Москва
Мероприятия
Блог
Корзина
Регистрация Войти
main-bg
Блог

Обзор российских Anti-APT решений

Объем целенаправленных атак составил 71%, по данным анализа Positive Technologies от 7 сентября 2022 года. Большая часть из них – это именно APT атаки повышенной сложности. Особенно явно их испытывают на себе госструктуры, банки, промышленность, которым в этом году приходится не только отбиваться от целенаправленных атак, но и менять для этого привычные инструменты. В обзоре описаны Anti-APT решения, подходящие для российского рынка.

Что относится к Anti-APT решениям

Российские производители предлагают решения с различной архитектурой, но в основном они включают в себя три типа технологий, которые борются со сложными атаками на разных этапах своими уникальными методами.

Песочницы (Sandbox) 

Выполняют функцию обнаружения и предотвращения угроз нулевого дня. Их основное предназначение – это предварительное открытие новых файлов и программ в специально выделенной изолированной среде с вынесением вердикта об их безопасности и легитимности. Также во многих песочницах используется предварительная проверка сигнатурными (антивирусными) движками, чтобы снизить нагрузку на виртуальные мощности. Дело в том, что статический анализ легко обмануть, а полноценную эмуляцию виртуальной среды – гораздо сложнее. Особенно это актуально сейчас, когда многие злоумышленники встраивают вредоносный код в легитимные Open Source программы. 

EDR (Endpoint Detection & Response)

Обнаруживают и изучают вредоносную активность на конечных точках. Решение в режиме реального времени собирает с рабочей станции как можно больше информации: изменения реестра, удаленные подключения, рабочие нагрузки и т.д. Если антивирусы видят только то, что происходит на конкретной машине, то EDR охватывают всю инфраструктуру. Это значит, что, к примеру, удаленное подключение, происходящее на одной машине, классическое средство защиты может посчитать легитимными. EDR же увидит, что RDP-сессии происходят одновременно на нескольких машинах, что послужит поводом для подозрения и оповещения службы безопасности. Таким образом, цепочка на первый взгляд легитимных событий при комплексном взгляде может говорить о компрометации инфраструктуры.

Помимо функции обнаружения, у многих EDR-систем есть инструменты блокирования скомпрометированной рабочей станции или ее возврата до состояния компрометации. Также с помощью этого класса решений можно выполнять проактивный поиск вредоносной активности с помощью IoC (индикаторов компрометации). Не менее ценны возможности записи и хранения информации о действиях пользователей, запущенных программах и процессах для последующего изучения и расследований.

XDR (Extended Detection and Response)

Данная технология расширяет возможности EDR за счет увеличения спектра источников данных. Она позволяет получать информацию не только с конечных точек, но и с сетевых устройств, почты, облачных ресурсов, учетных записей, индустриальных устройств и т.д. Благодаря этому XDR помогает реагировать на угрозы быстрее и эффективнее. Так выглядит данная технология в классическом понимании, но у каждого российского вендора свое видение набора продуктов для XDR, и не все решения по отдельности относятся к Anti-APT (к примеру, WAF или SIEM).

NTA (Network Traffic Analysis)

Система глубокого анализа сетевого трафика для выявления атак на периметре и внутри сети. Позволяет обнаруживать активность злоумышленников даже в зашифрованном трафике, например, применение хакерских инструментов или передачу данных на сервер атакующих. Атаки выявляются с помощью комбинации способов обнаружения и корреляции с тактиками и техниками злоумышленников, матрицей MITRE ATT&CK. Определяет множество протоколов, разбирает до уровня L7 включительно наиболее распространенных из них. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак. Также система позволяет фиксировать информацию, необходимую для расследования инцидентов, дает возможность получить полную видимость сети, упростить проверку успешности атаки, восстановить хронологию и собрать доказательную базу. Для этого система хранит метаданные и сырой трафик, позволяет оперативно находить сессии и отбирать из них подозрительные, экспортировать и импортировать трафик. 

DDP (Distributed Deception Platform)

Технология развилась из системы Honeypot, по которой хакеры заманиваются в западню с помощью целей-приманок. Так называемые «горшочки с медом» – это отдельные хосты, которые призваны привлечь внимание злоумышленников, чтобы те попытались проникнуть в сеть компании, при этом с ханипотами не ведется никаких легитимных сетевых взаимодействий. Если их атакуют, то они только фиксируют и сохраняют данные о действиях злоумышленников, чтобы в дальнейшем их можно было проанализировать. 

Deception – более продвинутая технология, которая делит ИТ-инфраструктуру на два слоя. Первый – это реальная инфраструктура, а второй – эмулированная среда, состоящая из ловушек и расположенная на реальных физических устройствах. Даже если злоумышленнику повезет, и он не попадет на фейковую машину, а доберется до реальной рабочей станции или сервера, то с большой вероятностью наткнется на приманки с данными, которые приведут его в расставленные ловушки. Таким образом хакер сам себя компрометирует и раскрывает свое присутствие. 

DDP разработана с учетом позиции злоумышленника и поэтому лучше других средств защиты справляется с обнаружением проникновений в инфраструктуру на начальных этапах и этапе горизонтального перемещения (Lateral movement), когда скомпрометировано одно рабочее место и совершается переход на соседнее. Это помогает специалистам ИБ получать преимущества перед киберпреступниками и выигрывать время на реагирование и расследования. По этой причине технология Deception служит ценным звеном в интеграции с EDR, песочницами, системами SIEM, SOAR и др.

Российские Anti-APT продукты 

Kaspersky – Symphony XDR 
Комплекс продуктовых решений – 7 подсистем + аналитика + сервисы по безопасности

Производитель: «Лаборатория Касперского» – известный российский вендор средств защиты с многолетним опытом в области ИБ, известный во всем мире.

Что входит в комплекс

  1. Kaspersky Endpoint Security для бизнеса редакции «Расширенный» (EPP)
  2. Kaspersky Security для виртуальных и облачных сред (VCSPP)
  3. Kaspersky Endpoint Detection & Response (EDR)
    • Мониторинг и визуализация, анализ первопричин
    • Детектирование угроз, IoC, IoA, ретроспективный анализ
    • Обогащение данными MITRE ATT&CK и проактивный поиск угроз
  4. Kaspersky Anti Targeted Attack (NTA+Sandbox):
    • IDS, YARA-правила, машинное обучение, URL-репутация, антивирусный движок и песочница, IoC-сканирование и IoA-анализ
    • Сбор и нормализация данных, MITRE ATT&CK
  5. Kaspersky Security для почтовых серверов (SMG): 
    • Безопасный почтовый шлюз, MTA
    • Антивирусная проверка, антиспам, антифишинг
  6. Kaspersky Security для интернет-шлюзов (SWG):
    • Безопасный веб-шлюз, прокси
    • Антивирусная проверка, антифишинг, URL-фильтрация, поддержка ICAP
  7. Kaspersky Unified Monitoring and Analysis Platform – KUMA (SIEM-система)
  8. Kaspersky Automated Security Awareness Platform – KASAP (Security Awareness – инструментарий для повышения осведомленности)
  9. Kaspersky: Threat Loop, Threat Data Feeds и CyberTrace (дополнительная аналитика, фиды, обогащение информацией об угрозах).

Особенности

  1. Расширенные возможности защиты:
    • Сбор и нормализация данных
    • Мониторинг, корреляция и обнаружение
    • Расследование и проактивный поиск
    • Реагирование
  2. Машинное обучение и URL-репутация
  3. Сопоставление в MITRE ATT&CK
  4. Включена функциональность платформы Threat Intelligence и потоки данных об угрозах
  5. Включено повышение осведомленности сотрудников
  6. Включен модуль ГосСОПКА для автоматического взаимодействия с НКЦКИ
  7. Возможна интеграция с ИБ-решениями сторонних поставщиков

Group-IB – Managed XDR 
Комплекс продуктовых решений – 4 подсистемы + аналитика + сервисы по безопасности

Производитель: Group-IB

Что входит в комплекс

  1. Защита почты (Business Email Protection):
    • Обнаружение и предотвращение доставки ВПО, спама, BEC-атак
    • Детонация и анализ файлов и ссылок в изолированных средах
    • В облаке или on-premise (в разработке, Q42022)
  2. Анализ сетевого трафика (NTA):
    • Детект аномалий и горизонтального перемещения по сети
    • Анализ файлов и ссылок, извлеченных из сетевого и почтового трафика, файловых хранилищ и прокси-серверов
    • Детект скрытых каналов коммуникации с командными серверами атакующих
  3. Защита конечных станций и реагирование (EDR):
    • Детект атак на уровне хостов, сигнатурного и поведенческого анализа
    • Блокировка запуска файлов, остановка процессов, изоляция хоста от сети, консоль реагирования
  4. Платформа детонации вредоносного ПО:
    • Извлечение объектов для анализа из трафика, хостов и ручная загрузка объектов
    • Предотвращение доставки вредоносных файлов и ссылок до конечных пользователей
    • Подробные отчеты с процессами и сетевой активностью
  5. Озеро данных XDR:
    • Интеграция с Threat Intelligence, графовый анализ TI
    • Загрузка объектов для детонации
    • Охота за угрозами по сырым логам и событиям

Особенности

  1. Собственная база по работе с инцидентами предоставляется безвозмездно
  2. Совместная работа с экспертами, охотниками за угрозами и аналитиками
  3. Цифровая криминалистика
  4. Рекомендации по реагированию на инциденты и по восстановлению

Positive Technologies – XDR
Комплекс продуктовых решений – 7 подсистем + аналитика + сервисы по безопасности

Производитель: Positive Technologies

Что входит в комплекс

  1. PT Endpoint Detection & Response (EDR) – обеспечивает выявление угроз и реагирование на конечных точках организации. Входит в базовый комплект компонентов для PT XDR
  2. MaxPatrol SIEM (SIEM-система) – система мониторинга событий ИБ и выявления инцидентов. Входит в базовый комплект компонентов для PT XDR
  3. PT Sandbox (песочница) – поддерживает гибкую кастомизацию виртуальных сред. Входит в базовый комплект компонентов для PT XDR
  4. MaxPatrol VM (управление уязвимостями) – организация процесса Vulnerability Management
  5. PT Application Firewall (WAF) – обнаружение и блокировка веб-атак: OWASP Top 10, WASC и др.
  6. PT Network Attack Discovery (NTA) – система глубокого анализа сетевого трафика для выявления атак на периметре и внутри сети. Позволяет обнаруживать активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях
  7. PT Industrial Security Incident Manager (Industrial NTA) – система непрерывного мониторинга защищенности сети АСУ ТП и обнаружения кибератак на ее компоненты. Может быть использован как компонент PT XDR для промышленных предприятий

Особенности

  1. Глубокий анализ сетевого трафика
  2. Проведение ретроспективного анализа трафика
  3. Возможность поставки как в виде железа, так и софта 
  4. Экономия ресурсов песочницы с помощью нескольких антивирусных движков (PT Multiscanner встроен в PT Sandbox)
  5. Интеграция с почтой, веб, файловыми хранилищами без дополнительных модулей, возможность ставиться в разрыв

DR.Web – vxCube
Интеллектуальный интерактивный анализатор подозрительных объектов (песочница)

Производитель: DR.Web

Возможности

  1. Удаленная онлайн-проверка подозрительных объектов на серверах «Доктор Веб»
  2. Проверка в среде, заданной пользователем
  3. Одновременный анализ одного объекта в Windows XP x32, Windows 7 x32/x64, Windows 10 x64 и в различных версиях приложений
  4. Анализ приложений для мобильной платформы Android в формате APK
  5. Анализ удаленных сетевых ресурсов на вредоносность
  6. Возможность воспроизведения действий файла
  7. Технический отчет о поведении вредоносной программы, а также карта сетевой активности
  8. Выгрузка индикаторов компрометации в STIX/MAEC, возможность загрузки .msi файлов
  9. Возможность интеграции с внутренними системами компании и получения автоматического ответа о вредоносности файла
  10. Возможность подключиться к виртуальной машине с помощью VNC-клиента (Virtual Network Computing) и влиять на процесс анализа
  11. Возможность формирования специальной утилиты на базе Dr.Web Curelt! для нейтрализации конкретной угрозы, обнаруженной в vxCube

Проверяемые объекты

  1. Исполняемые файлы JAVA/Windows/Android
  2. Файлы Acrobat Reader
  3. Скрипт-файлы
  4. Документы и служебные файлы Microsoft Office /OpenOffice

Xello Deception

Производитель: Xello

  1. Первый в России разработчик полноценного DDP-решения
  2. Легкость проведения пилота/внедрения. Достаточно двух виртуальных или физических машин, на которых располагается сервер управления и сервер ловушек. Все остальные взаимодействия происходят через Active Directory по разным сценариям
  3. Отличный результат при проведении пентестов 
  4. Dexem-приманки – запатентованная технология, которая создает реальных пользователей в Active Directory, при попытке входа на которые злоумышленник моментально себя выдает
  5. Не требуется распространение агентов или особых прав для данного решения
  6. Распространение приманок различными механизмами без применения агентов (PsExec, MS GPO, SCCM, Puppet, Ansible и т.д.)
  7. Сбор и передача данных об инцидентах в SIEM (интеграция)

5 причин, почему Anti-APT решения критически необходимы

  1. Объектами таргетированных атак становятся любые компании независимо от размера. Последние годы количество атак на российские компании увеличивается стремительно, многие хакеры даже публично заявляют о том, что их деятельность и внимание будут направлены преимущественно на российскую инфраструктуру. 
  2. АРТ-группировки совершенствуют свой арсенал. Многие из них финансируются различными государствами и имеют достаточно ресурсов на то, чтобы ежедневно развивать свой инструментарий.
  3. Компании несут огромные финансовые и репутационные потери.
  4. Цели атак меняются с финансовых, на геополитические. Все чаще кибергруппировки действуют из идеологических соображений и стремятся безвозвратно уничтожать системы.
  5. Критическая инфраструктура нуждается в мощной защите. Раньше Anti-АРТ решения приобретали в основном коммерческие фирмы, так как для госорганизаций не было требований регуляторов. Сейчас по большей части именно государственные компании являются целями атак, поэтому защита их КИИ контролируется законом.

Несмотря на острую необходимость Anti-APT решения могут позволить себе не все. Эти продукты достаточно сложны и мало приобрести их, требуется еще большая команда специалистов, которая будет заниматься настройкой и поддержкой. Как правило, стоимость таких решений относится к высокой категории. Но из решений, представленных в данном обзоре, можно выбрать вариант, подходящий целям любой компании.

Реализация Anti-APT проектов от Softline

Softline осуществляет полный цикл реализации Anti-APT проектов. После подбора подходящего решения под ваши нужды мы можем провести демонстрацию или пилотное тестирование, чтобы убедиться в эффективности решения и приступить к реализации проекта. У нас есть собственный производственный блок, сертифицированный специалистами по описанным продуктам, который разработает и спроектирует любую необходимую документацию, а также осуществит квалифицированное внедрение системы в требуемые сроки.

В Softline есть собственный Учебный центр, который поможет с обучением персонала, а также система Service Desk, круглосуточная служба техподдержки и сервисный центр, которые берут на себя поддержку и сопровождение системы после ее внедрения. Также мы предлагаем гибкую модель предоставления услуг – от внедрения и сопровождения до аутсорсинга.

Свяжитесь с нами:

Белоусова Елена, технический специалист направления «Инфраструктурная безопасность»
Тел: +7 (812) 677-44-46 ext. 5805
Email: Elena.Belousova@softline.com

Спирихин Николай, специалист по развитию решений Softline направления «Инфраструктурная безопасность»
Тел: +7 (495) 2320023 ext. 1129
Email: Nikolay.Spirikhin@softline.com

Получайте новые статьи моментально в Telegram по ссылке: https://t.me/sldonline_bot

Теги:

Новости, истории и события
Смотреть все
FinOps-платформа «Клаудмастер» перенесла разработку в «Инферит Облако» (ГК Softline)
Новости

FinOps-платформа «Клаудмастер» перенесла разработку в «Инферит Облако» (ГК Softline)

07.05.2025

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже
Новости

ПАО «Софтлайн» объявляет о приобретении свыше 1 миллиона акций Компании на Московской бирже

07.05.2025

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» с серверным оборудованием QTECH
Новости

«Инферит ОС» (ГК Softline) подтвердил совместимость ОС «МСВСфера Сервер» с серверным оборудованием QTECH

06.05.2025

Облачный провайдер ActiveCloud (ГК Softline) помог сети салонов керамической плитки мигрировать на облачный почтовый сервис SmartMail
Новости

Облачный провайдер ActiveCloud (ГК Softline) помог сети салонов керамической плитки мигрировать на облачный почтовый сервис SmartMail

06.05.2025

ГК Softline и «ОБИТ» объявляют о стратегическом сотрудничестве в области импортозамещения
Новости

ГК Softline и «ОБИТ» объявляют о стратегическом сотрудничестве в области импортозамещения

06.05.2025

Лаборатория цифровой трансформации CDTO LAB Академии Softline в третий раз удостоена Гран-При премии CDO/CDTO Awards
Новости

Лаборатория цифровой трансформации CDTO LAB Академии Softline в третий раз удостоена Гран-При премии CDO/CDTO Awards

05.05.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в XXI конгрессе «Мужское здоровье»
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в XXI конгрессе «Мужское здоровье»

30.04.2025

ГК Softline получила награду от разработчика CommuniGate Pro — компании СБК
Новости

ГК Softline получила награду от разработчика CommuniGate Pro — компании СБК

30.04.2025

«Росатом Сервис» заменил SharePoint на «Цитрос Цифровую Платформу» от компании SL Soft (ГК Softline)
Новости

«Росатом Сервис» заменил SharePoint на «Цитрос Цифровую Платформу» от компании SL Soft (ГК Softline)

30.04.2025

ГК Softline стала золотым партнером компании «Гравитон»
Новости

ГК Softline стала золотым партнером компании «Гравитон»

29.04.2025

ГК Softline стала победителем премии Team Awards
Новости

ГК Softline стала победителем премии Team Awards

29.04.2025

Сомерс (ГК Softline) внедрил подсказки для кассиров в товароучетную систему и кассовое ПО SUBTOTAL
Новости

Сомерс (ГК Softline) внедрил подсказки для кассиров в товароучетную систему и кассовое ПО SUBTOTAL

29.04.2025

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в 37-й международной выставке «Информационные и коммуникационные технологии»
Новости

Российский производитель лазерных решений VPG Laserone (ГК Softline) принял участие в 37-й международной выставке «Информационные и коммуникационные технологии»

28.04.2025

ГК Softline и Knowledge Space заключили соглашение о продвижении платформы интегрированного бизнес-планирования
Новости

ГК Softline и Knowledge Space заключили соглашение о продвижении платформы интегрированного бизнес-планирования

28.04.2025

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 1 квартал 2025 года 19 мая 2025 года
Новости

ПАО «Софтлайн» объявит основные неаудированные финансовые показатели Компании за 1 квартал 2025 года 19 мая 2025 года

28.04.2025

SL Soft (ГК Softline) и MAINTEX объявляют о сотрудничестве
Новости

SL Soft (ГК Softline) и MAINTEX объявляют о сотрудничестве

25.04.2025

Провайдер «Инферит Облако» (ГК Softline) модернизировал облачную инфраструктуру ЦОД во Фрязино
Новости

Провайдер «Инферит Облако» (ГК Softline) модернизировал облачную инфраструктуру ЦОД во Фрязино

25.04.2025

Bell Integrator (ГК Softline) разработал систему сквозного мониторинга бизнес-процессов для крупной финансовой организации
Новости

Bell Integrator (ГК Softline) разработал систему сквозного мониторинга бизнес-процессов для крупной финансовой организации

25.04.2025

Защита персональных данных: требования законодательства и способы защиты от утечек
Блог

Защита персональных данных: требования законодательства и способы защиты от утечек

06.05.2025

Как устроены цифровые двойники: этапы разработки и примеры использования
Блог

Как устроены цифровые двойники: этапы разработки и примеры использования

29.04.2025

Стратегия перехода в облако
Блог

Стратегия перехода в облако

24.04.2025

Защита данных и информации: методы, практика, стандарты и законы
Блог

Защита данных и информации: методы, практика, стандарты и законы

22.04.2025

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта
Блог

Цифровые профессии будущего: кто выживет в эпоху искусственного интеллекта

17.04.2025

Российские системы виртуализации
Блог

Российские системы виртуализации

15.04.2025

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться
Блог

DDoS-атаки: как подготовиться к внедрению защиты и с чем предстоит бороться

10.04.2025

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению
Блог

Виртуальные тренажеры для медицинского персонала: инновационный подход к обучению

08.04.2025

«Софтлайн Офис» — платформа корпоративных коммуникаций
Блог

«Софтлайн Офис» — платформа корпоративных коммуникаций

04.04.2025

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию
Блог

Оснащение школ под ключ: от проектирования до ввода в эксплуатацию

03.04.2025

Киберучения: готовим сотрудников к успешным отражениям атак
Блог

Киберучения: готовим сотрудников к успешным отражениям атак

27.03.2025

Контроль усталости водителей
Блог

Контроль усталости водителей

25.03.2025

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR
Блог

Инновации в школах в 2025 году: 3D-модели, БПЛА, роботы и VR

14.03.2025

Инвестиции в цифровизацию ритейла: стратегии 2025 года
Блог

Инвестиции в цифровизацию ритейла: стратегии 2025 года

11.03.2025

Топ-редакторы для работы с PDF — сравниваем программы
Блог

Топ-редакторы для работы с PDF — сравниваем программы

04.03.2025

Российские офисные системы: выбор и преимущества
Блог

Российские офисные системы: выбор и преимущества

03.03.2025

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры
Блог

Softline Assessment и СУБД Tantor: мощный тандем для диагностики инфраструктуры

26.02.2025

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна
Блог

Интервью ГК Softline и «Базальт СПО»: сервис Softline Enterprise Agreement — инфраструктура заказчика из единого окна

24.02.2025