APT
В противоположность моему вчерашнему утверждению, некоторые полагают, что целенаправленные атаки (APT) не пребывают в забвении, а напротив, стали более распространёнными за последнее время. Правда, при этом "целенаправленной" у них считается угроза не на конкретное предприятие, человека или компьютер, а на хоть чем-то ограниченное множество инфосистем, например, по отрасли или по домену. Что касается строго индивидуальных атак - таких как "Stuxnet" - целящих в единственный в мире контроллер, то их подсчитать затруднительно.
Массовые вредоносы приносят запустившему большой улов. Но зато сами сразу попадаются в антивирусные базы. А индивидуального пошива трояны и черви могут месяцами оставаться неотдетектированными и неосигнатуренными - как "Red October". Но зато и улов их хозяина будет в миллион раз менее объёмным. Скорее всего, такая разработка не окупится с чисто коммерческой точки зрения. Из-за высокой скрытности и слабой попадаемости в антивирусные базы такая индивидуальная малварь статистической оценке не поддаётся. Не исключено, что её перечень исчерпывается двумя упомянутыми названиями.
Всё сказанное касается внешних угроз. А для внутренних - расклад иной.
Случайные утечки - суть массовые и типичные. Их "сигнатуры" заранее известны или быстро появляются после новой угрозы.
А злонамеренные утечки - почти все индивидуальны. Злоинсайдер всегда рассчитывает на конкретную информационную систему своего предприятия и пытается преодолеть конкретную защиту, а не типичную. Если он создаёт какие-то вредоносные программы, то они предназначены работать на конкретном компьютере и в конкретном окружении, а на совместимость с другими ему наплевать.
Поэтому DLP-системы с самого своего появления имели дело с APT. А защита от внешних угроз только сейчас начинает поднимать это направление.
Массовые вредоносы приносят запустившему большой улов. Но зато сами сразу попадаются в антивирусные базы. А индивидуального пошива трояны и черви могут месяцами оставаться неотдетектированными и неосигнатуренными - как "Red October". Но зато и улов их хозяина будет в миллион раз менее объёмным. Скорее всего, такая разработка не окупится с чисто коммерческой точки зрения. Из-за высокой скрытности и слабой попадаемости в антивирусные базы такая индивидуальная малварь статистической оценке не поддаётся. Не исключено, что её перечень исчерпывается двумя упомянутыми названиями.
Всё сказанное касается внешних угроз. А для внутренних - расклад иной.
Случайные утечки - суть массовые и типичные. Их "сигнатуры" заранее известны или быстро появляются после новой угрозы.
А злонамеренные утечки - почти все индивидуальны. Злоинсайдер всегда рассчитывает на конкретную информационную систему своего предприятия и пытается преодолеть конкретную защиту, а не типичную. Если он создаёт какие-то вредоносные программы, то они предназначены работать на конкретном компьютере и в конкретном окружении, а на совместимость с другими ему наплевать.
Поэтому DLP-системы с самого своего появления имели дело с APT. А защита от внешних угроз только сейчас начинает поднимать это направление.