Әдебиеттер:
http://www.msiit.ru/x/miszki/index.html сайты
Лекция 2. Кеңейтілген тұрақты қауіп
Кеңейтілген тұрақты қауіп APT (Advanced persistent Threat) — бұл кәсіпорынның мақсатты инфрақұрылымын бақылауға бағытталған күрделі, дамыған және тұрақты шабуыл. Ол әдетте жасырын ену үшін қолданылатын ақпаратты қорғау құралдарына бейімделумен жүзеге асырылады-бұл шабуылдаушыларға жұқтырған жүйені мүмкіндігінше ұзақ уақыт бақылауға мүмкіндік береді. APT жақсы қорғалған жүйелерге мақсатты шабуылдарда қолданылады, мұнда қарапайым бағытталған шабуыл әдістері жұмыс істемейді немесе шабуылдаушыны тез шығаруы мүмкін.
APT бірнеше айға созылады, оның барысында антивирустармен ұсталмайтын арнайы бағдарлама жазылады, ол кәсіпорынның мақсатты желісіне қосылады − құпия ақпаратты ұрлау немесе диверсияға дайындық біртіндеп жүреді. Автоматтандырылған қорғаныс жүйелерінің көмегімен мұндай шабуылдарға қарсы тұру мүмкін емес-мұндай кәсіби бұзу олар үшін байқалмайды. Олармен тек арнайы қарсы топтардың күшімен күресуге болады.
Тіпті ақпараттық қауіпсіздік қызметкерлерінің керемет дайындығы және ақпаратты қорғаудың ойластырылған әдіснамасы APT шабуылын анықтауға кепілдік бере алмайды. Желідегі оқиғалардың барынша жан-жақты талдауы мен корреляциясын қолдану тиімдірек, бұл APT шабуылдары мен құпия деректерді желіден тыс шығаруға тырысуды көрсететін аномалды мінез-құлықты анықтауға көмектеседі.
Мақсатты APT шабуылының жалпы схемасы.
Мақсатты шабуылдардың сипаттамалық белгілері:
ұзақ уақыт бойы шабуылдың ұзақтығы. Анықталған мақсатты шабуылдардың кейбір түрлері бірнеше жылға созылды;
зиянкестердің мотивациясы мен біліктілігінің жоғары деңгейі;
ақпаратты қорғаудың қолданыстағы құралдарын айналып өту мүмкіндігі, мысалы, бағдарламалық жасақтамада және жасырын басқару арналарында бұрын белгісіз осалдықтарды пайдалану арқылы.
Шабуылдардың басқа түрлерінен айырмашылықтар:
Шабуылшылар тобы;
Әр шабуылға жеке көзқарас;
Әлеуметтік инженериямен бірге ескі осалдықтарды, 0-күндік осалдықтарды пайдалану;
Мақсаты-құнды немесе құпия ақпаратты алу;
Жәбірленушінің инфрақұрылымына толық қол жеткізіңіз;
Периметрді бұзу әрекеті сәтсіз болған кезде тоқтамаңыз;
Олардың қатысуын ұзақ және мұқият жасырыңыз;
Салынған инвестицияларды қайтаруға көңіл бөлмейді;
Қайтарылады.
Мақсатты шабуылдардың алдын алу үшін ақпаратты қорғау бойынша іс-шаралар кешенін жүргізу қажет, оған Келесі құрамдастар кіреді:
1) процесс компоненті:
Бағдарламалық жасақтаманы уақтылы жаңарту;
Ақпараттық қауіпсіздік саясатын басқару;
Операциялық жүйелер мен бағдарламалық қамтамасыз ету конфигурацияларын орталықтандырылған басқару;
Осалдықтарды басқару.
2) Техникалық құрамдас бөлік:
Осалдық сканерлері;
IDS\IPS;
"Тұзақтар" жасау-Honeypots ;
SIEM;
Екі факторлы аутентификация;
Вирусқа қарсы қорғауды бақылау;
DLP.
3) ұйымдастыру құрамы:
Ақпараттық қауіпсіздіктің сыртқы және ішкі аудиті, ену тестілері;
Инциденттерді басқару;
Қызметкерлерді оқыту;
Қауіп-қатерлерге уақтылы жауап беру, ақпараттық қауіпсіздік қызметкерлерінің қырағылығы.
Достарыңызбен бөлісу: |