Охота за «Красным Октябрем»: мнение интегратора

В январе 2013 года Лаборатория Касперского сообщила об обнаружении сети кибершпионажа, которой специалисты Лаборатории присвоили кодовое наименование «Красный октябрь». По заявлению антивирусных экспертов, данная сеть функционировала с середины 2007 года и использовалась для похищения конфиденциальной информации с компьютеров государственных служб многих стран. Оценку данной ситуации дал Дмитрий Слободенюк, директор компании ARinteg, системного интегратора, 15 лет работающего на рынке информационной безопасности.

«На протяжении ряда последних лет многие эксперты в области антивирусной защиты отмечают возрастающую «направленность» вирусных атак. Атака может воздействовать на определенную группу пользователей, конкретный регион и т.д. Такая направленность крайне затрудняет работу антивирусных лабораторий, которые сейчас зависят от «фактора массовости» - чем более широко распространяется вирус – тем проще его в итоге обнаружить и заблокировать. Сеть «Красный октябрь» в этом отношении можно считать практически идеальным примером узко сфокусированной атаки. Свидетельством этого является очень небольшое число систем,  подвергшихся заражению – всего около 200-250 (число заражений для «нормальных» вирусов может достигать нескольких миллионов или десятков миллионов), – рассказывает Дмитрий Слободенюк. – Обнаружение атаки в таких случаях возможно, только если в распоряжении службы информационной безопасности организации, подвергшейся атаке, имеются мощные средства анализа сетевой активности и системы DLP. По-видимому, именно такими средствами и была выявлена аномальная активность, данные о которой были затем переданы в «Лабораторию Касперского» и привели в конечном итоге к обнаружению шпионской сети».

«Какие выводы можно сделать из истории (еще незавершенной) с сетью «Красный октябрь»? Первый и главный  - антивирус, даже самый лучший, не является панацеей. Современная антивирусная защита направлена в  основном на ликвидацию широко распространенных угроз и может не справиться с узконаправленной атакой, проводимой в «неавтоматическом» режиме с тщательным подбором целей и методов атаки. В случае компьютерных систем, использующихся для обработки важной конфиденциальной информации, в обязательном порядке должны использоваться продвинутые комплексные системы безопасности и DLP, – отмечает директор компании ARinteg. –  Хорошим способом защиты также может служить полная изоляция сетей, предназначенных для такой работы, от «общедоступных» – правда, с развитием принципов «мобильности» полноценное внедрение такого способа затрудняется».