino hacia la creación de un sistema de seguridad de la información depende de la situación en una organización específica determinada (de los incidentes que han tenido lugar, de las creencias de empleados específicos) y, a menudo, se forma "desde abajo", desde los subsistemas de seguridad de la información individuales hasta el panorama general. Como resultado, se crea un sistema de múltiples etapas, único en su tipo, que consta de varios productos y servicios, complejos, generalmente únicos para cada empresa, donde los especialistas en seguridad de la información pueden:

• escanear archivos utilizando sistemas de seguridad de terminales;
• filtrar el correo electrónico y el tráfico web mediante soluciones de puerta de enlace;
• monitorear la integridad e inmutabilidad de los archivos y ajustes del sistema;
• monitorear el comportamiento de los usuarios y responder a desviaciones de los patrones de tráfico normales;
• escanear el perímetro y la red interna en busca de vulnerabilidades y configuraciones débiles;
• implementar sistemas de identificación y autenticación, cifrar discos y conexiones de red;
• invertir en un SOC para recopilar y correlacionar registros y eventos de los subsistemas mencionados anteriormente;
• solicitar pruebas de penetración y otros servicios para evaluar el nivel de seguridad;
• hacer que el sistema cumpla con los requisitos de las normas y realizar certificaciones;
• enseñar al personal los conceptos básicos de higiene informática y resolver una infinidad de problemas similares.

Pero a pesar de todo esto, el número de los que tienen éxito, es decir. Los ataques a las infraestructuras de TI que logran su objetivo no están disminuyendo, pero el daño que causan está aumentando. ¿Cómo logran los atacantes superar sistemas de seguridad complejos, que suelen ser únicos en su composición y estructura?

Concepto de ataque dirigido

Es hora de dar una definición que refleje con precisión el concepto de ataque dirigido. Un ataque dirigido es un proceso continuo de actividad no autorizada en la infraestructura del sistema atacado, controlado de forma remota y manual en tiempo real.

En primer lugar, se trata precisamente de un proceso: una actividad en el tiempo, una determinada operación y no sólo una acción técnica puntual.

En segundo lugar, el proceso está diseñado para funcionar en una infraestructura específica, está diseñado para superar mecanismos de seguridad específicos, productos específicos e involucrar a empleados específicos en la interacción. Cabe señalar que existe una diferencia significativa en el enfoque de los envíos masivos de malware estándar, cuando los atacantes persiguen objetivos completamente diferentes: esencialmente hacerse con el control de un punto final separado. En el caso de un ataque dirigido, está diseñado para la víctima.

En tercer lugar, esta operación suele estar dirigida por un grupo organizado de profesionales, a veces internacionales, armados con herramientas técnicas sofisticadas, esencialmente una banda. De hecho, sus actividades son muy similares a una operación militar de varias etapas. Por ejemplo, los atacantes compilan una lista de empleados que potencialmente podrían convertirse en la "puerta de entrada" a la empresa y se ponen en contacto con ellos a través de en las redes sociales, se estudian sus perfiles. Después de esto, se resuelve la tarea de hacerse con el control del ordenador de trabajo de la víctima. Como resultado, su computadora queda infectada y los atacantes toman el control de la red y cometen directamente actos criminales.

En una situación de ataque dirigido, no sistemas informáticos luchan entre sí, y las personas (algunas atacan, otras) reflejan un ataque bien preparado, teniendo en cuenta las debilidades y características de los sistemas de contraataque.

Actualmente, el término APT (Amenaza persistente avanzada) está cada vez más extendido. Veamos su definición. APT es una combinación de utilidades, malware, mecanismos para explotar vulnerabilidades de día cero y otros componentes diseñados específicamente para implementar este ataque. La práctica demuestra que las APT se utilizan repetidas veces en el futuro para llevar a cabo ataques repetidos con un vector similar contra otras organizaciones. Un ataque dirigido o dirigido es un proceso, una actividad. APT es una herramienta técnica que le permite implementar un ataque.

Podemos decir con seguridad que la propagación activa de los ataques dirigidos se debe, entre otras cosas, a una fuerte reducción de los costes y de la mano de obra para implementar el ataque en sí. Los grupos de piratas informáticos disponen de una gran cantidad de herramientas previamente desarrolladas; a veces no existe una necesidad urgente de crear malware exótico desde cero. La mayoría de los ataques dirigidos modernos se basan en exploits creados anteriormente y el malware utiliza sólo una pequeña parte técnicas completamente nuevas, que se clasifican principalmente como amenazas APT. A veces, como parte de un ataque se utilizan utilidades completamente legales creadas con fines “pacíficos”; volveremos a este tema más adelante.

Etapas de un ataque dirigido

Este material describirá las principales etapas de un ataque dirigido, mostrará el esqueleto del modelo general y las diferencias en los métodos de penetración utilizados. La comunidad de expertos tiene la idea de que un ataque dirigido suele pasar por 4 fases en su desarrollo (Fig. 1).

En la Fig. La Figura 1 muestra las 4 fases de un ataque dirigido, lo que demuestra su ciclo de vida. Formulemos brevemente el objetivo principal de cada uno de ellos:

1. Preparación: la tarea principal de la primera fase es encontrar el objetivo, recopilar suficiente información privada detallada sobre él y, en base a ello, identificar los puntos débiles de la infraestructura. Cree una estrategia de ataque, seleccione herramientas creadas previamente y disponibles en el mercado negro o desarrolle usted mismo las necesarias. Por lo general, los pasos de penetración planificados se probarán exhaustivamente, incluida la indetectabilidad de las herramientas de seguridad de la información estándar.

2. Penetración: la fase activa de un ataque dirigido, que utiliza diversas técnicas de ingeniería social y vulnerabilidades de día cero para infectar inicialmente al objetivo y realizar un reconocimiento interno. Una vez completado el reconocimiento y determinada la identidad del host infectado (servidor/estación de trabajo), se puede descargar código malicioso adicional a través del centro de control por orden del atacante.

3. Propagación: la fase de consolidación dentro de la infraestructura, principalmente en las máquinas clave de la víctima. Amplíe su control tanto como sea posible, ajustando versiones de código malicioso si es necesario a través de los centros de control.

4. Lograr el objetivo es la fase clave de un ataque dirigido; dependiendo de la estrategia elegida, puede utilizar:

• robo de información clasificada;
• alteración deliberada de información clasificada;
• Manipulación de los procesos de negocio de la empresa.

En todas las etapas se cumple la condición obligatoria de ocultar los rastros de la actividad de un ataque dirigido. Cuando se completa un ataque, a menudo sucede que los ciberdelincuentes crean un "Punto de Retorno" para ellos mismos, lo que les permite regresar en el futuro.

Primera fase del ataque dirigido: preparación

Identificando el objetivo

Número de exitosos, es decir Los ataques a las infraestructuras de TI que logran su objetivo no están disminuyendo, pero el daño que causan está aumentando. ¿Cómo logran los atacantes superar sistemas de seguridad complejos, que suelen ser únicos en su composición y estructura?
La respuesta es bastante breve: preparando y llevando a cabo ataques complejos que tengan en cuenta las características del sistema objetivo.

Cualquier organización puede convertirse en objetivo de un ataque. Y todo comienza con una orden, o reconocimiento general, o, más precisamente, seguimiento. En el marco del seguimiento a largo plazo del panorama empresarial mundial, los grupos de hackers utilizan herramientas disponibles públicamente, como canales RSS, cuentas oficiales de Twitter de las empresas y foros especializados donde varios empleados intercambian información. Todo esto ayuda a identificar a la víctima y los objetivos del ataque, tras lo cual los recursos del grupo pasan a la etapa de reconocimiento activo.

Colección de información

Por razones obvias, ninguna empresa proporciona información sobre los medios técnicos que utiliza, incluidos los de seguridad de la información, regulaciones internas, etc. Por tanto, el proceso de recopilación de información sobre una víctima se denomina inteligencia. La principal tarea de la inteligencia es recopilar información privada específica sobre la víctima. Todas las pequeñas cosas son importantes aquí y ayudarán a identificar posibles debilidades. El trabajo puede utilizar los enfoques más no triviales para obtener datos primarios privados, por ejemplo, la ingeniería social. Presentaremos varias técnicas de ingeniería social y otros mecanismos de inteligencia utilizados en la práctica.

Métodos de reconocimiento:

1. Información privilegiada.

Un ataque dirigido es un proceso continuo de actividad no autorizada en la infraestructura del sistema atacado, controlado manualmente de forma remota en tiempo real.

Existe un método para buscar empleados de la empresa recientemente despedidos. Un ex empleado de la empresa recibe una invitación a una entrevista de rutina para un puesto muy tentador. Sabemos que un psicólogo de contratación experimentado puede hablar con casi cualquier empleado que compita por un puesto. De estas personas reciben una cantidad bastante grande de información para preparar y seleccionar un vector de ataque: desde la topología de la red y las medidas de seguridad utilizadas hasta información sobre la vida privada de otros empleados.

Sucede que los ciberdelincuentes recurren a sobornar a las personas que necesitan en una empresa que tiene información o entran en un círculo de confianza a través de una comunicación amistosa en lugares públicos.

2. Fuentes abiertas.

En este ejemplo, los piratas informáticos se aprovechan de la actitud inescrupulosa de las empresas hacia los soportes de papel, que se tiran a la basura sin una destrucción adecuada; entre la basura se pueden encontrar informes e información interna o, por ejemplo, páginas web de la empresa que contienen los nombres reales de los empleados. encontró. Acceso público. Los datos obtenidos se pueden combinar con otras técnicas de ingeniería social.

En una situación de ataque dirigido, no son los sistemas informáticos los que luchan entre sí, sino las personas: algunos atacan, otros rechazan un ataque bien preparado que tiene en cuenta las debilidades y características de los sistemas de contraataque.

Como resultado de este trabajo, los organizadores del ataque pueden tener información bastante completa sobre la víctima, incluyendo:

• nombres de empleados, correo electrónico, teléfono;
• horario de trabajo de los departamentos de la empresa;
• información interna sobre procesos en la empresa;
• información sobre socios comerciales.

Los portales de adquisiciones gubernamentales también son una buena fuente de información sobre las soluciones que ha implementado el cliente, incluidos los sistemas de seguridad de la información.

A primera vista, el ejemplo anterior puede parecer insignificante, pero en realidad no lo es. La información enumerada se utiliza con éxito en métodos de ingeniería social, lo que permite que un pirata informático gane confianza fácilmente al operar con la información recibida.

3. Ingeniería social.

• Llamadas telefónicas por parte de empleados internos.
• Medios de comunicación social.

Con la ayuda de la ingeniería social se puede lograr un éxito significativo a la hora de obtener información confidencial de la empresa: por ejemplo, en el caso de una llamada telefónica, un atacante puede presentarse en nombre de un empleado. Servicio de información, haga las preguntas correctas o solicite que ejecute el comando correcto en su computadora. Las redes sociales son una buena manera de determinar el círculo de amigos y los intereses de la persona adecuada; dicha información puede ayudar a los ciberdelincuentes a desarrollar la estrategia adecuada para comunicarse con una futura víctima.

Desarrollo de estrategias

La estrategia es obligatoria en la implementación de un ataque dirigido exitoso; tiene en cuenta todo el plan de acción en todas las etapas del ataque:

• descripción de las etapas de un ataque: penetración, desarrollo, consecución de objetivos;
• métodos de ingeniería social, vulnerabilidades explotadas, eludiendo las medidas de seguridad estándar;
• etapas de desarrollo del ataque teniendo en cuenta posibles situaciones de emergencia;
• consolidación interna, mayores privilegios, control sobre recursos clave;
• extracción de datos, eliminación de rastros, acciones destructivas.

Creando un stand

A partir de la información recopilada, un grupo de atacantes comienza a crear un stand con versiones idénticas del software explotado. Un campo de pruebas que permite probar las etapas de penetración en un modelo existente. Practique diversas técnicas para la implementación encubierta y eludiendo las medidas estándar de seguridad de la información. Básicamente, el puesto sirve como puente principal entre las fases pasiva y activa de penetración en la infraestructura de la víctima. Es importante tener en cuenta que crear un stand de este tipo no es barato para los piratas informáticos. Los costos de ejecutar un ataque dirigido con éxito aumentan con cada etapa.

Desarrollo de un conjunto de herramientas.

Los ciberdelincuentes se enfrentan a una elección difícil: es importante para ellos decidir entre los costos financieros de comprar herramientas listas para usar en el mercado paralelo y los costos de mano de obra y tiempo para crear las suyas propias. El mercado paralelo ofrece una selección bastante amplia de diferentes instrumentos, lo que reduce significativamente el tiempo, excepto en casos excepcionales. Este es el segundo paso que distingue significativamente al ataque dirigido como uno de los ataques cibernéticos que consumen más recursos.

Veamos el conjunto de herramientas en detalle: por regla general, un conjunto de herramientas consta de tres componentes principales:

1. Centro de mando, o Centro de Comando y Control (C&C).

La base de la infraestructura de los atacantes son los centros de mando y control C&C, que garantizan la transmisión de comandos a módulos maliciosos controlados, de donde recogen los resultados de su trabajo. El foco del ataque son las personas que lo llevan a cabo. La mayoría de las veces, los centros están ubicados en Internet y los proveedores brindan servicios de alojamiento, colocación y alquiler. maquinas virtuales. El algoritmo de actualización, como todos los algoritmos de interacción con los "hosts", puede cambiar dinámicamente junto con los módulos maliciosos.

2. Herramientas de penetración, resolviendo el problema"abrir la puerta" del host remoto atacado:

• exploit: código malicioso que explota las vulnerabilidades del software;
• validador: código malicioso que se utiliza en casos de infección primaria, es capaz de recopilar información sobre el host y transferirla a C&C para tomar decisiones adicionales sobre el desarrollo del ataque o su cancelación completa en una máquina específica;
• Descargador: módulo de entrega con cuentagotas; El descargador se utiliza con mucha frecuencia en ataques basados ​​en métodos de ingeniería social y se envía como archivo adjunto; mensajes de correo;
• El módulo de entrega Dropper es un programa malicioso (generalmente un troyano) cuya tarea es entregar el virus Payload principal a la máquina infectada de la víctima, diseñado para:
  • protección dentro de una máquina infectada, inicio oculto, inyección de proceso después de reiniciar la máquina;
  • Inyecte en un proceso legítimo para descargar y activar el virus Payload a través de un canal cifrado, o extraiga e inicie una copia cifrada del virus Payload desde el disco.

La ejecución del código ocurre en un proceso legítimo inyectado con derechos del sistema; dicha actividad es extremadamente difícil de detectar mediante herramientas de seguridad estándar.

3. Cuerpo del virus de carga útil. El principal módulo malicioso de un ataque dirigido, descargado por Dropper en el host infectado, puede constar de varios módulos funcionales adicionales. módulos, cada uno de los cuales realizará su propia función:

APT (Advanced Persistent Threat) es una combinación de utilidades, malware, mecanismos para explotar vulnerabilidades de día cero y otros componentes diseñados específicamente para implementar este ataque.

• espía de teclado;
• grabación de pantalla;
• acceso remoto;
• módulo de distribución intra-infraestructura;
• interacción con C&C y actualización;
• cifrado;
• limpieza de rastros de actividad, autodestrucción;
• leer correo local;
• buscando información en el disco.

Como podemos ver, el potencial del conjunto de herramientas considerado es impresionante y la funcionalidad de los módulos y técnicas utilizadas puede variar mucho según los planes de ataque del objetivo. Este hecho subraya la singularidad de este tipo de ataque.

resumiendo

Es importante señalar el crecimiento de los ataques dirigidos contra empresas de diversos sectores del mercado (otros riesgos se muestran en la Fig. 2), la alta complejidad de su detección y el daño colosal de sus acciones, que no se puede garantizar que se detecten después un largo período de tiempo. En promedio, un ataque dirigido se detecta 200 días después de su actividad 1, lo que significa que los piratas informáticos no sólo lograron sus objetivos, sino que también controlaron la situación durante más de medio año. Además, las organizaciones que han descubierto la presencia de APT en su infraestructura no pueden responder adecuadamente, minimizar los riesgos y neutralizar la actividad: el personal responsable de la seguridad de la información simplemente no está capacitado para hacer esto. Como resultado, una de cada tres empresas suspende sus operaciones durante más de una semana en un intento por recuperar el control de su propia infraestructura y luego se enfrenta a un complejo proceso de investigación de incidentes.

El coste medio global para una corporación debido a un incidente importante es de 551.000 dólares, lo que incluye la pérdida de oportunidades de negocio y el tiempo de inactividad del sistema, así como los costes de los servicios profesionales para hacer frente a las consecuencias 2 .

Cómo se desarrolla un ataque, los métodos para eludir las medidas de seguridad estándar y explotar las amenazas de día cero, la ingeniería social, la difusión y el ocultamiento de rastros cuando se roba información clave, y mucho más, se pueden encontrar en los siguientes artículos de la revista "Anatomía de un ataque dirigido". Serie Ataque”.

___________________________________________
1 Según estadísticas de Kaspersky Lab.
2 Datos del estudio "Seguridad de la información empresarial" realizado por Kaspersky Lab y B2B International en 2015. En el estudio participaron más de 5.500 especialistas en TI de 26 países, incluida Rusia.

Los ataques dirigidos se convirtieron por primera vez en tema de debate activo en la comunidad mundial en 2009. Entonces se conoció el ataque de Stuxnet. Quizás podamos decir que aquí es donde comenzó la historia reciente de ciberataques dirigidos. Lea más sobre qué es este tipo de delito cibernético y cómo pueden producirse dichos ataques con más detalle en nuestro material.
1. ¿Qué son los ataques dirigidos?
Los ataques dirigidos (o intencionados) son acciones planificadas previamente contra una entidad u organización estatal o no estatal específica. Por regla general, los ciberdelincuentes que llevan a cabo ataques dirigidos son profesionales, se les puede comparar con los atacantes tradicionales que roban automóviles a pedido: tienen un objetivo específico, estudian las medidas de seguridad del automóvil para poder burlarlos con éxito.
Hoy en día, las actividades de los piratas informáticos adquieren cada vez más características de los negocios tradicionales. En el mercado ruso existe una especie de "mercado negro": esquemas ocultos y lugares para vender el software necesario para atacar la infraestructura de TI de una empresa en particular. Hay precios fijos que se pueden encontrar fácilmente en Internet.
Incluso se pueden encontrar líneas de productos ya establecidas: las “empresas” cibercriminales están ampliando el embudo de ventas, preparando modificaciones individuales de las soluciones teniendo en cuenta varios segmentos objetivo. Hay precios para las botnets y se anuncian activamente nuevas versiones de troyanos. Incluso puedes adquirir un ataque dirigido como servicio. Los ciberatacantes crean sus propios planes de desarrollo, que también se anuncian activamente.
"Los anuncios, por regla general, se hacen en fuentes cerradas", dice Andrey Arefiev, director de desarrollo de productos de InfoWatch. – Pero, sin embargo, podemos decir que la industria moderna de las botnets tiene todas las características de los productos comerciales completos. Según una investigación independiente, el número de utilidades utilizadas para crear botnets se ha multiplicado por diez en los últimos años.
Además, la naturaleza de los ataques ha cambiado significativamente en los últimos años: se han vuelto muy sofisticados. Los ataques actuales se han vuelto más ramificados: el atacante intenta adaptarse a la propia infraestructura de la empresa y hacer que el ataque sea lo más invisible posible. El ataque debe detectarse lo más tarde posible o no detectarse en absoluto. Por lo tanto, tales ataques, por regla general, se prolongan en el tiempo y se vuelven visibles solo cuando llega el momento de manifestarse activamente.
Los ataques dirigidos a la infraestructura de TI tienen las siguientes características:
џ Estudian el sistema de seguridad que tiene la empresa y lo saltan.
џ La naturaleza de los ataques se ha vuelto más gradual: pueden comenzar en la computadora de la secretaria y el objetivo final será la computadora del contable; por ejemplo, la tarea de los atacantes puede ser instalar malware allí.
"Como resultado provisional, se puede observar que si no se observan signos visibles de un ataque a la infraestructura TI de la empresa, eso no significa que no esté siendo atacada", resume Andrey Arefiev.
2. Ejemplos de ataques dirigidos.
Según varias fuentes públicas, el “punto de entrada” para la introducción de un programa de virus troyano suele ser la actividad interna de empleados desleales de la empresa. Un ejemplo similar se pudo observar no hace mucho en Irán.
El objetivo principal de este ataque era contener el programa nuclear iraní. Hasta donde se sabe, un Estado soberano controlaba las centrífugas nucleares de enriquecimiento y varias instalaciones fueron puestas en modo de emergencia. Las centrifugadoras se estropeaban rápidamente y repararlas requería tiempo y dinero, por lo que se pospuso el enriquecimiento de uranio. Como descubrimos, este ataque fue planeado de antemano, llevado a cabo y llevado a cabo durante un largo período de tiempo.
El objetivo del ataque no era robar equipos, sino controlar instalaciones industriales. Da miedo imaginar lo que podría pasar si alguien comienza a controlar una central nuclear: ponerla en modo de emergencia amenaza, como mínimo, con un segundo Chernobyl...
Sin embargo, no sólo las instalaciones de importancia estratégica y las grandes organizaciones gubernamentales se convierten en objetivos de los atacantes. Recientemente, un propietario de una organización empresarial tuvo la oportunidad de comprobarlo personalmente. Intentaron infectar el servidor de la empresa utilizando vulnerabilidades de contacto; el propietario de la empresa tuvo la suerte de que solo el ordenador del contable fue atacado.
El malware es un programa que permite el acceso no autorizado a información confidencial a través de vulnerabilidades. Estos programas se suelen utilizar para obtener acceso primario a una red empresarial. Normalmente, la inyección del sistema significa acceso a los datos cuando se reinicia el sistema. El “registro” del módulo ejecutable es reiniciarlo cada vez.
El software malicioso puede terminar en el ordenador de un empleado de la empresa no sólo debido a la intención maliciosa de este último, sino también como resultado de la ingeniería social utilizada por los piratas informáticos (por ejemplo, un ciberdelincuente puede pedir a la víctima que siga un enlace concreto o visite un sitio web de terceros). recurso del partido).
Como resultado, la víctima queda disponible para el ataque y los atacantes obtienen acceso a Sistema operativo computadora de trabajo del empleado. Ahora puede ejecutar archivos maliciosos para posteriormente obtener control sobre las computadoras de su organización. Las acciones enumeradas anteriormente se denominan "ataques de día cero".
3. ¿Qué datos se roban con más frecuencia?
Esto depende en gran medida del perfil de la empresa. El objetivo de los piratas informáticos pueden ser secretos industriales y desarrollos estratégicos de plan cerrado, pagos y datos personales. Es interesante que, según la investigación, el 63% de los encuestados entiende que un ataque dirigido a su empresa es sólo cuestión de tiempo.
Métodos para identificar ataques dirigidos:
1. Análisis de firma.
Realizar un análisis de firma implica que los analistas tienen un fichero infectado con un virus. El estudio de un programa tan malicioso permite eliminar su firma (huella digital). Después de ingresar la firma en la base de datos, puede verificar si el archivo está infectado con este virus simplemente comparando las firmas. La ventaja del análisis de firmas es que permite diagnosticar con precisión un ataque. Si hay un archivo con una firma coincidente, entonces podemos decir con seguridad que la computadora está afectada.
El análisis de firmas tiene una serie de ventajas:
џ Puede usarse no solo para buscar virus, sino también para filtrar el tráfico del sistema.
џ Puede "sentarse" en la puerta de enlace y monitorear la presencia de ciertas firmas no verificadas.
џ Permite realizar sistemas de diagnóstico para contrarrestar ataques con gran precisión.
Una desventaja importante del análisis de firmas es la necesidad de actualizar la base de datos de firmas. La mayoría de empresas se ven obligadas a actualizar la base de datos de firmas cada 15 minutos. Al mismo tiempo, cada media hora un nuevo virus. Luego viene un largo proceso de registro y estudio, y solo después de esto se ingresa la firma en la base de datos. Hasta este momento, la empresa ha estado indefensa ante el nuevo virus.
Otro método para estudiar malware previamente identificado es el análisis heurístico.
Función análisis heurístico es comprobar el código ejecutable para detectar la presencia de actividad sospechosa, característica de la actividad de los virus. Esta técnica es buena porque no depende de la relevancia de ninguna base de datos. Sin embargo, el análisis heurístico también tiene sus inconvenientes.
Debido al hecho de que los principales antivirus son conocidos y están disponibles para que todos los utilicen, los piratas informáticos pueden probar el software escrito y modificarlo hasta que eluda todas las herramientas de protección antivirus conocidas. Por tanto, la eficacia de los principales algoritmos heurísticos se reduce a cero.
Otro método para detectar ataques dirigidos implica el uso de los llamados firewalls de próxima generación, que, además de las capacidades tradicionales, también permiten filtrar el tráfico. La principal desventaja de los cortafuegos es la excesiva “sospecha” que generan; un gran número de falsos positivos. Además, los firewalls utilizan tecnologías que pueden ser engañadas (sandboxing, análisis heurístico y análisis de firmas).
También existe otro método de protección que se utiliza para iniciar aplicaciones. La idea es muy simple: la estación sólo puede iniciar aplicaciones individuales (esto se llama WhiteListening). La desventaja es que dicha "lista blanca" debe contener todas las aplicaciones que el usuario pueda necesitar sin excepción. En la práctica, este método es, por supuesto, bastante fiable, pero muy inconveniente, ya que ralentiza los procesos de trabajo.
Por último, existe una tecnología desarrollada recientemente para la detección dinámica de ataques, que se utiliza en el producto InfoWatch Targeted Attack Detector, afirma Andrey Arefiev. – Esta tecnología se basa en el hecho de que las acciones de los atacantes conducen inevitablemente a la modificación de los sistemas informáticos de la empresa. Por tanto, la solución InfoWatch escanea periódicamente el sistema informático de la organización, recopilando información sobre el estado de los objetos críticos. Los datos recibidos se comparan con los resultados de escaneos anteriores y luego se lleva a cabo un análisis inteligente de los cambios ocurridos para determinar la presencia de anomalías. Cuando se detecta malware desconocido, un analista de la empresa participa en el análisis de sus acciones y posibles daños a la infraestructura empresarial.
- ¿En qué etapa es posible calificar un ataque como dirigido?
- De hecho, identificar anomalías es la señal principal de que hay un problema con su sistema, es una señal indirecta de que la empresa está bajo ataque. Además, el ataque no tiene por qué implicar necesariamente un virus del nivel del Octubre Rojo. Como muestra la práctica, basta con enviar periódicamente un pequeño troyano. En principio, esto es suficiente para llevar dinero a ciberatacantes específicos.
En general, me gustaría señalar que los ataques dirigidos representan una herramienta poderosa para influir en las políticas corporativas de grandes organizaciones gubernamentales y comerciales. Por eso es necesario combatir este tipo de ciberdelitos de forma sistemática y cuidadosa.
Grinev Sergey Olegovich, para el portal "Tecnologías de seguridad" (RB)

Hace tiempo que el malware dejó de ser una herramienta para cometer pequeñas travesuras, cuyo objetivo es organizar una botnet para enviar spam o, en casos extremos, robar la contraseña de banca por Internet del usuario para realizar una operación no autorizada. Para las empresas, los virus comunes pueden considerarse “sabotaje menor” que no plantea riesgos graves. A su vez, este método de ganar dinero no es de particular interés para los delincuentes, porque Hay muchas herramientas de protección disponibles (herramientas antivirus, aplicaciones con medidas mejoradas de control de transacciones financieras, etc.) que no permiten que el delincuente se beneficie mucho del ataque.

El fin justifica los medios
Nicolás Maquiavelo

En la era de la informatización total y el progreso tecnológico, cuando miles de millones de dólares se almacenan en sistemas comercio electrónico, sería ingenuo suponer que no existen delincuentes muy competentes que no quieran robar estos fondos. Hoy en día existe una tendencia claramente definida y creciente en el uso de ataques dirigidos a la infraestructura de medianas y grandes empresas.

Ataques dirigidos (APT, amenazas persistentes avanzadas)– Son ataques (malware) dirigidos a objetos o industrias específicas. Tienen en cuenta las particularidades de la empresa a la que se aplican o el ámbito de actividad de la empresa en su conjunto.

Todos los ataques de este tipo contienen una serie de signos:

Enfoque en la industria (el virus/ataque se utiliza en una determinada industria, pero para otra será irrelevante);

Código de programa "no trivial". Como se mencionó anteriormente, especialistas altamente calificados se dedican a escribir virus personalizados. Al escribir, tienen en cuenta la mayoría de los matices que pueden abordar las medidas de seguridad estándar. Por este motivo, lo más probable es que las herramientas antivirus basadas en firmas no puedan detectar dicho código de programa como malicioso. Por esta razón, un atacante puede permanecer sin ser detectado en los sistemas durante mucho tiempo y recopilar las estadísticas necesarias para completar con éxito un ataque.

Normalmente, los atacantes utilizan exploits de día cero para implementar amenazas específicas.

0day (ing. día cero)- término que denota vulnerabilidades no solucionadas, así como malware contra el cual aún no se han desarrollado mecanismos de protección.

La tarea más importante del exploit es entrar desapercibido dentro del perímetro corporativo, afianzarse, si es posible, eliminando la herramienta antivirus y reforzar todo el equipo del atacante para un trabajo cómodo y "productivo".

Como muestran las estadísticas de 2013-2014, los atacantes lograron grandes victorias en este ámbito. Primero Zeus, y luego Carberp, tanto en Rusia como en todo el mundo, se convirtieron en un verdadero flagelo. Sólo durante el año el volumen de robos cometidos con estas dos familias de virus ascendió a varios miles de millones de dólares. El promedio de ataques ejecutados con éxito contra una empresa del sector crediticio y financiero en Rusia fue 30 millones de rublos.

Esta actividad sospechosa de los últimos años está relacionada con la historia de la filtración en la red del código fuente de software malicioso de muy “alta calidad”.

“El código fuente del famoso troyano bancario Carberp se ha filtrado a acceso abierto. Códigos fuente Google ahora encuentra fácilmente Carberp en un archivo RAR de 1,88 GB. Cuando se descomprime, el proyecto contiene aproximadamente 5 GB de archivos con una lista detallada. Obviamente, ahora podemos esperar una nueva ola de creatividad tanto de los creadores de virus principiantes como de los actuales. Alguien incluso bromeó: “La filtración de Zeus fue como maquina tragamonedas gratis. La fuga de Carberp ya es un lanzacohetes gratuito…”, experto en seguridad de la información, autor de la revista Hacker, Denis Mirkov

"¡¿Entonces que debemos hacer ahora?!" - Una pregunta que involuntariamente le viene a la garganta a cualquier guardia de seguridad. Esto me recuerda una cita de Emanuel Lasker en 1899: "La única forma de volverse más inteligente es jugar con un oponente más fuerte". Las tecnologías y los desarrolladores no se quedan quietos; si hay demanda, habrá una oferta decente. El principal problema a la hora de detectar amenazas de día cero es la imposibilidad de encontrar firmas familiares al analizar el código. ¡Pero esto no significa que no se pueda monitorear el comportamiento de cualquier archivo, probarlo usando el método de la “caja negra” y sacar las conclusiones apropiadas!

El análisis de comportamiento en el sandbox es, con diferencia, el más manera efectiva análisis y detección de amenazas de día cero y ataques dirigidos. Varios fabricantes ofrecen sus soluciones, afirmando que su producto es el más productivo y preciso. Sin embargo, esto no es así; el principal problema de este tipo de soluciones son los falsos positivos (falsos positivos), que pueden anular todo el trabajo del servicio de seguridad. La solución elegida debería ser sensible sólo a amenazas graves. Implementar un concepto así ya requiere profesionalismo y experiencia, que tuvieron que traducirse en algoritmos complejos e implementarse en el producto final.

¿Cómo afrontar los ataques dirigidos? Evidentemente, se necesita algún tipo de solución tecnológica que combine las mejores ideas para detectar amenazas desconocidas. Pero antes de hablar de ello, vale la pena decidir qué se considera un ataque dirigido y comprender cómo funcionan.

Las noticias no paran de aparecer: “Como resultado de un ataque dirigido, los delincuentes lograron robar dos mil millones de dólares de 40 bancos e instituciones financieras de todo el mundo...”, “...Más de 500 empresas energéticas, metalúrgicas y de construcción fueron víctimas de un ataque dirigido a empresas industriales que en 50 países...", "...Un malware eficaz y bien ubicado diseñado para llevar a cabo ataques al sistema SWIFT permitió a los ciberdelincuentes robar millones..." y así sucesivamente. en.

Los ataques dirigidos (también conocidos como APT) son un verdadero flagelo de nuestro tiempo y ya se ha construido más de un negocio multimillonario para protegerse contra ellos. Si miras cualquier exposición dedicada a la seguridad de la información, verás: para los vendedores, APT es ahora una parte importante de la oferta, y para los compradores, es uno de los problemas acuciantes. Además, ya no es relevante sólo para grandes negocios, enseñado por la amarga experiencia, pero también para el medio e incluso para los pequeños. Si un atacante quiere llegar a una corporación, entonces un pequeño contratista bien podría ser un objetivo intermedio.

No solo palabras

Lamentablemente, los términos “ataque dirigido” y “ataque dirigido” son incorrectos. ¿Por qué? Recordemos la definición clásica de ataque informático: “Un ataque informático es un impacto dirigido y no autorizado a…”. ¡Para, para, ya es suficiente! Resulta que cualquier ataque tiene un objetivo, y no sólo "dirigido".

Una característica distintiva de los ataques dirigidos es que el atacante aborda activa e inteligentemente elegir un punto de entrada a una infraestructura específica, analiza la información que circula en sus componentes durante bastante tiempo y utiliza los datos recopilados para acceder a información valiosa.

Escucho gritos indignados del público: "¡La gente está perdiendo dinero, pero él se aferra a los términos!". Sin embargo, la precisión académica de la descripción del problema es extremadamente importante para crear esa "bala de plata", la solución universal sobre la que escribió Ivan Novikov.

Los investigadores suelen observar aspectos aislados de los ataques y no realizan un análisis exhaustivo del problema. Por lo tanto, los métodos para identificar y combatir ataques en un entorno ya comprometido también son imperfectos.

Por ejemplo, muchos métodos y sistemas de seguridad se basan en listas estáticas de patrones, es decir, bases de análisis heurístico, listas blancas, bases de firmas, etc. Sin embargo, dichas listas son ineficaces para identificar amenazas "no convencionales", en las que los atacantes intentan ocultar su presencia en una infraestructura comprometida.

Un método que, de acuerdo con los requisitos de diversos estándares de seguridad de la información, garantiza la ausencia de un intruso en el sistema es Crear y mantener entornos cerrados de software y hardware confiables.. Así es como la “seguridad del papel” elimina el compromiso en cualquier etapa.

Desafortunadamente, desde un punto de vista práctico, este método es ineficaz. Los entornos de software y hardware modernos suelen construirse sobre la base de equipos y software de diferentes fabricantes, que utilizan diferentes enfoques de desarrollo. diferentes metodos actualizaciones y soporte. No es realista examinar todos los productos para ver si contienen marcadores y, sin ellos, ningún entorno confiable funcionará.

Otro método para proteger recursos valiosos del acceso no autorizado dirigido se basa en aislamiento físico de objetos protegidos. Y también es ineficaz en condiciones reales. Incluso si fuera posible cerrar todos los canales de comunicación secundarios que podrían utilizar los atacantes para extraer datos, el factor humano permanece. A menudo, los canales de comunicación secundarios son creados por personas que interactúan con los sistemas, ya sea de forma no intencionada o intencionada.

Solución del problema

Resulta que es prácticamente imposible evitar el riesgo de compromiso. En consecuencia, se necesitan sistemas para detectar ataques desconocidos en un entorno ya comprometido. Esta clase de soluciones se llama con orgullo post-infracción (“después de un hackeo”) y la mayoría de las veces resuelve el problema de respuesta/mitigación, es decir, respuesta y mitigación.

Pero, en realidad, no existen tantos métodos y soluciones creados sobre esta base para la detección oportuna de amenazas (detección posterior a una infracción). Por ejemplo, una de ellas son las redes trampa, que comúnmente se conocen como "honeypots".

Una trampa bien hecha puede ayudar a detectar un ataque dirigido en un momento determinado. Pero al mismo tiempo, es poco probable que el clásico honeypot ayude a identificar otros puntos de presencia del atacante.

Métodos conocidos Despliegue adaptativo de sistemas de trampa., así como la búsqueda de anomalías en el funcionamiento de los componentes del sistema. Es mucho más difícil encontrar recomendaciones sobre cómo elegir las opciones de implementación del honeypot. ¿Cuántas estaciones de trabajo falsas necesitas en la red? ¿Qué cuentas falsas debo crear y en qué máquinas? Es aún más difícil analizar los datos obtenidos de esta forma. “Está bien, Google, alguien usó una cuenta falsa en la computadora de nuestro contable. Entonces, ¿qué pasa ahora?".

No identificado ≠ sobrenatural

Para evitar confusiones terminológicas, utilizaremos el término "ataque informático desconocido". Esto puede incluir, entre otras, características de ataques dirigidos. Un ataque informático desconocido es un impacto continuo, dirigido y no autorizado, utilizando software o hardware con parámetros operativos tales que no permiten que las soluciones de seguridad lo detecten en tiempo real.

¿Suena complicado? Realmente se reduce a tres características clave: continuidad, determinación y no trivialidad.

Continuidad- una característica que define el intervalo de tiempo durante el cual un atacante mantiene acceso no autorizado a un recurso o influye en él. En particular, los ataques dirigidos se caracterizan por un control a largo plazo de los puntos de presencia en el sistema de información objetivo.

Enfocar- una característica que determina el grado salir adelante por sí mismo por parte del atacante implementar acceso o influencia no autorizados y tiene en cuenta las características individuales de la infraestructura objetivo.

No trivialidad para los sistemas de detección de ataques, esta es una característica que determina la dificultad de detectar esta clase de ataques por parte de los sistemas de defensa del objeto atacado. Asociado con la determinación. Esta es una característica clave para evaluar la eficacia de los métodos y sistemas de protección.

Ciclo de vida del ataque

Cualquier ciberataque se puede dividir en etapas, cuyos nombres nos llegaron de la ciencia militar. Cada etapa implica un conjunto de estrategias y métodos para su implementación. Y para cada etapa existen medidas preventivas y estrategias de respuesta.

Veamos cada etapa con ejemplos. ciclo vital ataques e ilustrar estrategias para implementar las etapas. Llamemos al atacante Vasily.

Tenga en cuenta que estos escenarios son sólo un ejemplo especial de la variedad de tácticas y herramientas que puede utilizar un atacante.

Inteligencia, preparación.

Durante el reconocimiento, Vasily intenta descubrir puntos de entrada a la infraestructura objetivo. Para ello, estudia detenidamente el informe de su escáner de vulnerabilidades web, que analizó una aplicación web pública propiedad de la víctima.

Además, Vasya, analizando la salida. los motores de búsqueda, busca recursos explotables cuyas IP estén dentro del rango de direcciones de la organización objetivo.

Vasily encontró los perfiles de varios empleados de la organización en las redes sociales y sus direcciones de correo electrónico corporativas. Basándose en los datos recibidos, Vasily preparó el siguiente plan de acción.

1. Intentar comprometer las estaciones de trabajo de los empleados detectados.
2. Si esto falla, Vasily intentará utilizar exploits públicos para atacar los servidores de la organización accesibles desde Internet, así como los enrutadores Wi-Fi en las oficinas de la empresa.
3. Paralelamente a los dos primeros pasos, Vasily buscará vulnerabilidades en una aplicación web pública con la esperanza de que una aplicación comprometida le dé acceso a la infraestructura interna.

Para implementar todo esto, Vasily prepara el texto de una carta con un archivo adjunto malicioso para los empleados, personaliza los exploits encontrados y también inicia una búsqueda de contraseña para el panel de administración del recurso web descubierto.

Entrega, operación, seguridad.

¿Qué punto crees que tiene mayores posibilidades de éxito? Quizás hayas visto informes de empresas consultoras y digan que se trata de una aplicación web. O recordará el factor humano y la incompetencia del personal en materia de seguridad de la información y asumirá que un correo electrónico de phishing con un archivo adjunto ganará. Pero a Vasya no le importa lo que pienses, porque ya está sentado con un ordenador portátil en la oficina de la empresa esperando a que se conecten los dispositivos móviles de sus empleados.

De una forma u otra, el resultado de esta etapa: el código malicioso descargado se envía al servidor de control de Vasily.

Acción

Aquí es donde comienza la diversión. En la práctica, a menudo sucede que un atacante se ve obligado a realizar toda una operación especial y crear nuevos puntos de presencia para garantizar un control constante (persistente). Tendrá que realizar reconocimientos dentro de la infraestructura comprometida y avanzar hacia recursos valiosos. A esto se le llama movimiento lateral: es poco probable que el acceso a la computadora del contable satisfaga a los clientes de Vasily; están más bien interesados ​​en la propiedad intelectual de la empresa. Bueno, en última instancia, Vasya deberá realizar una extracción de datos discreta (exfiltración).

Oposición

Por supuesto, la etapa de contraataque debería comenzar antes y no después de todas las etapas descritas. Pero a veces sucede que empiezan a buscar a Vasily después de que ha desaparecido con datos valiosos. Y a menudo esto sucede no sólo por la incompetencia del defensor. Vasily simplemente tuvo tiempo suficiente para estudiar a la víctima antes de comenzar cualquier acción activa y conocía bien todos los sistemas de defensa. Y a menudo hay muchos Vasily y algunos de ellos están ocultos entre los empleados internos.

Es por las razones descritas anteriormente que intentaremos conocer a Vasya y sus intenciones incluso antes de que implemente todas las etapas de su ataque. Para ello, debemos aprender a detectar a tiempo su aparición en nuestra infraestructura. Dedicaré los próximos números de mi columna a cómo hacer esto.

La peculiaridad de los ataques dirigidos (APT) es que los atacantes están interesados ​​en una empresa u organización gubernamental específica. Esto distingue esta amenaza de la masa. ataques de piratas informáticos– cuando es atacado simultáneamente Número grande objetivos y los usuarios menos protegidos se convierten en víctimas. Los ataques dirigidos suelen estar bien planificados e implican varias etapas, desde el reconocimiento y la infiltración hasta la destrucción de los rastros de presencia. Normalmente, como resultado de un ataque dirigido, los atacantes se afianzan en la infraestructura de la víctima y pasan desapercibidos durante meses o incluso años, tiempo durante el cual tienen acceso a toda la información corporativa.

Dificultades de clasificación.

Los ataques dirigidos o dirigidos son ataques dirigidos a organizaciones comerciales o departamentos gubernamentales específicos. Como regla general, estos ataques no son generalizados y se preparan durante un período bastante largo. Los atacantes estudian los sistemas de información del objeto objetivo y descubren qué software se utiliza para determinados fines. Los objetivos del ataque son sistemas de información específicos y/o personas, muy limitados a cualquier alcance o propósito. El malware está especialmente desarrollado para atacar, de modo que los antivirus y las herramientas de seguridad estándar utilizados por el objetivo y bien estudiados por los atacantes no podrán detectar la amenaza. En la mayoría de los casos, se trata de vulnerabilidades de día cero y algoritmos especiales para comunicarse con los ejecutores/clientes de ataques.

Yuri Cherkas, jefe de soluciones de seguridad de la información de infraestructura en el Centro de Seguridad de la Información de Jet Infosystems, cree que la controversia casi constante en torno a la definición del término "ataque dirigido" dificulta la clasificación de este término. Señala que un ataque dirigido utiliza los mismos mecanismos de piratería que cualquier otro (spam, phishing, infección de sitios visitados con frecuencia, etc.). “En mi opinión, uno de los principales signos de un ataque dirigido es su claro enfoque en una organización específica. Por ejemplo, un virus escrito para un software específico desarrollado internamente por una organización específica. Pero este no es siempre el caso. Un pirata informático puede utilizar sus kits de explotación existentes y otras herramientas para atacar a la empresa víctima. En este caso, es bastante difícil determinar si el ataque está dirigido a un objetivo, ya que para llevar a cabo el ataque se utilizaron las vulnerabilidades de sistemas operativos y software de aplicación comunes”, afirma Yuri Cherkas.

Las dificultades para calificar los ataques dirigidos son uno de los factores que hace imposible calcular incluso su número aproximado.

CDU (amenazas complejas a largo plazo)

La mayoría de los expertos coinciden en las siguientes características del objetivo:

• Se trata de ataques dirigidos a organizaciones comerciales, industrias o departamentos gubernamentales específicos.
• Los objetivos del ataque son sistemas de información específicos que tienen un alcance u objetivos muy limitados.
• Estos ataques no son generalizados y han sido preparados durante un período bastante largo.
• El malware, si se utiliza para implementar un ataque, está desarrollado especialmente para un ataque específico, de modo que las medidas de seguridad estándar, bien estudiadas por los atacantes, no pueden detectar su implementación.
• Se pueden utilizar vulnerabilidades de día cero para llevar a cabo un ataque.
• Normalmente, los ataques dirigidos se utilizan para robar información que puede monetizarse fácilmente o para interrumpir el acceso a sitios críticos. información importante.
• En un ataque dirigido se utilizan los mismos mecanismos de piratería que en los ataques masivos, en particular el phishing. La diferencia es la preparación de un ataque para evitar la posibilidad de que sea detectado por medios de seguridad. Es en relación con los ataques dirigidos que el phishing se vuelve muy amenaza actual, ya que el ataque en este caso no se lleva a cabo contra individuos abstractos, sino específicos, que pueden tenerse en cuenta mediante métodos de ingeniería social.
• Después de detectar e identificar un ataque dirigido, según los resultados de su implementación, se conoce la amenaza de este ataque, entra en la categoría de "masivo": los atacantes pueden utilizarlo en masa. Al mismo tiempo, una vez identificada, la amenaza de este ataque ya puede ser detectada por herramientas de seguridad, una de cuyas tareas es garantizar la duración mínima de la transición de la amenaza de un ataque de la categoría de objetivo a masivo.

Fases de ataque al objetivo

Objetivos de ataques

Según A. T. Kearney:

• Oficina de la junta directiva de la empresa. A menudo, el equipo no está adecuadamente protegido contra daños físicos (por ejemplo, por personal de limpieza o mantenimiento instalaciones).
• I+D. Este suele ser el departamento que requiere el mayor nivel de protección, pero a menudo no está mejor protegido que otros departamentos.
• Centros de datos Proporcionar un entorno seguro para alojar una nube privada. El problema es garantizar el funcionamiento seguro de numerosos servidores, así como de las aplicaciones que se ejecutan en estos servidores.
• Red de proveedores. Debido al uso cada vez mayor de soluciones de red cuando se trabaja con proveedores, existen riesgos asociados con el hecho de que las empresas proveedoras relativamente pequeñas tienden a estar menos protegidas.
• Computación en la nube.El uso de una nube externa es fundamentalmente seguro. Los problemas surgen del hecho de que el nivel de protección de datos depende de la legislación y de que es posible el acceso de los servicios de inteligencia.
• Producción. Muchos sistemas heredados y especializados se conectan cada vez más en red y son difíciles de monitorear y controlar. En este caso, los ataques de los ciberdelincuentes pueden provocar pérdidas de producción o incluso el colapso de la empresa.
• Base de datos proporcionar almacenamiento seguro información importante. La principal debilidad es que los piratas informáticos pueden utilizar a los administradores como “herramientas” para penetrar las bases de datos.
• Productos finales, activado con tecnologías de la información. El uso cada vez mayor de soluciones de red para garantizar el funcionamiento de los productos finales facilita la realización de ciberataques. Al monitorear de forma remota los dispositivos de los usuarios para provocar averías, los piratas informáticos pueden obtener ilegalmente información confidencial a través de estos dispositivos. En este sentido, la empresa puede correr el riesgo de perder su reputación y recibir demandas de usuarios que hayan sido víctimas de fraude.
• Redes de oficinas. El creciente nivel de networking, que implica la conexión de casi todos los sistemas, ofrece una gran cantidad de oportunidades para un hacker si logra penetrar la red.
• Ventas. La filtración de planes de marketing, precios e información sobre los clientes socava la reputación de una empresa y la priva de una ventaja competitiva.
• Dispositivos móviles. Al comprar teléfonos inteligentes disponibles en el mercado comercial, los usuarios suelen introducir en su memoria datos confidenciales que, por regla general, pueden ser robados fácilmente por los piratas informáticos. Los conceptos de seguridad más probados y verdaderos pueden resultar inútiles si los empleados de la empresa utilizan sus propios dispositivos móviles para resolver problemas laborales.
• Tiendas en línea. Para obtener acceso ilegal disfrazado de clientes reales y cometer acciones fraudulentas, los piratas informáticos utilizan los datos de las tarjetas de crédito y los datos personales de los clientes.
• Llamadas telefónicas. Al explotar la voluntad de las personas de ayudarse entre sí, los atacantes pueden explotar llamadas telefónicas como una forma de obtener fácilmente la información necesaria.

Ataques dirigidos al sector financiero

En un análisis de las transferencias de dinero no autorizadas en 2014, publicado el día anterior por el Banco Central de la Federación de Rusia, se observa que 23 entidades de crédito informaron de incidentes que mostraban signos de ataques dirigidos. Los expertos estiman que los incidentes tenían como objetivo cancelar fondos por valor de 213,4 millones de rublos.

Todos los incidentes están relacionados con influencias externas en la infraestructura de TI, incluida la introducción de códigos maliciosos, gracias a los cuales los delincuentes de alta tecnología intentaron retirar fondos.

Los intentos de piratería tienen características típicas: el ataque fue dirigido y tuvo en cuenta las peculiaridades de los procesos de envío y procesamiento de mensajes en un determinado sistema de pago; en algunos casos, las herramientas de protección antivirus estándar no detectaban códigos maliciosos, a pesar de las últimas bases de datos antivirus; También ha habido casos de piratas informáticos que penetraron en las redes locales de los bancos, incluso mediante intentos de introducir códigos maliciosos a través de mensajes electrónicos.

Los representantes de los bancos afirman: si antes los defraudadores preferían robar a los clientes, ahora han optado por presas más grandes, es decir, las propias instituciones financieras.

“Este es un procedimiento más complicado, pero desde el punto de vista de las ganancias, es más conveniente para los piratas informáticos piratear bancos donde el dinero está en un solo lugar. La principal tendencia son los llamados ataques dirigidos. Se preparan durante meses y en relación con bancos y organizaciones financieras específicos. Se trata de una amenaza real, de la que resulta muy difícil protegerse incluso para los bancos más avanzados en materia de seguridad de la información. Los atacantes han estudiado bastante bien el software bancario, los sistemas bancarios centrales, las medidas de seguridad, etc.”, señala Yuri Lysenko, jefe del departamento de seguridad de la información del Home Credit Bank.

Stanislav Pavlunin, vicepresidente de seguridad de Tinkoff Bank, está de acuerdo con él: “Los ataques dirigidos van de la mano de la ingeniería social. Los ataques DDoS no han desaparecido, pero es mucho más fácil trabajar con ellos que con los virus que los atacantes escriben para acciones específicas. Los antivirus estándar no detectan objetos maliciosos escritos para el objetivo del ataque. Los sistemas que permiten registrar ataques dirigidos a una organización financiera específica e identificar los riesgos sobre la marcha son una clase diferente de seguridad”, afirma Stanislav Pavlunin.

Al mismo tiempo, Yuriy Lysenko predice un aumento en el número de ataques dirigidos a bancos y organizaciones financieras específicos, sistemas bancarios remotos, etc.

Técnicas de ataque dirigido

La información disponible públicamente sobre los medios para llevar a cabo ataques dirigidos y la investigación de incidentes (que tienen signos de ataques dirigidos) sugiere una variedad de métodos. Por ejemplo, se pueden utilizar métodos totalmente automatizados y llamadas telefónicas.

Durante un ataque, los atacantes exploran varias posibilidades para obtener acceso a la información necesaria. Los empleados de la empresa, sus dispositivos y Cuentas en servicios de Internet.

“La seguridad de los sistemas de información relacionados (empresas proveedoras (especialmente desarrolladores de software que brindan soporte para sus productos) y clientes) se está convirtiendo en un problema importante. Se pueden utilizar relaciones de confianza con ellos para eludir las protecciones fronterizas. Esto amplía significativamente el ya complejo perímetro de protección”, afirma Alexey Kachalin, director general adjunto de la empresa Perspective Monitoring.

Es poco probable que la víctima pueda escapar de los ataques dirigidos. Por ejemplo, un atacante quiere obtener acceso a los recursos internos de una empresa que le interesa. Para ello, un atacante puede iniciar muchos ataques dirigidos durante varios meses o años. Todos los elementos de un ataque (ataques de red, malware) se pueden probar previamente para determinar su visibilidad ante los métodos de detección comunes. Si son ineficaces, dichos elementos se modifican. De manera similar a la actualización de las bases de datos antivirus, también se pueden actualizar las herramientas de intrusión, incluidas aquellas que ya están funcionando en el sistema capturado.

Una complicación adicional es la duración y la intensidad del ataque dirigido. La preparación puede llevar meses y la fase activa puede llevar minutos. “Existe la posibilidad de que tarde o temprano el ataque tenga éxito. Después de todo, el problema de las vulnerabilidades de día 0 siempre es relevante. Si tiene información que vale 100 millones, prepárese para el hecho de que habrá alguien dispuesto a gastar 50 millones para robarla. Por lo tanto, lo único que puede hacer es estar preparado para llegar a un compromiso y tener las herramientas para hacerlo. detección rápida ataque, su supresión y minimización del daño”, dice Alexander Gostev, experto jefe en antivirus de Kaspersky Lab.

Establecimiento de organizadores.

La mayoría de los ataques dirigidos se descubren después del hecho. El mayor problema sigue siendo la atribución: identificar a los organizadores y perpetradores de dichos ataques.

Identificar al culpable es una tarea extremadamente difícil, dicen los expertos. En este proceso es necesario recoger el máximo número de factores que indicarían la implicación de un grupo de hackers de una determinada nacionalidad u organización en la comisión de un delito. Esto requiere la interacción entre empresas que trabajan en el campo de la seguridad de la información, víctimas, organismos encargados de hacer cumplir la ley de diferentes países, etc. Pero incluso en este caso, sólo se identifican unos pocos culpables, la mayoría de las veces debido a errores graves atacantes.

“Se deben tener en cuenta muchos factores para determinar el origen de un ataque. En primer lugar, se trata de un análisis del código: puede contener palabras que indiquen indirectamente la afiliación lingüística o nacional de los autores. Por ejemplo, palabras rusas escritas en latín, o errores que suelen ser característicos de los autores rusos, etc. Sin embargo, los ciberdelincuentes pueden dejar intencionadamente esas huellas falsas, confundiendo así la investigación”, afirmó Alexander Gostev.

Más de 100 grupos atacan deliberadamente a organizaciones comerciales y gubernamentales

Los expertos del centro global de investigación y análisis de amenazas “Kaspersky Lab” informaron en el verano de 2016 que hay más de 100 grupos activos en el mundo que organizan campañas de ciberespionaje y ataques de clase ART, y que apuntan a organizaciones comerciales y gubernamentales en 85 países.

Según los representantes de la empresa, un desarrollo tan dinámico de esta amenaza sugiere que los ataques dirigidos ya no son dominio exclusivo de unos pocos elegidos: los atacantes están optimizando sus técnicas y herramientas, lo que hace que sea más barato y más fácil organizar una campaña maliciosa que, en a su vez, contribuye a la aparición de nuevos actores.

El objetivo principal de un ataque de clase ART es robar información confidencial, que posteriormente puede utilizarse para obtener ventajas geopolíticas o venderse a partes interesadas. Según las observaciones de Kaspersky Lab, los que corren mayor riesgo de ser víctimas de un ataque dirigido son las organizaciones gubernamentales y diplomáticas, las empresas financieras, las empresas que operan en las industrias energética y espacial, las instituciones educativas y de salud, las empresas de telecomunicaciones y TI, los proveedores del ejército, y también activistas sociales y políticos.

“Llevamos más de seis años estudiando ataques dirigidos complejos y podemos decir con confianza que últimamente se utilizan cada vez más no sólo para espionaje, sino también para robar dinero. Los ataques dirigidos afectan a una amplia variedad de organizaciones y no sólo las agencias gubernamentales pueden convertirse en víctimas. No menos interesante para los atacantes son las grandes empresas que tienen propiedad intelectual valiosa o tienen acceso a grandes activos financieros, dijo Yuri Namestnikov, jefe del centro de investigación ruso de Kaspersky Lab. “En tal situación, la detección temprana de un ataque dirigido es fundamental para cualquier organización que desee preservar sus datos confidenciales. Sin embargo, esto es muy difícil de hacer con las soluciones de seguridad tradicionales, ya que los atacantes suelen utilizar métodos no triviales y ocultan cuidadosamente su actividad. Por lo tanto, las empresas pueden beneficiarse de servicios analíticos o de soluciones especiales para identificar ataques dirigidos”.

Métodos para proteger y prevenir ataques.

Los principales medios de protección contra ataques dirigidos hoy en día son los medios para detectar todo tipo de anomalías (código, comandos, comportamiento, etc.). Donde:

• La detección de anomalías dentro de una sola computadora, o del SI corporativo en su conjunto, se lleva a cabo con el objetivo de detectar ataques implementados, así como parcial o totalmente.
• Se proporciona la capacidad de neutralizar ataques conocidos en las primeras etapas de su implementación: el problema de la protección de la información se resuelve, lo que está garantizado por la posibilidad de identificar inequívocamente una anomalía identificada como un evento de implementación de ataque y, como consecuencia, implementar un respuesta automática a un evento anómalo registrado.
• Con respecto a las amenazas de ataques desconocidos, que incluyen amenazas de ataques dirigidos, la detección de anomalías se asocia inevitablemente con errores del primero (en un análisis superficial de los eventos) y del tipo 2 (en un análisis profundo). En este caso, especialmente con un análisis en profundidad, de lo contrario la detección de anomalías no tiene ningún sentido, es tecnológicamente imposible identificar inequívocamente una anomalía detectada como un evento de ataque, como resultado de lo cual se genera una respuesta automática a un evento registrado, que solo Con cierta probabilidad puede ser un ataque, también es imposible. La tarea de detectar anomalías en este caso no se reduce a proteger la información, sino a realizar una investigación adicional adecuada sobre el hecho registrado del ataque, con el fin de identificarlo de forma inequívoca y lo más rápido posible.
• Después de que una anomalía se identifica inequívocamente como un ataque (el ataque se vuelve conocido y su amenaza ya no es una amenaza objetivo, sino una amenaza de un ataque masivo), el detector de anomalías ya implementa la protección de la información en relación con este ataque.

Casi todos los proveedores tienen en su línea un producto que se posiciona como un medio de protección contra ataques dirigidos. Estos incluyen FireEye, CheckPoint, McAfee, etc. La eficacia de la protección contra ataques dirigidos no puede determinarse únicamente por los medios técnicos utilizados.

“Si hablamos de medios técnicos, su eficacia se verá a través del prisma de las metas y objetivos marcados por la empresa, que se evalúan mejor en el marco de proyectos piloto en un entorno específico. Como cualquier solución, los productos de protección contra ataques dirigidos tienen puntos fuertes y débiles”, afirma Alina Sagidullina, consultora de seguridad de la información de LANIT-Integration.

Los centros de monitoreo de seguridad de la información tienen la capacidad de responder rápidamente a ataques dirigidos. Dichos centros pueden analizar de manera integral el estado del sistema atacado a través de sistemas de seguridad de la información; con la ayuda de expertos enfocados en analizar la seguridad de la información en el sistema monitoreado; al monitorear hechos de compromiso y fuga de información; Análisis acumulativo de grandes sistemas de información. “Esto nos permite ver signos similares de anomalías en diferentes segmentos. sistema de informacion“dice Alexey Kachalin.

Las tecnologías de protección contra ataques dirigidos ya existían antes, pero ahora están llegando nuevo nivel. En primer lugar, estamos hablando de varias herramientas para identificar anomalías, tanto computadoras locales y al nivel de actividad de la red. La tarea de estos sistemas es buscar cualquier cosa inusual que suceda y no buscar un año malicioso. Esto se debe a que, en muchos casos, es posible que los atacantes no utilicen ningún malware.

“A estos sistemas se suma la clase SIEM en desarrollo activo: “Gestión de eventos e información de seguridad”, que le permite agregar eventos entrantes del sistema de diferentes sistemas de protección (antivirus, firewalls, emuladores, enrutadores, etc.) y ver en tiempo real todos los cambios que se producen”, afirma Alexander Gostev.

Por qué los sistemas de seguridad tradicionales no son suficientes

Debido a la naturaleza específica de los ataques dirigidos y a la preparación para ellos, tales como:

• estudio detallado de las medidas de seguridad utilizadas para sortearlas;
• escribir software único y arreglarlo en la infraestructura de destino;
• el uso de objetos confiables pero comprometidos en ataques que no crean un trasfondo negativo;
• aplicación de un enfoque multivectorial a la penetración;
• secreto, etcétera.

Debido a las limitaciones tecnológicas inherentes a las soluciones de seguridad tradicionales:

• la detección está dirigida únicamente a amenazas comunes (simples), vulnerabilidades y métodos ya conocidos;
• no existe una comparación y correlación integrada de detectores en una sola cadena de eventos;
• No existen tecnologías para identificar desviaciones en las actividades normales y analizar el funcionamiento del software legítimo.

Se necesita un enfoque integrado

Trampas de engaño

Han aparecido y siguen apareciendo nuevas herramientas. Sin embargo, su eficacia depende directamente de la calidad de su entorno. Según Yuri Cherkas, las principales áreas tecnológicas de los equipos de protección son:

• Sandboxes que simulan las estaciones de trabajo de una organización. En los entornos sandbox, los archivos recibidos de Internet se inician y analizan. Si el archivo iniciado tiene un efecto destructivo, dicho archivo se define como infectado;
• análisis de la actividad anómala de la red (por ejemplo, basado en NetFlow), que se lleva a cabo comparando la actividad actual de la red con el modelo de referencia construido del comportamiento de la red. Por ejemplo, una computadora o servidor que siempre se comunica con un determinado conjunto de recursos de red específicos utilizando ciertos protocolos de repente comienza a intentar acceder a bases de datos directamente;
• Análisis del comportamiento de los puestos de trabajo, basado también en la comparación de la actividad de los puestos de trabajo con un modelo de referencia. La diferencia es que este análisis no se realiza a nivel de red, sino a nivel de la propia estación de trabajo mediante agentes. No hace mucho apareció una tecnología interesante que monitorea los procesos de Windows. En caso de desviación del modelo de referencia, el proceso de Windows se bloquea, evitando así que el exploit produzca efectos destructivos.

“El matiz es que todas estas tecnologías implican análisis de comportamiento. En este caso, los errores del primer tipo (falsos positivos) y del tipo 2 (falsos negativos) son inevitables, por lo que la eficacia depende en gran medida de las calificaciones de los empleados que crean y utilizan estas soluciones”, señala Yuri Cherkas.

Engaño- una red de trampas y cebos disfrazados que se encuentran dispersos por toda la infraestructura de TI

Lo que el engaño proporcionará

• Detección en tiempo real de ataques dirigidos y de día cero
• Proteger los activos de TI reales cambiando la actividad de los atacantes a "trampas"
• Proteger datos valiosos del ransomware
• Colección de análisis forenses sobre las acciones de los atacantes.
• Sin falsos positivos
• No utiliza agentes y no afecta la experiencia de los usuarios y los servicios de TI.

resultados

• Perfil del atacante
• Métodos y herramientas detallados utilizados durante un ataque.
• Análisis en profundidad (qué objetivos persiguen los piratas informáticos, qué información buscan)
• Historia y cronología del hacking.
• Orígenes de los atacantes según sus direcciones IP y datos DNS

Los daños causados ​​por los ataques son un gran misterio incluso para las víctimas

Es imposible calcular el daño real de los ataques dirigidos: según ESET, el 66% de los incidentes de seguridad pasan desapercibidos durante muchos meses. Precisamente para esto está diseñado el malware complejo para ataques dirigidos: el robo de datos se produce de forma inadvertida, en segundo plano.

Una gran cantidad de ataques pasan desapercibidos. Cuando se detectan, muchas empresas intentan ocultar el hecho del incidente y no hacerlo público. Kaspersky Lab cree que cada semana se conoce al menos un ataque dirigido de alto perfil en todo el mundo. En realidad, pueden ocurrir más de cien ataques de este tipo por semana.

Los expertos de Positive Technologies registraron una disminución en la proporción de ataques que utilizan mineros de criptomonedas: hasta un 3% en el caso de organizaciones y hasta un 2% en campañas dirigidas a individuos. Este hecho puede deberse a la transición gradual de los atacantes al malware que es capaz de realizar varias funciones a la vez. Por ejemplo, el troyano Clipsa puede “minar” criptomonedas en secreto, robar contraseñas, reemplazar direcciones de billeteras criptográficas y también lanzar ataques de fuerza bruta contra sitios basados ​​en WordPress.

“Los métodos de ingeniería social siguen siendo populares: en el tercer trimestre, la proporción de ataques a personas jurídicas que los utilizan casi se duplicó: hasta el 69% (desde el 37% en el trimestre anterior). En el 81% de los casos, la infección de la infraestructura de la empresa con malware comienza con un correo electrónico de phishing”. anotado Yana Avezova, analista de Positive Technologies

La proporción de infecciones de malware está aumentando. Tres cuartas partes de los ataques a personas jurídicas y el 62% de los ataques a personas físicas estuvieron acompañados de infecciones de diversos tipos de malware. Si bien la infección de la infraestructura de una empresa suele comenzar con un correo electrónico de phishing, los individuos se convierten con mayor frecuencia en víctimas como resultado de visitar recursos web comprometidos (en el 35% de los ataques contra individuos).

Los expertos de Positive Technologies también descubrieron que a finales del verano, después de varios meses de calma, una de las botnets más grandes del mundo, llamada Emotet, reanudó su actividad. Los operadores de botnet operan bajo un esquema de malware como servicio (MaaS) y brindan a los ciberdelincuentes acceso a computadoras infectadas con Emotet para infectarlos con otro malware, como Trickbot o Ryuk.

Según los investigadores, la información sobre la mayoría de los ciberataques a organizaciones no se hace pública debido a riesgos para la reputación.

Tecnologías positivas: análisis de las características de los ataques APT en la industria y el sector de los combustibles y la energía

Tecnologías Positivas: Técnicas APT utilizadas en ataques a instituciones financieras

En los tres primeros tareas prioritarias Ha habido cambios dramáticos para los administradores de TI en comparación con el año anterior. El 41% de los encuestados mencionó la protección de datos contra ataques dirigidos como una máxima prioridad. Hace un año, este punto no estaba en la lista de prioridades de los responsables de TI. En primer lugar, los representantes de las medianas empresas (43%) y las grandes empresas (38%) mencionaron como prioridad la protección contra ataques dirigidos. Las pequeñas empresas están menos interesadas en la cuestión de los ataques dirigidos (32%).