13 Марта, 2015

Когда антивирусы бессильны

InfoWatch
Fotolia_49457164_Subscription_Monthly_M

Целенаправленные атаки на конкретные компании (APT – advanced persistent threat) ставятся все дешевле . Стоимость Stuxnet, сложнейшего кибероружия, составила примерно 100 млн долларов. Расходы на кампанию Icefog, обнаруженную экспертами «Лаборатории Касперского» в конце 2013 года, потребовали менее 10 тысяч долларов. А это означает, что целенаправленную атаку вскоре может позволить себе практически любой. В том числе компания, конкурирующая с вашей, уважаемый читатель.

Целенаправленная атака начинается с банального письма с инфицированным файлом во вложении. Или со ссылки, присланной в скайп. В общем, в начале глобальной проблемы всегда какая-нибудь досадная мелочь. И эту «мелочь» хотелось бы обнаружить сразу.

В прошлом году InfoWatch представила TAD - решение для раннего обнаружения целенаправленных атак. Задолго до вывода решения на рынок, мы протестировали его «на собственной шкуре». На компьютерах отдельных сотрудников нашлись целые стада «троянов», рекламных программ, прочего малоприятного кода. Удивительно другое – на этих машинах стоял антивирус.
Буквально через неделю антивирусная компания что-то докрутила в своих базах, и их программа уже без проблем обнаруживала подозрительные файлы, найденные TAD (хотя, кое-что антивирус по-прежнему не замечал).

Получается, у злоумышленника есть минимум неделя (а зачастую больше) до того, как внедренное им ПО будет обнаружено стандартным антивирусом. В этот момент вредоносные программы проявляют себя наиболее ярко. Их активность неизбежно приводит к изменениям – появляются новые файлы, записи в реестре, драйверы. На этом TAD и ловит.

А на следующей неделе мы расскажем о том, как злоумышленники атакуют неподключенные к интернету инфраструктуры и что им для этого нужно.