Anti - APT

Песочницы, также известные как "среды безопасного тестирования", являются одним из основных инструментов, используемых в области кибербезопасности, для обнаружения и предотвращения атак нулевого дня - новых и еще неизвестных вредоносных программ. Основная функция песочниц заключается в предварительном тестировании новых программ и файлов в контролируемой, изолированной среде, что позволяет определить их безопасность.

Одной из ключевых особенностей песочниц является их способность эмулировать виртуальную среду, что значительно усложняет задачу злоумышленников по обходу системы безопасности. В частности, песочницы используют методы статического анализа и сигнатурные движки для проверки легитимности программ, что позволяет снизить нагрузку на виртуальные ресурсы.

Особую актуальность песочницы приобретают в контексте использования злоумышленниками вредоносного кода в рамках легитимных программ с открытым исходным кодом (Open Source). Статический анализ таких программ может быть легко обманут, в то время как полноценная эмуляция виртуальной среды значительно усложняет эту задачу.

Решения по защите конечных точек от угроз EDR играют важную роль в обеспечении безопасности конечных устройств, собирая и анализируя данные в реальном времени для обнаружения вредоносной активности. EDR собирает информацию с рабочих станций, включая изменения в реестре, удаленные подключения и выполняемые процессы, и сравнивает ее с известными индикаторами компрометации (IoC) для выявления подозрительной активности.

Важным преимуществом EDR является то, что они могут собирать данные со всей инфраструктуры, а не только с отдельных машин, что помогает выявить более сложные угрозы, которые могут оставаться незамеченными стандартными антивирусными решениями. Например, EDR может обнаружить одновременное подключение к удаленному рабочему столу на нескольких машинах, которое классическое антивирусное решение может расценить как легитимное действие.

Кроме функции обнаружения угроз, многие EDR системы предлагают инструменты для блокировки скомпрометированных рабочих станций или их восстановления до состояния до компрометации, а также возможность проактивного поиска вредоносной активности по индикаторам компрометации (IoC). Также важны возможности записи и хранения данных об активности системы, что может быть полезно при расследовании инцидентов безопасности.

XDR (расширенное обнаружение и реагирование). Этот подход расширяет возможности EDR (обнаружение конечных точек) за счет включения большего числа источников данных. Он позволяет собирать информацию не только из конечных точек (компьютеры, серверы), но также из сетевых устройств, почтовых систем, облачных платформ, учетных записей (например, в социальных сетях) и других ресурсов. Это помогает более быстро и эффективно реагировать на возникающие угрозы.

Такое понимание XDR является классическим, однако каждый российский разработчик ПО может иметь свое представление о наборе продуктов, которые должны быть включены в решение XDR. Не все продукты, предлагаемые отдельными компаниями, напрямую связаны с технологией Anti-APT. Например, это относится к решениям класса WAF (брандмауэры веб-приложений) или SIEM (системы сбора и анализа событий информационной безопасности).

Эта система предназначена для глубокого анализа сетевого трафика с целью обнаружения атак на границе и внутри сети. Она способна выявлять активность злоумышленников, даже если трафик зашифрован. Это может включать использование хакерских инструментов, передачу данных на сервер злоумышленников и другие виды активности.

Для обнаружения атак система использует комбинацию методов обнаружения и корреляцию с тактиками и техниками, используемыми злоумышленниками. Она также опирается на матрицу MITRE ATT&CK для определения потенциальных угроз. Система способна идентифицировать множество различных протоколов, анализировать трафик до уровня L7 для наиболее распространенных протоколов, что позволяет получить детальную картину активности в инфраструктуре и обнаружить проблемы в области ИБ.

Система также может собирать информацию, необходимую для расследования инцидентов. Она предоставляет возможность получить полный обзор сети, упрощает проверку успешности атак, восстанавливает хронологию событий и собирает доказательную базу для инцидентов. Для этого она сохраняет метаданные, необработанный трафик и позволяет быстро находить и выбирать подозрительные сессии, экспортировать и импортировать трафик.

Deception - это передовая технология, которая разделяет ИТ-инфраструктуру на два уровня. Первый - это реальная инфраструктура. Второй - эмулированная среда с ловушками, размещенными на реальных физических устройствах. Если хакеру удастся обойти ложную машину и добраться до реального рабочего места или сервера, он с большой вероятностью столкнется с приманками с данными, ведущими к ловушкам. Таким образом, хакер компрометирует себя и раскрывает свое присутствие.

DDP разработан с учетом позиции хакера и поэтому он лучше других защитных средств справляется с обнаружением проникновения в инфраструктуру на ранних этапах и этапе горизонтальной миграции (Lateral Movement), когда одно рабочее место скомпрометировано и переход на соседний осуществляется. Это помогает специалистам по информационной безопасности получить преимущество перед хакерами и выиграть время для реагирования и расследований. По этой причине, технология Deception представляет собой ценное звено в интеграции с EDR, песочницами, SIEM системами, SOAR, и т. д.