Вчера вышел 6-й номер журнала !БДИ, который полностью посвящен теме целенаправленных угроз (APT) и их росту. Не остался в стороне и я, написав вводную статью по данной теме. Незадолго до выхода журнала, ассоциация BISA провела отдельное мероприятие, целиком посвященное данной теме, где меня также попросили сделать вступление в тему, что я и сделал. Презентацию выкладываю.
Надо признаться, тема модная, но по сути ничего нового в ней нет. Те же атаки, только многовекторные. Те же жертвы, только сфокусированные. Те же злоумышленники, только желающие остаться как можно дольше необнаруженными. Никаких особых отличий от обычных атак у APT нет. Но вот методы борьбы с ними меняются — ни одно отдельное средство защиты неспособно побороться с этой проблемой. Нужен комплекс мер — выстроенные процессы, набор технологий и решений, обученный персонал. Только в этом случае можно говорить хоть о какой-то системе борьбы с APT.
Как будто раньше мы не знали что требуется комплекс мер?
Обычно создается система (обеспечения ИБ / защиты информации)
По поводу "мы знали" посмотри вторую картинку на http://lukatsky.blogspot.nl/2014/03/blog-post_17.html. Там все очень доступно по поводу того, что в реальности происходит у заказчиков
а если персонал сам заинтересован в результатах APT — такое не учли?
Нет, такое не учитываем. Если персонал компании заинтересован в утечке информации, то грош цена и такому персоналу и такой компании
Алексей, предлагаю еще два момента учесть:
1. Заметный рост риска целенаправленной угрозы во-многом связан с тотальным распространением уязвимых ИТ-инфраструктур. Их обнаружить cnfkj значительно легче, а инструменты доступнее. Так же легко остаться в них необнаруженным, что тоже уязвимость. Осознание это пришло не быстро, так же как и книги стали использовать массово тоже не быстро. Но оно пришло и понимая это вдруг множество гораздо менее квалифицированных дельцов ринулось сюда и начали атаковать. Некая такая инфляция ИБ получается.
2. Всё-таки вопрос: APT и целенаправленные угрозы — это одно и тоже или всё же следует словам Advanced и Persistent уделить большее внимание?
По поводу "мы знали". Нужно отделять компетентное сообщество от "целевой аудитории". Часто эти общности не совпадают, а спор "о борьбе с мельницами" происходит между "знающими" и "вендорами", но "целевая аудитория" не здесь. Это другая вселенная похоже. Там и подход к бизнес-рискам совсем другой. Вот как бы нам это понять и что с этим делать.