Jak przerwać zabójczy łańcuch, czyli o atakach APT

Przeczytaj także: Przechytrzyć ataki APT

Najgroźniejsze w skutkach są obecnie zaawansowane ataki o długotrwałym działaniu (ang. Advanced Persistent Threats, APT). Cyberprzestępcy nie stosują już metod losowych lub siłowych, ale działają w sposób bardziej wyrafinowany: infiltrują systemy i kradną dane w sposób uniemożliwiający wykrycie tego procederu. Jeśli w tym czasie środki kontroli nie stwierdzą obecności szkodliwego oprogramowania, użytkownik wcześniej czy później dołączy do grona ofiar.

Do wielu takich incydentów dochodzi dlatego, że nie bierzemy pod uwagę zakresu możliwych zagrożeń lub wektorów ataków. Przestępcy szybko wprowadzają innowacje w szkodliwym oprogramowaniu, wykorzystują luki umożliwiające ataki typu zero-day i stosują nowe techniki omijania zabezpieczeń. W rezultacie wiele środków obronnych staje się bezskutecznych.

Walka z tymi coraz bardziej zaawansowanymi atakami wymaga bardziej kompleksowych i dogłębnych metod. Dzięki opisanym poniżej zasadom przeciwdziałania atakom APT firmy mogą jednak stawić im czoła z pomocą tradycyjnych i zaawansowanych narzędzi do ogólnego zabezpieczenia sieci.

Zapobieganie zagrożeniom znanym

Wiele typów szkodliwego oprogramowania już znamy. Cyberprzestępcy, choć bardzo kreatywni, ulegają tej samej słabości, co większość ludzi: lenistwu. W ubiegłym roku prawie jedna czwarta szkodliwego oprogramowania liczyła sobie ponad 10 lat, a niemal 90% zostało odkryte przed rokiem 2014.

Znane zagrożenia powinny być blokowane natychmiast za pomocą zapór sieciowych nowej generacji (ang. Next Generation Firewall), bezpiecznych bram poczty elektronicznej, zabezpieczeń punktów końcowych i innych podobnych produktów opartych na technologiach precyzyjnie dostosowanych do konkretnych wymagań.

Trudno uwierzyć, jak często specjaliści odpowiedzialni za sieci zapominają o podstawowych zasadach. Proste czynności, takie jak regularne aktualizowanie systemu zabezpieczeń i ciągłe testowanie infrastruktury informatycznej, są fundamentem skutecznej ochrony.

Środki te nie zawsze jednak wykrywają nieznane wcześniej szkodliwe oprogramowanie i ukierunkowane ataki. Ruch w sieci, którego nie udało się szybko zidentyfikować, powinien więc zostać przekazany do następnego punktu wielowarstwowego systemu zabezpieczeń.

Wykrywanie zagrożeń nieznanych

Wiele nowych metod umożliwia wykrywanie nieznanych wcześniej zagrożeń i gromadzenie na ten temat informacji w przystępnej formie. Potencjalnie szkodliwe oprogramowanie można przenieść do wydzielonego środowiska testowego (ang. sandbox), co pozwala na bezpośrednią obserwację bez wpływu na pracę sieci.

Fachowa prasa uznała takie rozwiązanie za doskonałe. Trzeba jednak pamiętać, że choć środowisko sandbox jest bardzo ważnym komponentem planu ochrony, samo w sobie nie stanowi panaceum. Wiemy, jak cyberprzestępcy reagują na nowe technologie: poznają sposób ich funkcjonowania, aby je obejść. Znamy już przypadki omijania środowisk sandbox. Dlatego tak ważne są aktualizacje systemu, który – podobnie jak narzędzia przestępców – powinien być rozwijany i udoskonalany.

Podejmowanie działań w celu ograniczenia skutków ataku

Zapobieganie atakom na sieć jest priorytetem w każdym systemie bezpieczeństwa. Gdy jednak taki atak nastąpi (a kiedyś nastąpi na pewno), najważniejszy jest przejrzysty proces wykrywania zagrożeń i stosowania środków zaradczych.

Po stwierdzeniu włamania należy poddać użytkowników, urządzenia i treści kwarantannie z wykorzystaniem systemów automatycznych i ręcznych w celu ochrony zasobów sieci i danych przedsiębiorstwa. Informacje o nieznanych wcześniej zagrożeniach powinny zostać przekazane do odpowiednich punktów i dogłębnie przeanalizowane. W rezultacie aktualizacje zostaną przesłane z powrotem do różnych usług w sieci, a każda warstwa otrzyma właściwą kombinację aktualnych zabezpieczeń.

Nie istnieje jedna technologia skutecznie chroniąca przed atakami ATP. Kluczem do sukcesu jest odpowiednia integracja i współdziałanie wielu systemów. Każdy komponent odgrywa inną rolę i współpracuje z pozostałymi.

Należy oczekiwać, że cyberprzestępcy będą wdrażać kolejne innowacje i skoncentrują się jeszcze bardziej na wprowadzaniu użytkowników w błąd oraz omijaniu zabezpieczeń. Cudowne środki nie istnieją, ale wielowarstwowe rozwiązanie oparte na sprawdzonych i nowych technologiach, pozwoli przerwać łańcuch zaawansowanych ataków o długotrwałym działaniu.

Patrick Grillo, dyrektor, dział marketingu rozwiązań,