Портал по безопасности.
Проекты систем безопасности Типовые решения систем безопасности Чертежи и схемы подключений

Присоединяйтесь к нам в соц. сетях:

ГлавнаяНовостиПресс-релизы
APT атаки и как от них защититься
Мобильная версия
Вход в личный кабинет
Регистрация, нас уже 5024
 - События которые нельзя пропустить
  • Вся информация в один клик

APT атаки и как от них защититься (1638)

Опубликовано: 11.05.2012 в 11:01

APT – не просто атака, это принцип любой атаки, ее парадигма и структура.
для APT характерно:
• Атака группы лиц, распределение ролей.
• Индивидуальный подход в зависимости от степени защищенности выбранной компании или сектора производства.
• Полный контроль над жертвой, использование всех имеющихся средств.
• Атакующие вернутся, даже если вы сможете успешно противостоять им после взлома.
• Тщательная маскировка присутствия, адаптация к контрмерам, отсутствие у антивирусных вендоров информации о методах атакующих.
• Сбор данных о вашей компании (персонал, инфраструктура, программное обеспечение), продуманная социальная атака.
• Использование ваших клиентов, контрагентов, доверенных адресатов – изучение границ инфраструктуры.

Мы установим полезные системы-ловушки (honeypot) – так вы всегда сможете узнать о незаконном вторжении в систему».

• Наблюдение за жертвой в режиме реального времени.
Сегодня, вместе с Сигнум Консалтинг, вы сможете узнать, о том, какие бывают ATP атаки, и главное – как защитить от них свою компанию.
Типичные способы APT и варианты защиты
Способ № 1
Например: на почту сотрудника компании приходит письмо с документом, использующим слабые места какой-нибудь программы, (это может быть, например - текстовый редактор или почтовый клиент). Также жертву можно заманить на сайт угрожающий браузеру или плагинам - java, javascript, flash.
Считается, что в таких атаках используют неизвестные уязвимости, хотя это не так: в основном, обновление, защищающее используемые слабые места доступно уже несколько месяцев или даже лет.
Альтернативные платформы не защищены от APT атак и также уязвимы – на что ясно указывает случай массового заражения MacOS X компьютеров через слабые места Java.
Способ № 2
Атаковать внешние сервисы – например, сайт вашей компании.
Методы защиты: мы предлагаем 1) актуальные обновления; 2) поместить систему в изолированную демилитаризованную зону (DMZ) - обеспечит только односторонние соединения со стороны корпоративной сети; 3) специальные аккаунты для управления внешними системами (нельзя применить для входа в основную сеть) – хорошая мера для задержки атак, но даже если произошел взлом – у вас будет время для контрудара. Сигнум Консалтинг обеспечит продуманную, тщательно структурированную защиту, даже от внезапной и спланированной атаки.
Способ № 3
У здания жертвы разбрасываются разные носители данных с вредоносным кодом. Злоумышленники могут запустить вражеское ПО или атакующее микро-оборудование внутри инфраструктуры жертвы.
Методы защиты: Сигнум Консалтинг предлагает запретить подключение внешних носителей, отключить от сети неавторизованные устройства, с помощью Software Restriction Policy, Applocker заблокировать исполнения ПО не входящего в список доверенного.
На собственном опыте (а мы работаем с клиентами уже 6 лет) наша компания убедилась, что правильное следование политикам информационной безопасности успешно противодействует APT атакам, в чем вашей компании и поможет Сигнум Консалтинг, если вы обратитесь к нам, чтобы не допустить утечки информации и со всех сторон надежно защитить «важные» файлы.
Защититься от атак поможет лишение пользователей привилегий локального администратора. В 2010 году BeyondTrust тестировали уязвимости в продуктах Microsoft: исследование показало, что работа «стандартного», а не привилегированного пользователя упраздняет 75% критических уязвимостей Windows 7, 100% уязвимостей Microsoft Office и 100% уязвимостей IE.
Для борьбы с атаками Сигнум Консалтинг рекомендует инструмент EMET с технологиями ASLR, DEP, SEHOP - защита уже установленных на системном уровне приложений, а также устаревших, но еще используемых. Для тестирования EMET Microsoft атаковала свои приложения и ОС при помощи 184 популярных эксплоитов не устанавливая системных обновлений. Вывод: EMET показывает хорошие результаты и существенно снижает риски.
Сигнум Консалтинг проследит за своевременным обновлением ПО на ПК, мобильных системах и серверах организации – и не только ПО от Microsoft, но и ПО от третьих сторон, содержащее, по статистике Secunia 78% уязвимостей, которым подвергается типовой Windows ПК.
Сергей Петров, координатор по внедрению проектов компании "Сигнум Консалтинг: « Мы можем поместить все системы, не соответствующие политикам безопасности в изолированную карантинную сеть, где они будут приведены в соответствие политикам. После того, как атакующие закрепятся в вашей системе, они начнут собирать хеши паролей пользователей для атаки pass the hash. Атака производится, пока не будут обнаружены хеши привилегированных пользователей – атакующим нужны для работы права администратора. Так что, в принципе здесь Сигнум Консалтинг предлагает простое решение - ограничение прав пользователя. Мы установим полезные системы-ловушки (honeypot) – так вы всегда сможете узнать о незаконном вторжении в систему».
Отследить активность злоумышленников можно с помощью систем корреляции событий безопасности SIEM.
Проблема: Контролируемое извне вредоносное ПО сразу после установки пытается связаться с контрольным центром, периодически повторяя попытки. Если атака удалась – данные организации изымаются – а это означает создание исходящих соединений из вашей инфраструктуры. Передаваемые данные кодируются и упаковываются в стандартные протоколы http, https, ftp, dns.
Защита: Сигнум Консалтинг обеспечит необходимую проверку передаваемых наружу данных. Мы сможем отследить и проконтролировать, в каком формате передаются данные, например: на вашем прокси-сервере аномальное количество rar архивов, а стандарт архивирования в компании - zip или arj, значит - есть угроза безопасности.
Проблема для ИБ - большое число сотрудников с привилегиями. Во многих случаях именно ИТ-персонал – злостный нарушитель политик безопасности: использование серверов для проверки почты и выхода в сеть, несоблюдение политик сложности и частоты паролей.
Защита: Сигнум Консалтинг обеспечит аудит ИБ Active Directory c помощью Microsoft ADRAP. Также потребуется сократить привилегии, ролевое делегирование прав доступа.
Проблема - отсутствие грамотной структуры доменов AD и сегментирования сети, единого управления ИБ: сети многих крупных компаний разрослись и часто находятся в состоянии хаоса.
Решение: категоризация и разграничение инфраструктуры с помощью IPsec и механизма Server and Domain isolation позволит обмениваться данными с критическим системами только тем, кому это необходимо.
Сигнум Консалтинг поможет вашей компании изолировать сервера и ПК с самыми ценными данными, так чтобы они были доступны только членам определенной группы AD, с компьютеров в определенных зданиях при условии успешной аутентификации по паролю и смарт-карте. Самые ценные данные по R&D проектам мы предлагаем поместить в специальный сегмент сети с воздушным зазором, доступ к которому извне невозможен в принципе.
Для того чтобы ваша компания могла успешно отражать APT атаки, лучше обратиться к профессионалам.
Сигнум Консалтинг – это
Знание проблемы ИБ изнутри. Мы в курсе того, как именно будут действовать злоумышленники – нам известны схемы, тонкости и нюансы работы атакующих.
Большой опыт защиты предприятий от разных видов атак.
Мы следим за актуальными технологиями в области информационной безопасности. Новейшее программное обеспечение и своевременные обновления.
Мы разрабатываем политики информационной безопасности индивидуально, учитывая слабые стороны ИБ вашей компании.
Наши контакты:
ООО «Сигнум»
г. Санкт-Петербург
Телефон: (812) 677 25 50
Email: office@signumgroup.ru
Web: www.signumgroup.ru






Комментарии
- Комментариев нет -

Оставить свой комментарий

Другие новости
Руководителям баз (стоянок) маломерных судов напомнили об ответственности
Начальником управления МЧС по Воронежской области Кобзевым И.И. и старшим помощником Воронежского транспортного прокурора Бавыкой В.А. была проведена встреча с руководителями сооружений (баз), предназначенных для... Подробнее
Финляндия впервые приняла решение представить свою экспозицию на выставке «Комплексная безопасность»
Это будет общая композиция ведущих компаний Финляндии, готовых продемонстрировать все свои новинки. Одним из таких производителей является компания HT Engineering Ltd., специализацией которой является проектирование и... Подробнее
СПКБ Техно. LTx - кабели нового поколения. Пространство новых возможностей.
Завод по производству кабелей специального назначения «СПКБ Техно» приступил к серийному выпуску силовых низкотоксичных кабелей и низкотоксичных кабелей для систем охранно-пожарной сигнализации и передачи... Подробнее

Подписаться на публикацию новых новостей.
Читать последние Новости.

Дополнительно

Скачать последний проект
Система пожаротушения складов сахара на основе модульной ТРВ

Система пожаротушения строится на оборудовании НВП Болид. Входящая в систему пожарная сигнализации...
Скачать проект (5,81 Мб)
Последние статьи
Резервное копирование и восстановление данных
В этой статье мы поговорим о резервном копировании, как это правильно делать и для...
Двухступенчатая верификация
В этой статье мы поговорим о двухступенчатой верификации, более надежном способе защиты, чем пароль...
© 2006—2017   ООО «Гермион»

При использовании материалов с сайта,
активная ссылка на портал обязательна.
Выбрать кнопку для своего сайта.

тел. (960) 510-55-00