Атаки на SCADA-систему Siemens с помощью «уранового» вируса Stuxnet и взлом серверов RSA породили к жизни новый маркетинговый термин в области информационной безопасности — APT (Advanced Persistent Threat), что можно перевести как «постоянно совершенствуемая угроза». Разбору того, что такое APT, был посвящен очередной семинар «Advanced Persistent Threat: белые пятна на карте информационной безопасности», который в ассоциации профессионалов в области информационной безопасности RISSPA провели 20 июня.
Мария Сидорова и Михаил Кондрашин из компании APL обсуждают особенности APT-атак |
По мнению Марии Сидоровой, заместителя руководителя направления "Защита виртуальных инфраструктур» компании "Код безопасности", пока общего понимания термина APT не сложилось, но тем не менее определенные его характерные особенности сформулировать можно. Атаки данного типа, как правило, направлены против госструктур, крупных коммерческих компаний или популярных людей. При этом хакеры пробуют на атакуемых системах наиболее современные приемы нападения. Цель такой активности — взлом защиты и получение контроля над уникальной информацией или системой. При этом злоумышленники идут порой на гигантские траты для достижения цели. Как правило, целенаправленные атаки долго готовятся, а выполняются быстро и скоординированно, а если оказываются неудачными, злоумышленники повторяют их вновь и вновь, пока не достигнут цели или не утратят мотивации.
Перечисленные характеристики позволяют заключить, что APT является полной противоположностью массовых вирусных атак, основная цель которых — получение прибыли. Если потенциальная жертва сопротивляется, то из обширного списка попросту выбирается другая. Поэтому традиционные средства защиты от массовых атак — такие, как антивирусы, межсетевые экраны или средства предотвращения вторжений — могут не защитить от атак целенаправленных. Впрочем, компоненты массовых атак, например конструкторы вредоносных программ, вполне могут быть задействованы при организации APT, и история со Stuxnet служит тому подтверждением.
Концепция APT была впервые сформулирована в июле 2009 года. Через год, с появлением вируса Stuxnet, термин APT применили и к нему, хотя и не в официальных документах. Вирус являлся саморазмножающимся, однако атака в целом имела конкретную цель — взять под контроль управление принадлежащими Ирану центрифугами, обогащающими уран. В официальные сообщения термин APT попал нынешней весной, во время взлома серверов RSA — специалисты компании признали, что против них были использованы такого рода методы проникновения.
Термин APT может означать любую комплексную атаку, в которой, кроме технических методов проникновения, используется также социальная инженерия и даже приемы промышленного шпионажа. Само проникновение происходит по компьютерным каналам, но нападающий может знать практически любые секреты, которые доступны сотрудникам компании. Иногда атака выполняется в несколько этапов, когда результаты одного из них используются для проведения следующего. Например, после взлома RSA хакеры использовали полученные ими секреты для атаки на системы «клиент-банк». Конечно, аналогичные атаки случались и до появления термина — атаку на почтовые ресурсы Google, получившую известность под кодовым названием Aurora, задним числом причислили к APT. Да и сам автор термина «социальная инженерия» Кевин Митник использовал именно комплексные методы нападения, так что термин скорее является новым обозначением старых проблем.
Поскольку при APT используются не только технические приемы, то и защититься от атак такого типа чисто программным средствами не получается. Для защиты от социальной инженерии достаточно обучить общающихся с внешним миром сотрудников методам защиты от обмана и внедрить строгие регламенты на доступ к секретам, а от промышленного шпионажа может помочь только специальная служба контрразведки. В то же время в APT всегда есть и техническая составляющая, обнаружение которой возможно с помощью специальных технических средств. Анализировать аномальные события и адекватным образом реагировать на них позволяет специальный класс инструментов — NAV (Network Analysis & Visualization) или NSM (Network Security Monitoring). К примеру, для атаки на RSA использовался файл Microsoft Excel со встроенным в него Flash-роликом, эксплуатировавший неизвестную уязвимость. Анализаторы способны заметить подобное странное вложение и заблокировать его или отправить на дополнительное обследование. Продукты этих категорий только начинают завоевывать свое место на отечественном рынке информационной безопасности.