Как это работает: учимся создавать свой sandbox с нуля: часть II
В первой части статьи вы получили краткое представление о драйверах в привилегированном режиме. Настало время покопаться в нашей песочнице.
( Collapse )
Category: компьютеры
Category was added automatically. Read all entries about "компьютеры".
В первой части статьи вы получили краткое представление о драйверах в привилегированном режиме. Настало время покопаться в нашей песочнице.
( Collapse )
Как можно незаметно потрошить банкоматы - часть 2.
Начало этой прекрасной истории мы публиковали тут.
Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.
( Collapse )
Есть достаточно широко применяемая специалистами утилита KDiag, служащая для диагностики банкоматов марки Wincor Nixdorf. Одна из ее функций – тестирование работоспособности механизма выдачи денежных средств. Условие запуска – банкомат в этот момент должен находиться в тестовом режиме, а створки сейфа должны быть открыты.
( Collapse )
Нет здоровых ИТ-систем, есть недообследованные
Компания InfoWatch, как вы знаете, разрабатывает решение для обнаружения таргетированных атак — InfoWatch Targeted Attack Detector. Спешим поделиться некоторыми результатами работы решения на боевых проектах за последние 6 месяцев.
В выборке представлены компании кредитно-финансовой отрасли, промышленного сектора, государственные организации, представители ритейла и организации, занятые разработкой программного обеспечения.
За 6 месяцев обнаружено 203 объекта, критичного и высокого уровней опасности. Чаще всего такое ПО направлено на кражу данных, а также получение доступа к управлению зараженной машиной. За тот же период IW TAD зафиксировал 612 объектов, относящихся к среднему уровню угрозы. Такое ПО не представляет собой серьезную опасность для организации, однако может помешать нормальному функционированию рабочих станций: оно может «засорять» ПК, выдавать нежелательные рекламные объявления и др.
Рис. 2 Распределение найденных объектов разного уровня опасности по отраслям
В некоторых случаях решение выявило признаки атаки, которые начались до внедрения InfoWatch TAD.
Сложность обнаружения таргетированных атак заключается, в первую очередь, в том, что специализированное зловредное ПО разрабатывается под конкретные организации (или группы организации) с учетом защиты, которая там используется. Иногда ПО полностью отвечает требованиям к легитимному ПО (имеет подпись разработчика, даже функционирует «по правилам»), что сильно затрудняет процесс распознавания в нем зловреда сигнатурными методами. Только анализ поведения объекта во времени и контексте может выявить аномальную активность и вовремя распознать таргетированную атаку.
Таргетированные атаки проходят точечно: злоумышленники знают жертву и свою цель. Тем не менее для достижения этой цели хакерам иногда приходится получать доступ к другим машинам. Вовремя пресечь заражение и развитие вектора атаки классическими способами чаще всего невозможно. Постоянное наблюдение – подход, который оправдывает себя и позволяет нашим клиентам выявить и хронические болячки, и новоприобретённые проблемы на ранних стадиях.
Как любят шутить врачи, здоровых людей нет, есть недообследованные. ИТ-инфраструктура организаций также требует непрерывной диагностики. Не забывайте об этом
В выборке представлены компании кредитно-финансовой отрасли, промышленного сектора, государственные организации, представители ритейла и организации, занятые разработкой программного обеспечения.
За 6 месяцев обнаружено 203 объекта, критичного и высокого уровней опасности. Чаще всего такое ПО направлено на кражу данных, а также получение доступа к управлению зараженной машиной. За тот же период IW TAD зафиксировал 612 объектов, относящихся к среднему уровню угрозы. Такое ПО не представляет собой серьезную опасность для организации, однако может помешать нормальному функционированию рабочих станций: оно может «засорять» ПК, выдавать нежелательные рекламные объявления и др.
Рис. 2 Распределение найденных объектов разного уровня опасности по отраслям
В некоторых случаях решение выявило признаки атаки, которые начались до внедрения InfoWatch TAD.
Сложность обнаружения таргетированных атак заключается, в первую очередь, в том, что специализированное зловредное ПО разрабатывается под конкретные организации (или группы организации) с учетом защиты, которая там используется. Иногда ПО полностью отвечает требованиям к легитимному ПО (имеет подпись разработчика, даже функционирует «по правилам»), что сильно затрудняет процесс распознавания в нем зловреда сигнатурными методами. Только анализ поведения объекта во времени и контексте может выявить аномальную активность и вовремя распознать таргетированную атаку.
Таргетированные атаки проходят точечно: злоумышленники знают жертву и свою цель. Тем не менее для достижения этой цели хакерам иногда приходится получать доступ к другим машинам. Вовремя пресечь заражение и развитие вектора атаки классическими способами чаще всего невозможно. Постоянное наблюдение – подход, который оправдывает себя и позволяет нашим клиентам выявить и хронические болячки, и новоприобретённые проблемы на ранних стадиях.
Как любят шутить врачи, здоровых людей нет, есть недообследованные. ИТ-инфраструктура организаций также требует непрерывной диагностики. Не забывайте об этом
Можно ли резать косты на ИБ в кризис?
На безопасности лучше не экономить
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.
Взято отсюда
Когда понятия «безопасность» и «удобство» встречаются в одном предложении, между ними обязательно стоит слово «против». Подразумевается, что усиление мер безопасности мешает пользователю (вспомним байки об антивирусе, который «тормозит»). Так ли это на самом деле?
В этой связи поучительная история про отсутствие «безопасности». В одном из недавних материалов мы писали о компании, где с целью сокращения расходов заморозили ряд ИТ и ИБ-проектов. Среди них – проект внедрения системы защиты от утечек. А потом в эту компанию регулятор назначил внешнего управляющего…
У руководства было в запасе несколько часов, чтобы среагировать на угрозу. Все понимали: когда сотрудники узнают из СМИ о введении внешнего управления, начнется паника. Менеджеры будут спешно копировать клиентские базы, собирать всю доступную информацию, чтобы, в случае увольнения, уйти не «с пустыми руками».
Службы экономической безопасности обратились в ИБ-подразделение банка с вопросом: что можно сделать, чтобы максимально снизить риск утечки клиентских баз? С учетом того, что все проекты и инвестиции в развитие области были заморожены, безопасник не без улыбки предложил руководству следующие варианты:
У ряда подразделений после внедрения подобной экстренной меры работа встала. Через день начали подключать отключенные доступы обратно, по консолидированным спискам.
Помогло ли это снизить риски? В чем-то да, особенно если считать, что мало кто держал подобную информацию на своих компьютерах «про запас». Но при наличии в компании современной системы DLP, не было бы необходимости тормозить работу сотрудников в кризисный для организации момент. Очевидно, что полная остановка бизнеса – не лучшая реакция на угрозу.
Так что же лучше – ограничения, связанные с информационной безопасностью, или перспектива потерять все? Решать, как обычно, вам.
Сисадмин спросил Учителя:
– В статье написано, что любое усиление безопасности снижает лояльность работников. Это правда?
Инь Фу Во ответил:
– На самом деле усиление безопасности снижает удобство. Снижение удобства повышает усталость. Повышение усталости снижает добросовестность. А снижение добросовестности работников – это и есть то, чего следует избегать.
– Тогда что же такое лояльность? – спросил Сисадмин.
– "Лояльность", – усмехнулся Инь Фу Во, – это японцы выдумали, чтоб денег не платить.
Взято отсюда
Когда понятия «безопасность» и «удобство» встречаются в одном предложении, между ними обязательно стоит слово «против». Подразумевается, что усиление мер безопасности мешает пользователю (вспомним байки об антивирусе, который «тормозит»). Так ли это на самом деле?
В этой связи поучительная история про отсутствие «безопасности». В одном из недавних материалов мы писали о компании, где с целью сокращения расходов заморозили ряд ИТ и ИБ-проектов. Среди них – проект внедрения системы защиты от утечек. А потом в эту компанию регулятор назначил внешнего управляющего…
У руководства было в запасе несколько часов, чтобы среагировать на угрозу. Все понимали: когда сотрудники узнают из СМИ о введении внешнего управления, начнется паника. Менеджеры будут спешно копировать клиентские базы, собирать всю доступную информацию, чтобы, в случае увольнения, уйти не «с пустыми руками».
Службы экономической безопасности обратились в ИБ-подразделение банка с вопросом: что можно сделать, чтобы максимально снизить риск утечки клиентских баз? С учетом того, что все проекты и инвестиции в развитие области были заморожены, безопасник не без улыбки предложил руководству следующие варианты:
- отключить всем системы, в которых обрабатываются базы клиентов;
- отключить интернет, внешнюю электронную почту, возможность пользования съемными носителями;
- отключить возможность выгрузки отчетов из систем.
У ряда подразделений после внедрения подобной экстренной меры работа встала. Через день начали подключать отключенные доступы обратно, по консолидированным спискам.
Помогло ли это снизить риски? В чем-то да, особенно если считать, что мало кто держал подобную информацию на своих компьютерах «про запас». Но при наличии в компании современной системы DLP, не было бы необходимости тормозить работу сотрудников в кризисный для организации момент. Очевидно, что полная остановка бизнеса – не лучшая реакция на угрозу.
Так что же лучше – ограничения, связанные с информационной безопасностью, или перспектива потерять все? Решать, как обычно, вам.
Когда антивирусы бессильны
Целенаправленные атаки на конкретные компании (APT – advanced persistent threat) ставятся все дешевле. Стоимость Stuxnet, сложнейшего кибероружия, составила примерно 100 млн долларов. Расходы на кампанию Icefog, обнаруженную экспертами «Лаборатории Касперского» в конце 2013 года, потребовали менее 10 тысяч долларов. А это означает, что целенаправленную атаку вскоре может позволить себе практически любой. В том числе компания, конкурирующая с вашей, уважаемый читатель.
Целенаправленная атака начинается с банального письма с инфицированным файлом во вложении. Или со ссылки, присланной в скайп. В общем, в начале глобальной проблемы всегда какая-нибудь досадная мелочь. И эту «мелочь» хотелось бы обнаружить сразу.
В прошлом году InfoWatch представила TAD - решение для раннего обнаружения целенаправленных атак. Задолго до вывода решения на рынок, мы протестировали его «на собственной шкуре». На компьютерах отдельных сотрудников нашлись целые стада «троянов», рекламных программ, прочего малоприятного кода. Удивительно другое – на этих машинах стоял антивирус.
Буквально через неделю антивирусная компания что-то докрутила в своих базах, и их программа уже без проблем обнаруживала подозрительные файлы, найденные TAD (хотя, кое-что антивирус по-прежнему не замечал).
Получается, у злоумышленника есть минимум неделя (а зачастую больше) до того, как внедренное им ПО будет обнаружено стандартным антивирусом. В этот момент вредоносные программы проявляют себя наиболее ярко. Их активность неизбежно приводит к изменениям – появляются новые файлы, записи в реестре, драйверы. На этом TAD и ловит.
А на следующей неделе мы расскажем о том, как злоумышленники атакуют неподключенные к интернету инфраструктуры и что им для этого нужно.
Байки безопасников - гостайна и сквозняк
Андрей Прозоров, ведущий эксперт по информационной безопасности InfoWatch, рассказал нам несколько коротеньких историй из жизни специалистов по безопасности. С его разрешения мы будем периодически ими делиться. Итак сегодня история первая (рассказывает сам Андрей).
Коллеги рассказали про сложности реализации режима защиты гостайны и актуальные угрозы. Случай простой, но показывает отличие в подходах к защите информации разной категории конфиденциальности.
Итак, в режимном помещении не плотно закрыли окно, порывом ветра оно распахнулось и створкой разбило монитор компьютера. Вроде бы мелочь, но нет... Помещение режимное, компьютер аттестован для работы с гостайной. Замена монитора требует проведения новой спец.проверки с измерением ПЭМИН, а это долго и дорого... Грусть-печаль.
А кто из вас, коллеги, у себя в организации оценивает возможные риски, с учетом расположения средств обработки информации?
Коллеги рассказали про сложности реализации режима защиты гостайны и актуальные угрозы. Случай простой, но показывает отличие в подходах к защите информации разной категории конфиденциальности.
Итак, в режимном помещении не плотно закрыли окно, порывом ветра оно распахнулось и створкой разбило монитор компьютера. Вроде бы мелочь, но нет... Помещение режимное, компьютер аттестован для работы с гостайной. Замена монитора требует проведения новой спец.проверки с измерением ПЭМИН, а это долго и дорого... Грусть-печаль.
А кто из вас, коллеги, у себя в организации оценивает возможные риски, с учетом расположения средств обработки информации?
Поехали ко мне!
Модный BYOD вкупе с мобильными технологиями привели к тому, что не работник находится в офисе, а офис находится внутри устройства – в кармане у работника.
Раньше информация утекала из офиса через работников. А нынче – из работника через офис. Раньше охраняемый периметр опоясывал офис. В наше время – он путешествует вместе с работником. Конфигурация утечек не просто поменялась, она вывернулась.
Термин BYOD не слишком правильно отражает суть вещей. Надо говорить не о приносе работником собственного компьютера, а о переезде работы на устройство работника. Фактически, она едет в чужой дом.
И если уж она, работа, соглашается на такое смелое предложение, то имеет право (и даже обязана) поставить работнику ряд условий: «Хорошо, я к тебе поеду. Но обещай мне, что будешь пользоваться средствами защиты, соблюдать гигиену, не приводить других...» Не все решаются откровенно и заблаговременно оговорить условия переезда. Большинство работ строит из себя недотрогу и решительно отказывается от непристойного предложения BYOD: «Не может быть речи! Да как ты мог подумать обо мне такое! Я – и на твой компьютер? Фи.».
Другие же соглашаются переехать, но стесняются обсуждать условия.
Например, когда ваш покорный слуга переходил на удалённую (дистанционную) занятость, всё вышло как-то чересчур доверчиво, без формальностей. Работа согласилась слишком быстро. Я, конечно, как порядочный человек, постарался обеспечить работе на своём домашнем компьютере все условия для защиты от утечек. В чём-то – даже получше офисных. Но формальных обязанностей на этот счёт у меня не было. Подобная доверчивость могла бы плохо кончиться, окажись на моём месте другой.
Иную крайность в этом вопросе демонстрируют банки. Когда вкладчик управляет своими счетами через Интернет, он же фактически следует принципу BYOD – обрабатывает служебные данные на личном устройстве. Но прежде чем доверить ему такое управление, банк затягивает все гайки, наглухо застёгивает все пуговицы и прописывает в договоре драконовкие условия. Клиенту позволяется пригласить к себе домой банковскую программу исключительно для чайной церемонии, а любое отклонение от этикета – и стоп, блокировка, запрет, отмена гарантий. От такого союза детей не будет.
Раньше информация утекала из офиса через работников. А нынче – из работника через офис. Раньше охраняемый периметр опоясывал офис. В наше время – он путешествует вместе с работником. Конфигурация утечек не просто поменялась, она вывернулась.
Термин BYOD не слишком правильно отражает суть вещей. Надо говорить не о приносе работником собственного компьютера, а о переезде работы на устройство работника. Фактически, она едет в чужой дом.
| |
И если уж она, работа, соглашается на такое смелое предложение, то имеет право (и даже обязана) поставить работнику ряд условий: «Хорошо, я к тебе поеду. Но обещай мне, что будешь пользоваться средствами защиты, соблюдать гигиену, не приводить других...» Не все решаются откровенно и заблаговременно оговорить условия переезда. Большинство работ строит из себя недотрогу и решительно отказывается от непристойного предложения BYOD: «Не может быть речи! Да как ты мог подумать обо мне такое! Я – и на твой компьютер? Фи.».
Другие же соглашаются переехать, но стесняются обсуждать условия.
Например, когда ваш покорный слуга переходил на удалённую (дистанционную) занятость, всё вышло как-то чересчур доверчиво, без формальностей. Работа согласилась слишком быстро. Я, конечно, как порядочный человек, постарался обеспечить работе на своём домашнем компьютере все условия для защиты от утечек. В чём-то – даже получше офисных. Но формальных обязанностей на этот счёт у меня не было. Подобная доверчивость могла бы плохо кончиться, окажись на моём месте другой.
Иную крайность в этом вопросе демонстрируют банки. Когда вкладчик управляет своими счетами через Интернет, он же фактически следует принципу BYOD – обрабатывает служебные данные на личном устройстве. Но прежде чем доверить ему такое управление, банк затягивает все гайки, наглухо застёгивает все пуговицы и прописывает в договоре драконовкие условия. Клиенту позволяется пригласить к себе домой банковскую программу исключительно для чайной церемонии, а любое отклонение от этикета – и стоп, блокировка, запрет, отмена гарантий. От такого союза детей не будет.
От пассива к активу
Когда техническая разведка только создавалась, она велась полностью пассивными методами. Слушали эфир, пытались расшифровывать, идентифицировали передатчики. Потом начали добавлять немного активных операций: установка "жучков" в чужие аппараты, сниферов на чужие кабели, заброска датчиков вглубь территории противника.
Но компьютеры совершили революцию. Современная техническая разведка пассивной быть не может. Самое интересное, ценное и своевременное добывается только через активное вмешательство в информационные системы противника: внедрение закладок, бэкдоров, троянов, навязывание уязвимых алгоритмов и их реализаций.
Закладки – это взаимодействие с производителями, трояны – с провайдерами, алгоритмы – с органами стандартизации. В ключевых компаниях необходимо иметь своих людей и/или прямой доступ к оборудованию, депозитарию кода, базе данных. Это предполагает весьма активную жизненную позицию.
С такой активностью разведывательная служба плавно, но неуклонно превращается в диверсионную. Когда вражеский компьютер найден в Сети и затроянен, то после этого уже совсем никакой разницы – проводить с него пассивный сбор информации или активные деструктивные действия. Оружие стало наступательным.
Таким образом, компьютеризация превратила техническую разведку в ударную силу. Скорее всего, до военных это уже дошло. В настоящий момент они должны переписывать требования к техразведке – помимо получения информации о противнике в её задачи включают также нанесение киберударов. Киберкомандование вооружённых сил США и АНБ США – формально разные ведомства с разным подчинением, но по факту они сидят в одном здании и возглавляются одним человеком.
Но компьютеры совершили революцию. Современная техническая разведка пассивной быть не может. Самое интересное, ценное и своевременное добывается только через активное вмешательство в информационные системы противника: внедрение закладок, бэкдоров, троянов, навязывание уязвимых алгоритмов и их реализаций.
 |
Закладки – это взаимодействие с производителями, трояны – с провайдерами, алгоритмы – с органами стандартизации. В ключевых компаниях необходимо иметь своих людей и/или прямой доступ к оборудованию, депозитарию кода, базе данных. Это предполагает весьма активную жизненную позицию.
С такой активностью разведывательная служба плавно, но неуклонно превращается в диверсионную. Когда вражеский компьютер найден в Сети и затроянен, то после этого уже совсем никакой разницы – проводить с него пассивный сбор информации или активные деструктивные действия. Оружие стало наступательным.
Таким образом, компьютеризация превратила техническую разведку в ударную силу. Скорее всего, до военных это уже дошло. В настоящий момент они должны переписывать требования к техразведке – помимо получения информации о противнике в её задачи включают также нанесение киберударов. Киберкомандование вооружённых сил США и АНБ США – формально разные ведомства с разным подчинением, но по факту они сидят в одном здании и возглавляются одним человеком.
Легендарные айтишники
Для айтишника перейти из категории "неуловимый Джо" в категорию "приоритетная цель" довольно просто. Надо устроиться на должность, связанную с управлением большой инфосистемой – такую как, скажем, «инженер отдела магистральной сети» или «администратор БД отдела билинга». Точнее, даже не устроиться, а заявить об этом, отметиться в соцсетях, приписать строчку в резюме, включиться в соответствующий список рассылки и т.д. Тут же попадаешь на кнопку в АНБ и других технических разведках.
В романтическом XX веке таких людей – с невысокой должностью и серьёзным доступом – вербовали. В веке нынешнем – их просто затроянивают. Как вы понимаете, даже у самой мощной разведки вероятного противника вербовалка большая не отрастёт. Из десяти тысяч перспективных счастливый билетик вытянут 10-20, не больше. А подсаживание на ваш рабочий компьютер трояна спецпошива – операция, которую (в отличие от традиционной вербовки) можно масштабировать. И этим охватить не 0,1%, а 80-90% кандидатов. Только вместо гонораров и званий агенту достанется шиш с маслом. Поэтому с такой практикой надо беспощадно бороться.
Есть довольно простой и очень дешёвый метод защиты, который снижает эффективность вышеописанного подхода в разы. Надо убедить (уговорить, заставить, стимулировать) нового сотрудника назваться иной должностью. Скажем, принимаем его инженером в департамент магистральной сети. А во всех публичных документах и соцсетях он называет себя «зам.нач.отдела департамента равития». И в "Линкедине" пусть так пишет, и в резюме, и в справке, которую ему для получения визы выдают. С большой вероятностью АНБ его пропустит как неперспективного.
В традиционной контрразведывательной работе такой приём называется "легендирование" и успешно применяется. Правда, против серьёзного расследования легенда не устоит. То, что помощник советника посла по культуре на самом деле – резидент разведки, выясняется за несколько дней. Но это – при "ручной" обработке информации. Это – в отношении считанных людей. А при компьютерной обработке данных на масштабах в сотни тысяч эффективность будет значительно выше.
| |
В романтическом XX веке таких людей – с невысокой должностью и серьёзным доступом – вербовали. В веке нынешнем – их просто затроянивают. Как вы понимаете, даже у самой мощной разведки вероятного противника вербовалка большая не отрастёт. Из десяти тысяч перспективных счастливый билетик вытянут 10-20, не больше. А подсаживание на ваш рабочий компьютер трояна спецпошива – операция, которую (в отличие от традиционной вербовки) можно масштабировать. И этим охватить не 0,1%, а 80-90% кандидатов. Только вместо гонораров и званий агенту достанется шиш с маслом. Поэтому с такой практикой надо беспощадно бороться.
Есть довольно простой и очень дешёвый метод защиты, который снижает эффективность вышеописанного подхода в разы. Надо убедить (уговорить, заставить, стимулировать) нового сотрудника назваться иной должностью. Скажем, принимаем его инженером в департамент магистральной сети. А во всех публичных документах и соцсетях он называет себя «зам.нач.отдела департамента равития». И в "Линкедине" пусть так пишет, и в резюме, и в справке, которую ему для получения визы выдают. С большой вероятностью АНБ его пропустит как неперспективного.
В традиционной контрразведывательной работе такой приём называется "легендирование" и успешно применяется. Правда, против серьёзного расследования легенда не устоит. То, что помощник советника посла по культуре на самом деле – резидент разведки, выясняется за несколько дней. Но это – при "ручной" обработке информации. Это – в отношении считанных людей. А при компьютерной обработке данных на масштабах в сотни тысяч эффективность будет значительно выше.
APT
В противоположность моему вчерашнему утверждению, некоторые полагают, что целенаправленные атаки (APT) не пребывают в забвении, а напротив, стали более распространёнными за последнее время. Правда, при этом "целенаправленной" у них считается угроза не на конкретное предприятие, человека или компьютер, а на хоть чем-то ограниченное множество инфосистем, например, по отрасли или по домену. Что касается строго индивидуальных атак – таких как "Stuxnet" – целящих в единственный в мире контроллер, то их подсчитать затруднительно.
Массовые вредоносы приносят запустившему большой улов. Но зато сами сразу попадаются в антивирусные базы. А индивидуального пошива трояны и черви могут месяцами оставаться неотдетектированными и неосигнатуренными – как "Red October". Но зато и улов их хозяина будет в миллион раз менее объёмным. Скорее всего, такая разработка не окупится с чисто коммерческой точки зрения. Из-за высокой скрытности и слабой попадаемости в антивирусные базы такая индивидуальная малварь статистической оценке не поддаётся. Не исключено, что её перечень исчерпывается двумя упомянутыми названиями.
Всё сказанное касается внешних угроз. А для внутренних – расклад иной.
Случайные утечки – суть массовые и типичные. Их "сигнатуры" заранее известны или быстро появляются после новой угрозы.
А злонамеренные утечки – почти все индивидуальны. Злоинсайдер всегда рассчитывает на конкретную информационную систему своего предприятия и пытается преодолеть конкретную защиту, а не типичную. Если он создаёт какие-то вредоносные программы, то они предназначены работать на конкретном компьютере и в конкретном окружении, а на совместимость с другими ему наплевать.
Поэтому DLP-системы с самого своего появления имели дело с APT. А защита от внешних угроз только сейчас начинает поднимать это направление.
| |
Массовые вредоносы приносят запустившему большой улов. Но зато сами сразу попадаются в антивирусные базы. А индивидуального пошива трояны и черви могут месяцами оставаться неотдетектированными и неосигнатуренными – как "Red October". Но зато и улов их хозяина будет в миллион раз менее объёмным. Скорее всего, такая разработка не окупится с чисто коммерческой точки зрения. Из-за высокой скрытности и слабой попадаемости в антивирусные базы такая индивидуальная малварь статистической оценке не поддаётся. Не исключено, что её перечень исчерпывается двумя упомянутыми названиями.
Всё сказанное касается внешних угроз. А для внутренних – расклад иной.
Случайные утечки – суть массовые и типичные. Их "сигнатуры" заранее известны или быстро появляются после новой угрозы.
А злонамеренные утечки – почти все индивидуальны. Злоинсайдер всегда рассчитывает на конкретную информационную систему своего предприятия и пытается преодолеть конкретную защиту, а не типичную. Если он создаёт какие-то вредоносные программы, то они предназначены работать на конкретном компьютере и в конкретном окружении, а на совместимость с другими ему наплевать.
Поэтому DLP-системы с самого своего появления имели дело с APT. А защита от внешних угроз только сейчас начинает поднимать это направление.
