Зачем и для кого
Часто к решению об установке защиты от целевых атак компанию приводит реальная атака и похищение данных.
Но и чужой опыт тоже очень поучителен: прошлый год был богат на хакерские атаки: Petya, WannaCry, Bad Rabbit. Теперь компании не доверяют антивирусам и файерволам, ищут новые решения.

Активнее всего защитой от целевых атак интересуются банки, лакомый кусочек для киберпреступников. А также промышленные предприятия, где успешная атака может остановить производство или вывести из строя оборудование или государственные организации, обрабатывающие важные данные. Поступают запросы и от небольших компаний.

Что бывает до ATP?
До того, как компания приходит к решениям ATP (Advanced Threat Prevention), в ее инфраструктуре обычно уже заложен фундамент кибербезопасности: антивирус, межсетевой экран, прокси. Может быть комбинированный набор TMG, в котором есть и файервол, и прокси.
Такой набор соответствует ландшафту угроз 5-летней давности, а время идет и злоумышленники не стоят на месте. Поэтому и появился такой класс решений, как  анти-ATP.

Каналы проникновения
Почта – самый популярный канал проникновения вредоносного ПО на предприятие. Доля такого способа внедрения от числа всех каналов атак доходит до 95%.
Есть два варианта проникновения:
- файл напрямую посылается на почту адресату
- в почтовом сообщении содержится ссылка, клик по которой приведет к скачиванию вредоносного файла

Основной канал, который нужно защищать – почта. На втором месте интернет-трафик, на третьем съемные носители.

Как обычно выглядит ущерб?
Ущерб это хищение данных, вывод из строя серверов, оборудования, кража денежных средств.
В конце 2017 года была атакована платежная система SWIFT (Россия).
Злоумышленникам удалось вывести несколько десятков миллионов рублей у одного из российских банков. 
На Украине недавно совершена атака, в результате которой была выведена из строя энергетическая система.
Не всегда целью злоумышленников является ваша организация. Это может быть контрагент, с которым вы работаете, и через вас, как доверенную организацию, туда попасть проще.
Ломают вас, но цель – не вы: так случилось с компанией RSA, которая занималась разработкой средств защиты информации. Целью атаки являлась не она сама, а их контрагент, занимающийся авиастроением. Авиастроительная компания понесла крупные убытки, а RSA понесла репутационный ущерб.

Роль ATP в системах защиты
Проверка на вредоносность не должна идти первой в линии защиты.
Сначала это может быть межсетевое экранирование, антиспам, антифишинг, которые внедрены в почтовую систему, прокси-сервера, обнаружение вторжения на сетевом уровне, и только после прохождения файлом этих барьеров идет песочница – крайняя мера защиты.
Оперативность проверки файла требует больших ресурсов, большой поток таких файлов повлечет за собой дополнительные затраты. Чтобы их сократить, необходимо  максимально эффективно использовать существующие средства защиты.

Песочница
Файлы, получаемые через почту или веб-браузер, проходят через периметр и появляются на конечной рабочей станции.
Если файл не опознан, он помещается в песочницу. Это сервер или комплект серверов в виртуальной среде, где работают настоящие ОС (зачастую Windows).
На таких ОС стоит офисный набор ПО, ПО для просмотра PDF-файлов, деловой переписки, и там же происходит реальный запуск на реальных машинах файла, который может представлять угрозу.

Облачная проверка и искусственный интеллект
Средства защиты от целевых атак могут существовать в облаке, интегрироваться с EAM, SOC, это помогает при расследовании инцидентов. 
Искусственный интеллект и машинное обучение тоже в деле:
они собирают и обрабатывают статистические данные, поведенческие модели вредоносных файлов.
И многие компании, занимающиеся разработкой ATP-решений, уже используют эти технологии.