Защита от направленных атак

Сложные направленные атаки - Advanced Persestent Threats, APT - это общее название способов обхода систем безопасности, используемых злоумышленниками для целенаправленного проникновения в выбранную организацию для кражи данных и извлечения финансовой выгоды.
Современные решения, ориентированные на противодействие направленным атакам, реализуют методы бессигнатурного анализа и обнаружения вредоносного кода и используют системы оперативного обмена информацией между средствами информационной безопасности для сокращения времени реакции на обнаруженные атаки.

Для направленных атак характерно согласованное применение различных методов проникновения и повышенное внимание к обходу традиционных систем защиты, что делает атаки APT особенно сложными для обнаружения.

Целевым атакам подвердаются организации, обладающие особо ценной информацией - силовые ведомства, инфраструктурные, финансовые и производственные структуры, крупные государственные и коммерческие компании, политические институты.
Для направленных атак характерно применение методов социальной инженерии для проникновения в сеть организации, использование единичных экземпляров вредоносного кода для обхода сигнатурных сканеров, максимально долгое пребывание в инфраструктуре организации, часто в "спящем" режиме.

Несмотря на то, что направленные атаки сложно обнаружить, хакеры не могут полностью скрыть свои действия. Изучение незнакомого кода в контролируемом окружении (в "песочнице"), обнаружение аномалий в характере трафика, организация взаимодействия между средствами информационной безопаности и регулярный мониторинг подозрительных событий сотрудниками службы информационной безопасности создают надежную основу для отражения направленных атак.

Решение McAfee Advanced Threat Defense (ATD) обнаруживает направленные атаки и активирует интегрированные средства защиты для немедленного реагирования на угрозу. В отличие от стандартных решений типа «песочница», система использует расширенные инструменты обнаружения угроз. 

Самообучающийся защитный экран уровня приложений для выявления и блокирования современных атак на веб-порталы, ERP-системы и мобильные приложения. PT AF создает статистическую модель функционирования приложения и на ее основе выявляет аномальное поведение, что позволяет блокировать атаки нулевого дня.
Предобученные модули PT AF для ERP-систем, интернет-банкинга, телекомов, порталов госуслуг и СМИ обеспечивают повышенную безопасность критически важных инфраструктур c учетом отраслевых особенностей.
С помощью корреляционного анализа PT AF отсеивает неактуальные срабатывания и выстраивает цепочки развития реальных атак, а модуль DAST может на лету проверять атакуемые уязвимости.
За счет совместной работы с анализатором кода PT Application Inspector PT AF обнаруживает атаки, направленные на уязвимости конкретного приложения, и блокирует их до исправления кода (виртуальный патчинг).
Поведенческий анализ обеспечивает противодействие автоматизированным атакам (сканированию, подбору паролей, DDoS-атакам, фроду, утечкам) и выявление подозрительной активности пользователей.

Многопоточная система выявления вредоносного контента PT MultiScanner позволяет значительно повысить точность и оперативность обнаружения угроз за счет сканирования несколькими антивирусными ядрами в сочетании с проверкой другими методами, включая ретроспективный анализ действий вредоносных файлов в системе, а также репутационные сервисы.
В PT MultiScanner файлы параллельно сканируются с помощью десятков решений наиболее популярных производителей. Все антивирусы своевременно обновляются через локальный сервер. Возможность обновления антивирусов без доступа к интернету позволяет работать в изолированных сегментах сети и пресекать возможные утечки данных: проверяемые файлы не покидают инфраструктуру системы.
За счет ретроспективного анализа PT MultiScanner позволяет выяснить, какие системы подвергались воздействию зловредного ПО в прошлом — до того, как оно стало известно антивирусам. Это значительно облегчает расследование инцидентов.
Единая внутренняя база знаний и репутационные списки PT MultiScanner постоянно обновляются — и выявляют то, что пропустили антивирусы.