О проблеме

Уязвимость нулевого дня или 0-day – это ранее неизвестная уязвимость, которая эксплуатируется злоумышленниками в сетевых атаках.

Происхождение термина связано с тем обстоятельством, что уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от нее).

Уязвимости нулевого дня влекут за собой появление новых способов распространения вредоносного кода, что активно используется киберпреступниками для создания эффективного механизма заражения. Наибольший риск для пользователей создают именно продукты массового использования, такие как популярный Adobe Reader.

Целенаправленные атаки или APT — уникальный, подобранный под конкретного заказчика, комплекс мер, включая разработку вредоносных программ, создаваемых профессионалами с целью осуществления воровства конфиденциальной информации, кибершпионажа, получения выгоды от компрометации информационных систем и данных конкретной компании.

По данным опроса ISACA 63% респондентов уверены, что целенаправленная атака на их компанию — вопрос времени. 67% опрошенных представителей организаций признают, что принятые у них меры безопасности не в состоянии защитить их от направленной атаки

Почему от целенаправленных атак нельзя защититься антивирусом или другим популярными средствами защиты?

Традиционные средства защиты анализируют сигнатуры для обнаружения известных атак и уязвимостей. Однако эти средства не обнаруживают атаки при использовании злоумышленниками неизвестных уязвимостей.

Почему это важно?

Если компания недостаточно защищена от целенаправленных атак, то это приведет к таким последствиям:

1. Потеря конкурентного преимущества. Если злоумышленники получат доступ к вашим ноу-хау, базам клиентов, патентам, стратегическим планам – это существенно ухудшит ваше конкурентное положение.

2. Ответственность за несоблюдение законодательных требований. Ответственность предусмотрена российскими и зарубежными требованиями стандартов и законодательства. Например, такими, как защита ПДн, КВО, требования ЦБ РФ, стандарты PCI DSS, SoX и т.д.

3. Ущерб репутации. Доверие со стороны клиентов важно во всех бизнес-областях. В среднем ущерб репутации оценивается от нескольких до $200 млн.

4. Остановка бизнес-процессов. После успешной атаки не так просто восстановить системы в доверенное состояние, если они не допускают перерывов в работе, как, например, система биллинга в телекоммуникационных компаниях или процессинг кредитных карт. Представьте, что ваши системы повреждены и требуются часы или дни для восстановления.

Решение

Использование специализированных средств защиты от целенаправленных атак.

Рассмотрим на примере FireEye как работает современное решение для защиты от целенаправленных атак:

Шаг 1: система анализирует входящий и исходящий трафик, проверяя наличие известных атак, установление соединений с серверами управления. Если известная атака или связь с сервером управления обнаружена, система блокирует соединение.

Шаг 2: для атак нулевого дня система помещает файлы или Web-страницу в виртуальную среду для анализа.

Шаг 3: в виртуальной среде запускаются различные версии операционной системы Microsoft Windows и приложений Microsoft Office, Microsoft Internet Explorer, Adobe Reader и т.п. С их помощью обрабатываются подозрительные файлы и Web-ссылки. При обнаружении атаки – например, создания нового сервиса Windows, изменения в корневом разделе файловой системы, атаки heap spray, попытки установления соединения с сервером управления – виртуальная машина перезапускается.

Шаг 4: если подтверждается атака нулевого дня, система записывает последующие действия вредоносного ПО. На основе полученных данных система формирует новый профиль защиты для блокирования ставшей уже известной атаки.

Шаг 5: новый профиль защиты передается на другие устройства которые находятся в сети организации.