В выборке представлены компании кредитно-финансовой отрасли, промышленного сектора, государственные организации, представители ритейла и организации, занятые разработкой программного обеспечения.
За 6 месяцев обнаружено 203 объекта, критичного и высокого уровней опасности. Чаще всего такое ПО направлено на кражу данных, а также получение доступа к управлению зараженной машиной. За тот же период IWTADзафиксировал 612 объектов, относящихся к среднему уровню угрозы. Такое ПО не представляет собой серьезную опасность для организации, однако может помешать нормальному функционированию рабочих станций: оно может «засорять» ПК, выдавать нежелательные рекламные объявления и др.
Рис. 2 Распределение найденных объектов разного уровня опасности по отраслям
В некоторых случаях решение выявило признаки атаки, которые начались до внедренияInfoWatchTAD.
Сложность обнаружения таргетированных атак заключается, в первую очередь, в том, что специализированное зловредное ПО разрабатывается под конкретные организации (или группы организации) с учетом защиты, которая там используется. Иногда ПО полностью отвечает требованиям к легитимному ПО (имеет подпись разработчика, даже функционирует «по правилам»), что сильно затрудняет процесс распознавания в нем зловреда сигнатурными методами. Только анализ поведения объекта во времени и контексте может выявить аномальную активность и вовремя распознать таргетированную атаку.
Таргетированные атаки проходят точечно: злоумышленники знают жертву и свою цель. Тем не менее для достижения этой цели хакерам иногда приходится получать доступ к другим машинам. Вовремя пресечь заражение и развитие вектора атаки классическими способами чаще всего невозможно. Постоянное наблюдение – подход, который оправдывает себя и позволяет нашим клиентам выявить и хронические болячки, и новоприобретённые проблемы на ранних стадиях.
Как любят шутить врачи, здоровых людей нет, есть недообследованные. ИТ-инфраструктура организаций также требует непрерывной диагностики. Не забывайте об этом
