Обзор российских Anti-APT решений

Объем целенаправленных атак составил 71%, по данным анализа Positive Technologies от 7 сентября 2022 года. Большая часть из них – это именно APT атаки повышенной сложности. Особенно явно их испытывают на себе госструктуры, банки, промышленность, которым в этом году приходится не только отбиваться от целенаправленных атак, но и менять для этого привычные инструменты. В обзоре описаны Anti-APT решения, подходящие для российского рынка.

• Что относится к Anti-APT решениям
  • Песочницы (Sandbox)
  • EDR (Endpoint Detection & Response)
  • XDR (Extended Detection and Response)
  • NTA (Network Traffic Analysis)
  • DDP (Distributed Deception Platform)
• Российские Anti-APT продукты
  • Kaspersky – Symphony XDR
  • Group-IB – Managed XDR
  • Positive Technologies – XDR
  • DR.Web – vxCube
  • Xello Deception
• 5 причин, почему Anti-APT решения критически необходимы
• Реализация Anti-APT проектов от Softline

Что относится к Anti-APT решениям

Российские производители предлагают решения с различной архитектурой, но в основном они включают в себя три типа технологий, которые борются со сложными атаками на разных этапах своими уникальными методами.

Песочницы (Sandbox) 

Выполняют функцию обнаружения и предотвращения угроз нулевого дня. Их основное предназначение – это предварительное открытие новых файлов и программ в специально выделенной изолированной среде с вынесением вердикта об их безопасности и легитимности. Также во многих песочницах используется предварительная проверка сигнатурными (антивирусными) движками, чтобы снизить нагрузку на виртуальные мощности. Дело в том, что статический анализ легко обмануть, а полноценную эмуляцию виртуальной среды – гораздо сложнее. Особенно это актуально сейчас, когда многие злоумышленники встраивают вредоносный код в легитимные Open Source программы. 

EDR (Endpoint Detection & Response)

Обнаруживают и изучают вредоносную активность на конечных точках. Решение в режиме реального времени собирает с рабочей станции как можно больше информации: изменения реестра, удаленные подключения, рабочие нагрузки и т.д. Если антивирусы видят только то, что происходит на конкретной машине, то EDR охватывают всю инфраструктуру. Это значит, что, к примеру, удаленное подключение, происходящее на одной машине, классическое средство защиты может посчитать легитимными. EDR же увидит, что RDP-сессии происходят одновременно на нескольких машинах, что послужит поводом для подозрения и оповещения службы безопасности. Таким образом, цепочка на первый взгляд легитимных событий при комплексном взгляде может говорить о компрометации инфраструктуры.

Помимо функции обнаружения, у многих EDR-систем есть инструменты блокирования скомпрометированной рабочей станции или ее возврата до состояния компрометации. Также с помощью этого класса решений можно выполнять проактивный поиск вредоносной активности с помощью IoC (индикаторов компрометации). Не менее ценны возможности записи и хранения информации о действиях пользователей, запущенных программах и процессах для последующего изучения и расследований.

XDR (Extended Detection and Response)

Данная технология расширяет возможности EDR за счет увеличения спектра источников данных. Она позволяет получать информацию не только с конечных точек, но и с сетевых устройств, почты, облачных ресурсов, учетных записей, индустриальных устройств и т.д. Благодаря этому XDR помогает реагировать на угрозы быстрее и эффективнее. Так выглядит данная технология в классическом понимании, но у каждого российского вендора свое видение набора продуктов для XDR, и не все решения по отдельности относятся к Anti-APT (к примеру, WAF или SIEM).

NTA (Network Traffic Analysis)

Система глубокого анализа сетевого трафика для выявления атак на периметре и внутри сети. Позволяет обнаруживать активность злоумышленников даже в зашифрованном трафике, например, применение хакерских инструментов или передачу данных на сервер атакующих. Атаки выявляются с помощью комбинации способов обнаружения и корреляции с тактиками и техниками злоумышленников, матрицей MITRE ATT&CK. Определяет множество протоколов, разбирает до уровня L7 включительно наиболее распространенных из них. Это позволяет получить подробную картину активности в инфраструктуре и выявить проблемы в ИБ, которые снижают эффективность системы безопасности и способствуют развитию атак. Также система позволяет фиксировать информацию, необходимую для расследования инцидентов, дает возможность получить полную видимость сети, упростить проверку успешности атаки, восстановить хронологию и собрать доказательную базу. Для этого система хранит метаданные и сырой трафик, позволяет оперативно находить сессии и отбирать из них подозрительные, экспортировать и импортировать трафик. 

DDP (Distributed Deception Platform)

Технология развилась из системы Honeypot, по которой хакеры заманиваются в западню с помощью целей-приманок. Так называемые «горшочки с медом» – это отдельные хосты, которые призваны привлечь внимание злоумышленников, чтобы те попытались проникнуть в сеть компании, при этом с ханипотами не ведется никаких легитимных сетевых взаимодействий. Если их атакуют, то они только фиксируют и сохраняют данные о действиях злоумышленников, чтобы в дальнейшем их можно было проанализировать. 

Deception – более продвинутая технология, которая делит ИТ-инфраструктуру на два слоя. Первый – это реальная инфраструктура, а второй – эмулированная среда, состоящая из ловушек и расположенная на реальных физических устройствах. Даже если злоумышленнику повезет, и он не попадет на фейковую машину, а доберется до реальной рабочей станции или сервера, то с большой вероятностью наткнется на приманки с данными, которые приведут его в расставленные ловушки. Таким образом хакер сам себя компрометирует и раскрывает свое присутствие. 

DDP разработана с учетом позиции злоумышленника и поэтому лучше других средств защиты справляется с обнаружением проникновений в инфраструктуру на начальных этапах и этапе горизонтального перемещения (Lateral movement), когда скомпрометировано одно рабочее место и совершается переход на соседнее. Это помогает специалистам ИБ получать преимущества перед киберпреступниками и выигрывать время на реагирование и расследования. По этой причине технология Deception служит ценным звеном в интеграции с EDR, песочницами, системами SIEM, SOAR и др.

Российские Anti-APT продукты 

Kaspersky – Symphony XDR 
Комплекс продуктовых решений – 7 подсистем + аналитика + сервисы по безопасности

Производитель: «Лаборатория Касперского» – известный российский вендор средств защиты с многолетним опытом в области ИБ, известный во всем мире.

Что входит в комплекс

1. Kaspersky Endpoint Security для бизнеса редакции «Расширенный» (EPP)
2. Kaspersky Security для виртуальных и облачных сред (VCSPP)
3. Kaspersky Endpoint Detection & Response (EDR)
   • Мониторинг и визуализация, анализ первопричин
   • Детектирование угроз, IoC, IoA, ретроспективный анализ
   • Обогащение данными MITRE ATT&CK и проактивный поиск угроз
4. Kaspersky Anti Targeted Attack (NTA+Sandbox):
   • IDS, YARA-правила, машинное обучение, URL-репутация, антивирусный движок и песочница, IoC-сканирование и IoA-анализ
   • Сбор и нормализация данных, MITRE ATT&CK
5. Kaspersky Security для почтовых серверов (SMG): 
   • Безопасный почтовый шлюз, MTA
   • Антивирусная проверка, антиспам, антифишинг
6. Kaspersky Security для интернет-шлюзов (SWG):
   • Безопасный веб-шлюз, прокси
   • Антивирусная проверка, антифишинг, URL-фильтрация, поддержка ICAP
7. Kaspersky Unified Monitoring and Analysis Platform – KUMA (SIEM-система)
8. Kaspersky Automated Security Awareness Platform – KASAP (Security Awareness – инструментарий для повышения осведомленности)
9. Kaspersky: Threat Loop, Threat Data Feeds и CyberTrace (дополнительная аналитика, фиды, обогащение информацией об угрозах).

Особенности

1. Расширенные возможности защиты:
   • Сбор и нормализация данных
   • Мониторинг, корреляция и обнаружение
   • Расследование и проактивный поиск
   • Реагирование
2. Машинное обучение и URL-репутация
3. Сопоставление в MITRE ATT&CK
4. Включена функциональность платформы Threat Intelligence и потоки данных об угрозах
5. Включено повышение осведомленности сотрудников
6. Включен модуль ГосСОПКА для автоматического взаимодействия с НКЦКИ
7. Возможна интеграция с ИБ-решениями сторонних поставщиков

Group-IB – Managed XDR 
Комплекс продуктовых решений – 4 подсистемы + аналитика + сервисы по безопасности

Производитель: Group-IB

Что входит в комплекс

1. Защита почты (Business Email Protection):
   • Обнаружение и предотвращение доставки ВПО, спама, BEC-атак
   • Детонация и анализ файлов и ссылок в изолированных средах
   • В облаке или on-premise (в разработке, Q42022)
2. Анализ сетевого трафика (NTA):
   • Детект аномалий и горизонтального перемещения по сети
   • Анализ файлов и ссылок, извлеченных из сетевого и почтового трафика, файловых хранилищ и прокси-серверов
   • Детект скрытых каналов коммуникации с командными серверами атакующих
3. Защита конечных станций и реагирование (EDR):
   • Детект атак на уровне хостов, сигнатурного и поведенческого анализа
   • Блокировка запуска файлов, остановка процессов, изоляция хоста от сети, консоль реагирования
4. Платформа детонации вредоносного ПО:
   • Извлечение объектов для анализа из трафика, хостов и ручная загрузка объектов
   • Предотвращение доставки вредоносных файлов и ссылок до конечных пользователей
   • Подробные отчеты с процессами и сетевой активностью
5. Озеро данных XDR:
   • Интеграция с Threat Intelligence, графовый анализ TI
   • Загрузка объектов для детонации
   • Охота за угрозами по сырым логам и событиям

Особенности

1. Собственная база по работе с инцидентами предоставляется безвозмездно
2. Совместная работа с экспертами, охотниками за угрозами и аналитиками
3. Цифровая криминалистика
4. Рекомендации по реагированию на инциденты и по восстановлению

Positive Technologies – XDR
Комплекс продуктовых решений – 7 подсистем + аналитика + сервисы по безопасности

Производитель: Positive Technologies

Что входит в комплекс

1. PT Endpoint Detection & Response (EDR) – обеспечивает выявление угроз и реагирование на конечных точках организации. Входит в базовый комплект компонентов для PT XDR
2. MaxPatrol SIEM (SIEM-система) – система мониторинга событий ИБ и выявления инцидентов. Входит в базовый комплект компонентов для PT XDR
3. PT Sandbox (песочница) – поддерживает гибкую кастомизацию виртуальных сред. Входит в базовый комплект компонентов для PT XDR
4. MaxPatrol VM (управление уязвимостями) – организация процесса Vulnerability Management
5. PT Application Firewall (WAF) – обнаружение и блокировка веб-атак: OWASP Top 10, WASC и др.
6. PT Network Attack Discovery (NTA) – система глубокого анализа сетевого трафика для выявления атак на периметре и внутри сети. Позволяет обнаруживать активность злоумышленников даже в зашифрованном трафике и помогает в расследованиях
7. PT Industrial Security Incident Manager (Industrial NTA) – система непрерывного мониторинга защищенности сети АСУ ТП и обнаружения кибератак на ее компоненты. Может быть использован как компонент PT XDR для промышленных предприятий

Особенности

1. Глубокий анализ сетевого трафика
2. Проведение ретроспективного анализа трафика
3. Возможность поставки как в виде железа, так и софта 
4. Экономия ресурсов песочницы с помощью нескольких антивирусных движков (PT Multiscanner встроен в PT Sandbox)
5. Интеграция с почтой, веб, файловыми хранилищами без дополнительных модулей, возможность ставиться в разрыв

DR.Web – vxCube
Интеллектуальный интерактивный анализатор подозрительных объектов (песочница)

Производитель: DR.Web

Возможности

1. Удаленная онлайн-проверка подозрительных объектов на серверах «Доктор Веб»
2. Проверка в среде, заданной пользователем
3. Одновременный анализ одного объекта в Windows XP x32, Windows 7 x32/x64, Windows 10 x64 и в различных версиях приложений
4. Анализ приложений для мобильной платформы Android в формате APK
5. Анализ удаленных сетевых ресурсов на вредоносность
6. Возможность воспроизведения действий файла
7. Технический отчет о поведении вредоносной программы, а также карта сетевой активности
8. Выгрузка индикаторов компрометации в STIX/MAEC, возможность загрузки .msi файлов
9. Возможность интеграции с внутренними системами компании и получения автоматического ответа о вредоносности файла
10. Возможность подключиться к виртуальной машине с помощью VNC-клиента (Virtual Network Computing) и влиять на процесс анализа
11. Возможность формирования специальной утилиты на базе Dr.Web Curelt! для нейтрализации конкретной угрозы, обнаруженной в vxCube

Проверяемые объекты

1. Исполняемые файлы JAVA/Windows/Android
2. Файлы Acrobat Reader
3. Скрипт-файлы
4. Документы и служебные файлы Microsoft Office /OpenOffice

Xello Deception

Производитель: Xello

1. Первый в России разработчик полноценного DDP-решения
2. Легкость проведения пилота/внедрения. Достаточно двух виртуальных или физических машин, на которых располагается сервер управления и сервер ловушек. Все остальные взаимодействия происходят через Active Directory по разным сценариям
3. Отличный результат при проведении пентестов 
4. Dexem-приманки – запатентованная технология, которая создает реальных пользователей в Active Directory, при попытке входа на которые злоумышленник моментально себя выдает
5. Не требуется распространение агентов или особых прав для данного решения
6. Распространение приманок различными механизмами без применения агентов (PsExec, MS GPO, SCCM, Puppet, Ansible и т.д.)
7. Сбор и передача данных об инцидентах в SIEM (интеграция)

5 причин, почему Anti-APT решения критически необходимы

1. Объектами таргетированных атак становятся любые компании независимо от размера. Последние годы количество атак на российские компании увеличивается стремительно, многие хакеры даже публично заявляют о том, что их деятельность и внимание будут направлены преимущественно на российскую инфраструктуру. 
2. АРТ-группировки совершенствуют свой арсенал. Многие из них финансируются различными государствами и имеют достаточно ресурсов на то, чтобы ежедневно развивать свой инструментарий.
3. Компании несут огромные финансовые и репутационные потери.
4. Цели атак меняются с финансовых, на геополитические. Все чаще кибергруппировки действуют из идеологических соображений и стремятся безвозвратно уничтожать системы.
5. Критическая инфраструктура нуждается в мощной защите. Раньше Anti-АРТ решения приобретали в основном коммерческие фирмы, так как для госорганизаций не было требований регуляторов. Сейчас по большей части именно государственные компании являются целями атак, поэтому защита их КИИ контролируется законом.

Несмотря на острую необходимость Anti-APT решения могут позволить себе не все. Эти продукты достаточно сложны и мало приобрести их, требуется еще большая команда специалистов, которая будет заниматься настройкой и поддержкой. Как правило, стоимость таких решений относится к высокой категории. Но из решений, представленных в данном обзоре, можно выбрать вариант, подходящий целям любой компании.

Реализация Anti-APT проектов от Softline

Softline осуществляет полный цикл реализации Anti-APT проектов. После подбора подходящего решения под ваши нужды мы можем провести демонстрацию или пилотное тестирование, чтобы убедиться в эффективности решения и приступить к реализации проекта. У нас есть собственный производственный блок, сертифицированный специалистами по описанным продуктам, который разработает и спроектирует любую необходимую документацию, а также осуществит квалифицированное внедрение системы в требуемые сроки.

В Softline есть собственный Учебный центр, который поможет с обучением персонала, а также система Service Desk, круглосуточная служба техподдержки и сервисный центр, которые берут на себя поддержку и сопровождение системы после ее внедрения. Также мы предлагаем гибкую модель предоставления услуг – от внедрения и сопровождения до аутсорсинга.

Свяжитесь с нами:

Белоусова Елена, технический специалист направления «Инфраструктурная безопасность»
Тел: +7 (812) 677-44-46 ext. 5805
Email: Elena.Belousova@softline.com

Спирихин Николай, специалист по развитию решений Softline направления «Инфраструктурная безопасность»
Тел: +7 (495) 2320023 ext. 1129
Email: Nikolay.Spirikhin@softline.com

Получайте новые статьи моментально в Telegram по ссылке: https://t.me/sldonline_bot