Песочницы против угроз
2020 г. был связан с массовым переходом на удаленный режим работы, что перевернуло жизнь как злоумышленников, так и тех, кто им противостоит. В условиях, когда сотрудники компаний работали из дома, причем часто с использованием личных компьютеров или прочих интеллектуальных устройств, окончательно исчез корпоративный сетевой периметр, на преодоление которого злоумышленникам приходилось тратить определенные силы и ресурсы. Значительно упростилось использование средств фишинга и социальной инженерии.
Руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Вишняков обращает внимание, что злоумышленники в ушедшем году начали действовать дифференцированно: "Лидером 2020 г. по количеству атак стали операторы программ-вымогателей. Доля таких атак составила 56% среди всех инцидентов с использованием вредоносного ПО (ВПО) и нацеленных на юридических лиц. В атаках на частных лиц на первом месте находится шпионское ПО, его доля среди инцидентов с использованием ВПО составила 45%". Шифровальщики, по оценке Positive Technologies, будут доминировать и в текущем году.
Больше всего операторов программ-вымогателей, как отмечают в Positive Technologies, интересовали медицинские (20%) и государственные учреждения (19%), а также предприятия промышленности (11%). Основным каналом доставки программных зловредов остается электронная почта. На нее приходится без малого 2/3 заражений.
В текущем году самым распространенным способом доставки ВПО на устройства и в сеть жертвы будет фишинг. Реже атакующие будут прибегать к компрометации сетей путем подбора слабых паролей или эксплуатации уязвимостей в веб-серверах.
При этом многие эксперты отмечают, что злоумышленники все чаще используют для атак легитимные инструменты. Так, например, для шифрования данных часто используют такой инструмент, как Bitlocker, который является одним из компонентов Windows. Так что для противостояния угрозам обычного антивирусного ПО уже недостаточно. Необходимо использование других классов инструментов, в частности многофакторной аутентификации, своевременно устанавливать обновления системного и прикладного ПО, проводить резервное копирование, по крайней мере наиболее критичных данных, а также такие средства, как песочницы. Как отмечает руководитель направления по развитию бизнеса Positive Technologies Алексей Данилин, применение песочниц, которые исследуют подозрительные объекты в виртуальной среде, позволяет выявлять и отражать даже неизвестные угрозы. Данный инструмент все активнее используют заказчики из госсектора, промышленности, транспорта и логистики, розницы, медицины и финансового сектора.
В марте 2021 г. Positive Technologies провела опрос тех, кто использует песочницы. Алексей Данилин так прокомментировал его результаты: "Выяснилось, что самые популярные задачи, которые решают с помощью песочниц, - это проверка файлов из интернета (64%), ручные проверки (57%) и проверка электронной почты (54%). Также мы просили респондентов указать, какой функционал песочниц они определяют как самый важный. В число самых популярных ответов вошла возможность имитации реальных рабочих станций с помощью гибкой настройки (кастомизации) виртуальных сред и размещения приманок - за нее проголосовали 46% опрошенных".
В новейшей версии PT Sandbox 2.2, вышедшей весной 2021 г., появились приманки и ловушки, которые провоцируют вредоносное ПО на то, чтобы проявить свои функции. "Эффективность песочницы зависит, с одной стороны, от способности оставаться незамеченной для вредоносного ПО, а с другой - от среды, которая должна быть максимально похожа на привычное окружение пользователя, - комментирует Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center). - Зловреды чаще всего ищут интересные им файлы, работающие процессы, изменения в буфере обмена. Злоумышленникам это нужно для кражи конфиденциальной информации, а в песочницах используется как своеобразный триггер. Если в системе мало процессов, нет нужных файлов и прочих признаков работы пользователя, то ВПО просто не будет ничего делать, посчитав систему неинтересной. Развивая deception-технологии в нашей песочнице, мы побуждаем вредоносные программы к активным действиям и тем самым помогаем своевременно их выявлять, улучшая качество защиты".
При этом Денис Кораблев обращает внимание, что универсальных песочниц не существует. И каждому заказчику необходимо настраивать решение под свою модель угроз и особенности ИТ-инфраструктуры.