26 Ноября, 2013

APT

InfoWatch
В противоположность моему вчерашнему утверждению, некоторые полагают, что целенаправленные атаки (APT) не пребывают в забвении, а напротив, стали более распространёнными за последнее время. Правда, при этом "целенаправленной" у них считается угроза не на конкретное предприятие, человека или компьютер, а на хоть чем-то ограниченное множество инфосистем, например, по отрасли или по домену. Что касается строго индивидуальных атак – таких как "Stuxnet" – целящих в единственный в мире контроллер, то их подсчитать затруднительно.
       

Массовые вредоносы приносят запустившему большой улов. Но зато сами сразу попадаются в антивирусные базы. А индивидуального пошива трояны и черви могут месяцами оставаться неотдетектированными и неосигнатуренными – как "Red October". Но зато и улов их хозяина будет в миллион раз менее объёмным. Скорее всего, такая разработка не окупится с чисто коммерческой точки зрения. Из-за высокой скрытности и слабой попадаемости в антивирусные базы такая индивидуальная малварь статистической оценке не поддаётся. Не исключено, что её перечень исчерпывается двумя упомянутыми названиями.

Всё сказанное касается внешних угроз. А для внутренних – расклад иной.

Случайные утечки – суть массовые и типичные. Их "сигнатуры" заранее известны или быстро появляются после новой угрозы.

А злонамеренные утечки – почти все индивидуальны. Злоинсайдер всегда рассчитывает на конкретную информационную систему своего предприятия и пытается преодолеть конкретную защиту, а не типичную. Если он создаёт какие-то вредоносные программы, то они предназначены работать на конкретном компьютере и в конкретном окружении, а на совместимость с другими ему наплевать.

Поэтому DLP-системы с самого своего появления имели дело с APT. А защита от внешних угроз только сейчас начинает поднимать это направление.

или введите имя

CAPTCHA
bobo
26 Ноября, 2013
Пистоля что ли какая?
0 |
вова
27 Ноября, 2013
Разновидность внутренней угрозы
0 |