Атаки на SCADA-систему Siemens с помощью «уранового» вируса Stuxnet и взлом серверов RSA породили к жизни новый маркетинговый термин в области информационной безопасности — APT (Advanced Persistent Threat), что можно перевести как «постоянно совершенствуемая угроза». Разбору того, что такое APT, был посвящен очередной семинар, который провели в ассоциации профессионалов в области информационной безопасности RISSPA.
Атаки данного типа, как правило, направлены против госструктур, крупных коммерческих компаний или популярных людей. При этом хакеры пробуют на атакуемых системах наиболее современные приемы нападения. Цель такой активности — взлом защиты и получение контроля над уникальной информацией или системой. При этом злоумышленники идут порой на гигантские траты для достижения цели.
Перечисленные характеристики позволяют заключить, что APT является полной противоположностью массовых вирусных атак, основная цель которых — получение прибыли. Если потенциальная жертва сопротивляется, то из обширного списка попросту выбирается другая. Поэтому традиционные средства защиты от массовых атак — такие, как антивирусы, межсетевые экраны или средства предотвращения вторжений, — могут не защитить от атак целенаправленных.
Термин APT может означать любую комплексную атаку, в которой, кроме технических методов проникновения, используется также социальная инженерия и даже приемы промышленного шпионажа.
Поскольку при APT используются не только технические приемы, то и защититься от атак такого типа чисто программным средствами не получается. Для защиты от социальной инженерии достаточно обучить общающихся с внешним миром сотрудников методам защиты от обмана и внедрить строгие регламенты на доступ к секретам, а от промышленного шпионажа может помочь только специальная служба контрразведки. В то же время в APT всегда есть и техническая составляющая, обнаружение которой возможно с помощью специальных технических средств. Анализировать аномальные события и адекватным образом реагировать на них позволяет специальный класс инструментов — NAV (Network Analysis & Visualization) или NSM (Network Security Monitoring). К примеру, для атаки на RSA использовался файл Microsoft Excel со встроенным в него Flash-роликом, эксплуатировавший неизвестную уязвимость. Анализаторы способны заметить подобное странное вложение и заблокировать его или отправить на дополнительное обследование.