Loading…

APT Framework

Автоматический мониторинг инфраструктуры и моментальное выявление признаков APT

РИСКИ И УГРОЗЫ


Advanced Persistent Threats (APT) – комплексные целевые кибератаки, проводимые в течение долгого времени и с достаточным уровнем экспертизы, чтобы обойти даже новейшие и самые совершенные системы защиты. Термин APT изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой. Обычно используются уязвимости нулевого дня, методы «социальной инженерии» и инструменты взлома, специально разработанные под конкретную организацию. APT-атаки чаще всего проводятся хорошо организованными хакерскими группами, обладающими современным уровнем специальных знаний и значительными ресурсами, которые позволяют им создавать возможности для достижения своих целей посредством сочетания различных векторов нападения.

APT

APT Framework – СЦЕНАРИЙ ИБ ДЛЯ SIEM

APT Framework - это специализированный аналитический модуль который можно моментально развернуть на наиболее распространенных в мире SIEM-системах, таких как HPE ArcSight, IBM QRadar и Splunk. Он позволяет постоянно вести наблюдение за инфраструктурой компании и обнаруживать признаки APT на различных стадиях проведения атаки с применением методологии Lockheed Martin Cyber Kill Chain. APT Framework использует методы статистического профилирования и поведенческого анализа, позволяет максимально эффективно использовать существующие в компании технологии, такие как SIEM, IDS/IPS, FW, Proxy, Antivirus, Vulnerability Scanners, и помогает получить эффект синергии при их использовании.

Кейс обнаруживает APT на различных стадиях атаки по характерным признакам проведения:

  • Разведка (Reconnaissance);
  • Доставка (Delivery);
  • Эксплуатация (Exploitation);
  • Инсталляция (Installation);
  • Удалённое управление (C2);
  • Достижение целей и очистка (Actions on Objectives & Cleanup).

DNS

ТАКТИЧЕСКИЙ ОБЗОР ДЛЯ ИТ-БЕЗОПАСНОСТИ

Атака APT превосходит обычные киберугрозы, т.к. ориентируется на взлом конкретной цели и готовится на основании собираемой в течение длительного времени информации. Отличительными особенностями т.н. «развитой устойчивой угрозы» являются адаптация к усилиям защищающихся оказать сопротивление, и отсутствие гарантии полного восстановления. Вот несколько правил, которые мы рекомендуем использовать для повышения своей безопасности:

  1. Любой доступ к серверам компании как из сети Интернет, так и с рабочих станций пользователей, должен быть защищен соответствующими технологиями активной сетевой защиты, такими как IPS и WAF.
  2. Удаленный доступ в сеть компании (VPN) должен происходить только с использованием двухфакторной аутентификации.
  3. SIEM-система, вместе с кейсом APT Early Warning Pack поможет вовремя обнаружить аномальную, подозрительную сетевую активность, признаки APT-атак на разных стадиях их проведения, а также проконтролировать эффективность предпринятых администраторами корректирующих мер при противодействии атаке.
  4. Повышение уровня осведомленности пользователей в вопросах информационной безопасности (Security Awarness) является наиболее эффективным по стоимости методом борьбы с APT-атаками.

НОВОСТИ С ПОЛЕЙ О APT Framework

Пакет был разработан во время активного противодействия и разбора последствий APT атаки у одного из наших клиентов, и дорабатывался уже при изучении ранних стадий атаки, проведения работы над ошибками и создания комплекса мер по недопущению подобных инцидентов в будущем.

APT Framework показал свою эффективность при работе в Финасовом секторе, Медиа и Телекоме. В большинстве случаев он детектирует ранние фазы возможных APT атак (подозрительные письма и рассылки, взаимодействие с Tor сетью и т.п.), где вовремя принятые контрмеры не дают возможности проверить было ли это началом масштабной АРТ атаки и подозрительную внутреннюю активность пользователей (переборы паролей, скрытие следов, внутренние сканирования и т.п.) что пока, по имеющейся у нас информации, классифицировалось как нарушение внутренних корпоративных политик. Мы остаемся на связи с нашими клиентами и обязательно поделимся дальнейшим опытом.

Поддерживаемые технологии