Современные информационные технологии/ 2. Вычислительная техника и программирова­ние

 

к.п.н., ст.преподаватель Иванова И.В.

Костанайский государственный университет им. А.Байтурсынова, Казахстан

РАЗРАБОТКА СИСТЕМЫ ПРОТИВОДЕЙСТВИЯ НЕСАНКЦИОНИРОВАННОЙ СЕТЕВОЙ АКТИВНОСТИ ПО АНАЛИЗУ ПОДОЗРИТЕЛЬНЫХ ДЕЙСТВИЙ

Анализируя эволюцию вредоносного программного обеспечения за последние годы, можно сделать вывод о росте такого рода киберпреступлений как целевые атаки.

Целевые атаки (Targeted attacks) – это атаки, специально нацеленные на одну определенную организацию или отрасль.

Подобным атакам подвергаются очень известные компании, что подчеркивает важность противодействия данному классу вредоносного программного обеспечения и предотвращения утечки конфиденциальной информации, принадлежащей предприятиям.

Учитывая многочисленность потенциальных жертв, совершенство методов социальной инженерии, наличие уязвимостей в программном обеспечении целевые атаки становятся одной из ключевых проблем современной защиты информации. Для борьбы с ними нужен комплекс организационных, законодательных и технических мер.

Если рассматривать технические средства, то они должны иметь достаточную эффективность, чтобы противостоять не только известным образцам вредоносного кода, но и новому зловредному программному обеспечению. Противодействие ранее неизвестным вредоносным программам на наш взгляд имеет наибольшее значение, потому что, как правило, для серьезных целевых атак разрабатывается штучное, узконаправленное программное средство.

Существующие методы обнаружения вредоносных исполняемых файлов хорошо пригодны для обнаружения массовых зловредов, в то время как многие целевые атаки могут остаться не замеченными.

Для борьбы именно с целевыми атаками, предложен оригинальный метод и разработана система, демонстрирующая его. Разработанный метод позволяет эффективно предотвращать утечку информации, спровоцированную неизвестным (для систем безопасности) вредоносным ПО, поскольку  предлагается комбинировать возможности локального антивирусного продукта со средством безопасности, работающем на сетевом шлюзе или прокси-сервере. Это позволяет более надежно защитить систему принятия решения о разрешении отправки данных во внешнюю сеть от активного противодействия со стороны вредоносного объекта. Важно заметить, что использование такого инструмента может способствовать более раннему обнаружению 0-day уязвимостей, и, следовательно, более раннему их закрытию. Помимо борьбы с кражей данных, посредством вредоносного ПО, данный подход можно применять в борьбе с вредоносным кодом, чья деструктивная активность связана с несанкционированным воздействием на системы управления объектами критической инфраструктуры, такими как электростанции, заводы и т.д.

Для противодействия целевым угрозам, как и любому типу угроз, необходимо применять организационные, законодательные и технические меры.

Наиболее важной организационной мерой является обучение пользователей. То есть каждый сотрудник компании, который имеет доступ к информационной системе, должен быть уведомлен о методах социальной инженерии, чтобы не стать их жертвой. Но методы социальной инженерии могут быть настолько совершенны, что избежать их практически невозможно. Обучение персонала не может полностью защитить от целевых атак.

Законодательные меры также играют важную роль в борьбе с целевыми атаками. Совершенствование правовых норм в отношении киберпреступлений и межгосударственное сотрудничество способствуют улучшению ситуации в этой сфере. Тем не менее, большинство киберпреступлений остаются не раскрытыми, во многих из них не всегда возможно доказать виновность.

Технические меры борьбы заключаются в создании такой комплексной системы безопасности, которая бы могла предотвращать возможные способы совершения целевых атак.

С точки зрения анализа исполняемых файлов, современные антивирусные системы предлагают три подхода к вопросу борьбы с вредоносным программным обеспечением.

Первый подход представлен традиционными средствами защиты. Это базы сигнатур, по которым можно определить, относится ли программное обеспечение к известным образцам вредоносного кода. Сигнатурные методы практически бесполезны в случае целевых атак. Причина заключается в том, что вредоносный код целевых атак очень специфичен и может быть модифицирован злоумышленником с помощью обфускации или шифрования.

Вторым подходом являются несигнатурные методы: эвристические и (или) поведенческие. Они более эффективны в борьбе с целевыми атаками, чем сигнатурные. Данные методы позволяют детектировать неизвестных зловредов по характерным особенностям исполняемых модулей или по анализу их поведения. Но такой подход не совсем удобен для пользователя, так как при таком анализе существует вероятность ложных срабатываний, когда защитный продукт детектирует деятельность легального программного обеспечения как вредоносные действия. В таком случае устанавливаются более лояльные настройки эвристических анализаторов, тем самым предоставляя возможность вредоносному ПО выполнять необходимые действия.

Также антивирусные компании предлагают использовать «облачные» технологии. С помощью данных технологий пользователь может мгновенно узнавать об имеющихся вредоносных программах. Но в случае точечных атак этот метод также не эффективен, так как «целевое» вредоносное ПО – «штучное». Это означает, что, скорее всего, его образцы не получат необходимый рейтинг опасности или «подозрительности» в «облаке».

Жертвами целевых угроз могут стать предприятия и организации любого уровня. Данный вид угроз представляет для них особую проблему, так как ущерб может не ограничиваться только финансовыми потерями. Наиболее известными и крупными подтверждениями тому являются атаки Aurora [1], Stuxnet [2], Duqu [3]. Жертвами целевых атак являются не только крупные предприятия, но и малый и средний бизнес [4]. Общее количество таких атак определить сложно. Во-первых, они достаточно специфичны и могут оставаться незамеченными длительное время. Во-вторых, фирмы, ставшие жертвами точечных атак, боятся за свою репутацию, поэтому очень часто факты свершения атак не предоставляются общественной огласке [5].

Таким образом, существующие методы обнаружения вредоносных исполняемых файлов хорошо пригодны для борьбы с массовыми зловредами, в то время как многие точечные атаки могут остаться незамеченными.

 

Литература:

1         McAfee Labs and McAfee Foundstone Professional Services, Protecting Your Critical Assets, Lessons Learned from “Operation Aurora”, Santa Clara, California, USA: McAfee, Inc., 2010. - 15

2         ESET, Stuxnet Under the Microscope, Bratislava, Slovakia: ESET, LLC, 2010. - 72

3         Symantec Corporation, W32.Duqu – The precursor to the next Stuxnet, Mountain View, California, USA: Symantec Corporation. 2011. - 67

4         http://www.xakep.ru/post/56274/default.asp

5         http://www.securelist.com/en/blog/323/Targeted_attacks_businesses_under_threat