На сегодняшний день одной из наиболее актуальных задач информационной безопасности является обеспечение защиты конечных узлов (End point security). Она заключается в предотвращении ненаправленных и направленных атак на пользователя. Типичными средствами защиты пользователей от таких атак являются антивирусы, узловые системы обнаружения атак и персональные межсетевые экраны.
Основной целью злоумышленников, проводящих ненаправленные атаки, является увеличение числа сетевых узлов, выполняющих код злоумышленника. Отсюда следует главный признак ненаправленных атак — массовость. Существующие схемы монетизации вредоносной активности в Интернете таковы, что прибыль злоумышленника прямо пропорциональна количеству зараженных узлов.
Из концепции ненаправленных атак следует, что защита от них актуальна для всех категорий пользователей — от домашних до корпоративных. Задача поставщиков решений по защите конечных узлов (далее — вендоры АВС) состоит в том, чтобы как можно раньше осуществить первичное обнаружение нового экземпляра вредоносного кода и распространить по защищаемым узлам знания о новой угрозе. В силу массовости атаки у вендоров АВС нет проблемы в получении экземпляра для первичного анализа1.
Направленные атаки [1] — это атаки, целью которых является конкретная организация или отрасль. В ИБ-сообществе недавно сформировался термин «APT» (Advanced Persistent Threat). Под APT понимается любой источник направленной атаки с неограниченной мотивацией. Одной из черт APT является методичное, насколько это возможно продолжительное по времени, основанное на тщательном изучении цели воздействие на атакуемую организацию всеми возможными способами (в том числе нетехническими) вплоть до достижения поставленной цели. Для автоматизации задуманных действий злоумышленники внедряют на узлы атакуемой организации специально разработанный вредоносный код, для которого характерно:
- отсутствие массовости (это следует из концепции атаки);
- (не всегда) использование уязвимостей нулевого дня (0-day);
- использование методов противодействия обнаружению.
В контексте обеспечения защиты корпоративных пользователей от направленных атак возьмем к рассмотрению задачу по обнаружению факта попадания вредоносного кода на защищаемые узлы. Перечисленные выше характеристики делают эту задачу нетривиальной.
< ... >
