Таргетированная атака – индивидуальный набор хакерских действий для кражи денежных средств или хищения ценной информации.  Чаще всего мошенники преследуют корыстные цели.

Вариантов монетизации может быть несколько:

• несанкционированный доступ к онлайн-банкингу,
• шифрование важных данных на серверах компании с последующим требованием выкупа за их декодирование,
• кража персональных данных в интересах компании-конкурента и многое другое.

Наиболее известные инструменты для вторжения – фишинговые атаки (вредоносные программы, которые проникают на компьютер зачастую с помощью социальной инженерии). Подготовка к такому интернет-мошенничеству занимает много времени, так как включает в себя подготовку вредоносных веб-сайтов, почтовых или мгновенных сообщений с использованием личных данных конкретного пользователя.

Такие атаки выгодны для хакерских групп, поэтому они очень распространены.  Только за последние полгода произошли утечки информации в 12 крупных компаниях и, как отмечает генеральный директор кибердетективного агентства Group-IB Илья Сачков, последствия были катастрофическими: только одна группировка кибертеррористов за месяц атаковала более 600 российских ресурсов.

Самая распространенная модель - атаки по стандартному сценарию. 
Несмотря на распространенность, они часто бывают очень успешны из-за применения специфического инструментария или уязвимостей нулевого дня.

Знакомая ситуация: сотрудник получает письмо с интересным контентом и открывает его на рабочем компьютере. Пока он смотрит клип, в корпоративную инфраструктуру проникает вредоносная программа. В большинстве случаев антивирусы срабатывают и сразу выявляют попытку взлома системы.

В таргетированных атаках используется и персональный подход к созданию контента и рассылке сообщений.
Источник, отправивший ссылку, не вызывает подозрений: хакеры отслеживают активность сотрудника заинтересовавшей их компании, выясняют круг его общения и отправляют вирус от лица его друга или коллеги.
Получатель без особых опасений открывает ссылку, а защитные системы не распознают вредоносную программу, которая непосредственно разработана с учетом характеристик инфраструктуры компании. Таким образом, обойдя периметр безопасности, программа загружает дополнительные модули, которые взламывают систему изнутри.

Новые поколения традиционных средств защиты затрудняют действия хакеров и снижают вероятность успешных атак. Ландшафт угроз меняется, как и весь мир цифровых технологий. Угроз «нулевого дня» сегодня больше не существует.
Мировые бренды, занимающиеся решениями  по кибербезопасности, для борьбы с таргетированными атаками рекомендуют использовать файерволы нового поколения Next Generation, которые включают как стандартный функционал брандмауэров – сетевая фильтрация, управление VPN и NAT, так и улучшенную фильтрацию сетевого трафика.

Создание единой политики безопасности, контроля сетевого трафика, анализа приложений в условиях сложных хакерских активностей - важная составляющая ИТ-инфраструктуры компании.  
Лидеры рынка информационной безопасности внедряют специализированные инструменты для предотвращения таргетированных кибератак. 

«Лаборатория Касперского» разработала целую платформу по борьбе с подобными угрозами – Kaspersky Anti Targeted Attack Platform.

С помощью динамического анализа поступающих данных от сенсоров  и получения актуальной информации о новых вторжениях эта платформа позволяет защитить систему в режиме реального времени.

Для идентификации и отражения атак класса APT (Advanced Persistent Threats) нужен комплексный подход: контроль сетевой активности, мониторинг работы приложений и файлов, а также анализ аномалий.

Хороший пример комплексной защиты Infinity Total Protection от Check Point Software Technologies. 

Поставив на мониторинг различные участки сети, вы сможете выявить нетипичную сетевую активность, такую как подключение с других ip-адресов или большой объем трафика, которая будет направлена в модуль анализа аномалий.

Как происходит анализ поведения подозрительных объектов? 
Файл переносится в изолированную виртуальную «песочницу» и запускается на копии ИТ-инфраструктуры компании. 
Дальше происходит эмуляция его активности. В безопасной для компании среде файл "показывает себя во всей красе": например, создает новые файлы или запускает изменения системного реестра.

В случае отклонения от типового поведения программы, компонент анализа аномалий сопоставляет его с другими нетипичными сигналами, например сетевыми и определяет, является ли активность целевой атакой.

Но без принятия проактивных мер, которые также называют кибер-контрразведкой, предотвращение таргетированных атак будет затруднительно. Для этого существуют простые в использовании инструменты. Например, продукт Bot-Trek Intelligence от компании Group-IB позиционирует себя как «киберразведка по подписке».
Панель настроек интуитивно понятна, а вся работа проходит в веб-интерфейсе, где можно отследить сводку о текущих угрозах – от попыток взлома инфраструктуры до хакерской активности в отношении партнеров и конкурентов до того, как компании будет нанесен реальный вред. Разумеется, за этой простотой использования стоит как опыт сотрудников Group-IB, так и их повседневная работа по выявлению, анализу и предотвращению атак.

Защита компании требует крупных инвестиций, но потенциальные убытки от проникновения в корпоративную систему кратно превышают затраты на защитные действия.

Специалисты часто сталкиваются с трудностями, которые связаны не только с техническими аспектами, но и с менталитетом: часто руководство компаний-заказчиков не верит в возможность таргетированных атак и, как следствие, не рассматривает их как угрозу бизнесу.

Softline предлагает провести тестирование на проникновение ИТ-инфраструктуры клиента. Специалисты по безопасности анализируют уязвимости и проводят демонстрацию таргетированных атак.
После того, как заказчикам наглядно демонстрируют информацию, представляющую коммерческую тайну - перехваченную переписку топ-менеджеров, украденные данные на тендер, руководство обычно пересматривает свою политику по ИБ и выделяет ресурсы на комплекс мероприятий по минимизации подобных рисков.