Крупные компании все чаще становятся жертвами так называемых целевых атак (advanced persistent threats, APT). Это многоэтапные, тщательно спланированные кибератаки. Как показали исследования Positive Technologies, они преобладают над массовыми — их доля во II квартале 2019 года составила 59%.
В случае целевой атаки детектировать взлом удается не сразу. Для ее проведения злоумышленники часто используют специально подготовленный инструментарий, разрабатывают новые техники и эксплуатируют уязвимости нулевого дня. Атакующие закрепляются в инфраструктуре и могут долгое время оставаться незамеченными. По данным исследования Ponemon Institute за 2019 год, от момента взлома до его обнаружения в среднем проходит 206 дней.
Как злоумышленникам удается оставаться в тени так долго? Причина в том, что существующие средства защиты обнаруживают или предотвращают атаки только на определенный момент времени. Например, сетевой трафик проверяется, когда проходит через межсетевой экран, и если политики безопасности его не запрещают, то трафик считается хорошим, пропускается, и межсетевой экран тут же о нем забывает.
Но что, если злоумышленник использовал уязвимость, которая еще никому не известна? Можно ли проверить этот же сетевой трафик спустя некоторое время еще раз, но уже с учетом новой информации, используя обновленные политики безопасности? Да, это делается при помощи ретроспективного анализа.
Ретроспективный анализ — это детальное исследование образов систем, журналов событий, дампов памяти и сетевого трафика за определенный промежуток времени в прошлом с целью выявить следы компрометации. Он дает специалистам по безопасности возможность смотреть на активы предприятия так, как будто у них есть машина времени.
Такой анализ позволяет выявлять артефакты, по которым можно восстановить последовательность действий злоумышленника, определить начальный вектор проникновения и перечень скомпрометированных ресурсов. Периодическое проведение ретроспективного анализа позволяет предотвращать или минимизировать ущерб от APT-атак за счет сокращения времени присутствия злоумышленников в инфраструктуре. Это дает специалистам по ИБ возможность отреагировать на инцидент до того, как злоумышленник получит полный контроль над критически важными ресурсами.
Выполнять ретроспективный анализ могут различные классы систем безопасности. Как правило, он запускается после того, как база знаний продукта пополняется новыми данными — правилами детектирования или индикаторами компрометации. Источниками новых знаний могут быть вендор, комьюнити или сами пользователи, когда они исследуют угрозы, пишут правила и создают индикаторы.
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) используют ретроспективный анализ в системе выявления инцидентов MaxPatrol SIEM, системе защиты от вредоносного ПО PT MultiScanner и системе глубокого анализа сетевого трафика PT Network Attack Discovery. С их помощью специалисты PT ESC чаще всего выявляют такие распространенные угрозы, как несанкционированное использование ПО для удаленного администрирования, вредоносное ПО на корпоративных ресурсах, следы целевых атак известных APT-группировок, полную компрометацию корпоративной инфраструктуры, следы эксплуатации уязвимостей ПО.