ГлавнаяИнтервьюМушвиг Мамедов: «Традиционных методов защиты от проникновения в корпоративную сеть сегодня недостаточно. Нужно применять комплексные подходы»

Мушвиг Мамедов: «Традиционных методов защиты от проникновения в корпоративную сеть сегодня недостаточно. Нужно применять комплексные подходы»

Как показало исследование «Лаборатории Касперского», 38% компаний в мире сталкивались с целевыми атаками. О существующих методах защиты рассказывает официальный представитель «Лаборатории Касперского» в Азербайджане Мушвиг Мамедов.

— Какова на сегодняшний день динамика целевых атак и на какие компании они направлены?

— Количество целевых атак растет, как и их сложность. Некоторые группировки обладают богатыми возможностями и широчайшим арсеналом, включающим эксплойты нулевого дня и бесфайловые средства атаки (вредоносные программы, скрывающиеся в оперативной памяти).

Мы видим атаки на поставщиков и третьих лиц. В последние годы наши эксперты прогнозировали появление серьезных вредоносных программ, работающих под UEFI — это прослойка между аппаратной частью машины и операционной системой. Вирус, работающий в UEFI, может обойти многие защитные средства, т.к. может загружаться даже раньше операционной системы. В 2018 такая угроза была обнаружена в реальных атаках.

Среди целей злоумышленников как государственные, так и частные организации из очень широкого спектра отраслей: телекоммуникации, энергетика, фармацевтика, финансовый сектор, юриспруденция и т.д. Для целевых атак уязвимы любые элементы корпоративной сети, но, как правило, атаки направлены на самое слабое звено. Причем очень часто применяются техники социальной инженерии.

— Можно ли полностью защититься от целевых атак, и какие инструменты помогают выявить неизвестные ранее атаки на ранних стадиях?

— Полностью защититься от целевых атак, конечно, нельзя. Но можно значительно усложнить злоумышленникам проникновение в корпоративную сеть и сократить время обнаружения целевой атаки. Традиционных методов защиты для этого недостаточно — нужно применять комплексные подходы. В нашем портфолио представлена платформа Kaspersky Anti Targeted Attack, которая предназначена для обнаружения сложных компьютерных атак. Комплексная киберзащита включает анализ сетевого трафика, облачные технологии, «песочницу» — изолированный компьютер, на котором потенциально вредоносная программа запускается в специально созданном окружении (так мы анализируем ее активность). Обязательное применение в защите нашли и такие продвинутые технологии, как машинное обучение и поведенческий анализ. «Мозгом» нашего защитного решения является анализатор, который мониторит всю сеть и «дирижирует» своими компонентами. Так, сенсоры на компьютерах корпоративной сети присылают статистику о том, что у них происходит на центральном узле, где анализатор агрегирует события и коррелирует их. Допустим, он обнаружил, что файл на определенной машине подозрительный. Анализатор забирает файл с этой машины и отправляет его в «песочницу», чтобы выполнить дополнительную проверку. Если файл и в «песочнице» демонстрирует подозрительное поведение, то анализатор признает его вредоносным. При этом у анализатора есть исторические данные обо всех объектах, которые приходили со всех точек сбора информации. Так что признав новый объект вредоносным, он может посмотреть в базе, были ли похожие. Таким образом он может обнаружить компоненты угрозы, которые остались незамеченными другими защитными механизмами.

— Как работает модуль поведенческого анализа угроз?

— В отличие от «песочницы», он работает на компьютерах реальных пользователей. Когда пользователь запускает новый объект, активируется запись и выполненные действия сравниваются с экспертными правилами, а также проверяются моделью машинного обучения. Задача здесь — принять решение о том, вредоносный объект или нет как можно быстрее, чтобы он не успел нанести ущерб. Для этого, модели обучаются на множестве разноплановых вредоносных и чистых объектов и учатся выделять их свойства. Мы применяем разные методы машинного обучения в наших решениях, в частности, глубокое обучение используется в модуле поведенческого анализа угроз.

— Какие требования учитываются при разработке этих методов?

— Не только для машинного обучения, но и для любых методов очень важно поддерживать низкий уровень ложных срабатываний. Потому что каждое из них приводит к ущербу — простоям или необходимости восстановить работоспособность системы. Это влияет на нашу репутацию и доверие клиентов. Поэтому важно соблюдение баланса между способностью обобщать информацию и сохранением очень низкого уровня ложных срабатываний. Нам это удается, и результаты многочисленных независимых тестов это подтверждают. Защита от ложных срабатываний в продуктах «Лаборатории Касперского» эшелонированная — если один способ не сработает, то сработает другой, мы не дадим нанести ущерб.

Также очень важна интерпретируемость результатов. Необходимо понимать, за что модель признает тот или иной объект вредоносным, чтобы эффективнее обучать ее.

А поскольку злоумышленники постоянно работают над обходом средств защиты, рассчитывать на долговременный эффект обученной модели не стоит. Элементы многослойной защиты, которые перекрывают друг друга, необходимо постоянно перевыпускать, дообучая их на новых данных.

— Как работает облачная инфраструктура для сбора и анализа данных с компьютеров участников из разных стран мира?

— В продуктах «Лаборатории Касперского» применяется машинное обучение в облаке и в локальной версии защитного решения. В последнем случае мы применяем компактные и эффективные модели, которые могут обнаруживать угрозы без доступа к интернету. При этом когда антивирус проверяет какой-то новый объект, он обращается в облако и запрашивает репутацию этого объекта. И здесь используются уже большие модели машинного обучения.

В наше облако поступают данные от наших антивирусных продуктов с регионов всего мира. Чем больше сенсоров и больше географическая распределенность, тем лучше для моделей машинного обучения. Ведь в некоторых регионах есть очень специфические угрозы (например, в Китае или Бразилии). Миллиарды метаданных о разных объектах накапливаются в наших инфраструктурных экспертных системах. Одна из таких систем Astraea работает с метаданными и может обнаруживать новые угрозы по статистике, файловые объекты ей не нужны. Экспертная система составляет рейтинг опасности каждого известного ей объекта, и когда этот рейтинг превышает определенный порог, объект признается вредоносным.

— Есть ли специфические для Азербайджана угрозы? Каких атак стоит опасаться потребителям?

— В Азербайджане много программ, атакующих финансовые сервисы. Распространены атаки на обычных пользователей шифровальщиками. Начинают распространяться мобильные троянцы, например — банковский троян, распространяющийся через ссылки в SMS. После того как телефон заражен, вирус начинает рассылать по всей адресной книге вредоносные ссылки и даже может скрыть факт отправки сообщения с этого телефона. Программа получает контроль над всеми SMS, а значит может перехватывать банковские коды и даже подавлять работу банковских приложений. Поэтому необходимо устанавливать надежный антивирус для защиты всех устройств, включая мобильные.

Eurodesign строит стабильную оптическую транспортную сеть для ОАО «AzərEnerji»
Huawei представила флагманский планшет MatePad Pro
Оформление подписки
Оформить подписку на журнал InfoCity вы можете заполнив приведенную
ниже форму. Стоимость одного выпуска — 2 маната.
Ваше имя
Адрес доставки журнала и номер телефона для контактов
Число месяцев подписки
Благодарим вас за подписку!