eGospodarka.pl

eGospodarka.plWiadomościTechnologieInternet › Jak przerwać zabójczy łańcuch, czyli o atakach APT

Jak przerwać zabójczy łańcuch, czyli o atakach APT

2015-08-14 11:30

Jak przerwać zabójczy łańcuch, czyli o atakach APT

Kradzież danych to proceder, który rozwija się na potęgę © duncanandison - Fotolia.com

Kradzież danych to pokaźny biznes. W ciągu ostatnich dwóch lat łupem cyberprzestępców mogło paść ponad 1,3 mld rekordów. Metody kradzieży informacji rozwijają się coraz szybciej, a każdego dnia wykrywanych jest średnio więcej nowych zagrożeń niż ataków znanego już szkodliwego oprogramowania.
Najgroźniejsze w skutkach są obecnie zaawansowane ataki o długotrwałym działaniu (ang. Advanced Persistent Threats, APT). Cyberprzestępcy nie stosują już metod losowych lub siłowych, ale działają w sposób bardziej wyrafinowany: infiltrują systemy i kradną dane w sposób uniemożliwiający wykrycie tego procederu. Jeśli w tym czasie środki kontroli nie stwierdzą obecności szkodliwego oprogramowania, użytkownik wcześniej czy później dołączy do grona ofiar.

Do wielu takich incydentów dochodzi dlatego, że nie bierzemy pod uwagę zakresu możliwych zagrożeń lub wektorów ataków. Przestępcy szybko wprowadzają innowacje w szkodliwym oprogramowaniu, wykorzystują luki umożliwiające ataki typu zero-day i stosują nowe techniki omijania zabezpieczeń. W rezultacie wiele środków obronnych staje się bezskutecznych.

Walka z tymi coraz bardziej zaawansowanymi atakami wymaga bardziej kompleksowych i dogłębnych metod. Dzięki opisanym poniżej zasadom przeciwdziałania atakom APT firmy mogą jednak stawić im czoła z pomocą tradycyjnych i zaawansowanych narzędzi do ogólnego zabezpieczenia sieci.

Zapobieganie zagrożeniom znanym


Wiele typów szkodliwego oprogramowania już znamy. Cyberprzestępcy, choć bardzo kreatywni, ulegają tej samej słabości, co większość ludzi: lenistwu. W ubiegłym roku prawie jedna czwarta szkodliwego oprogramowania liczyła sobie ponad 10 lat, a niemal 90% zostało odkryte przed rokiem 2014.

Znane zagrożenia powinny być blokowane natychmiast za pomocą zapór sieciowych nowej generacji (ang. Next Generation Firewall), bezpiecznych bram poczty elektronicznej, zabezpieczeń punktów końcowych i innych podobnych produktów opartych na technologiach precyzyjnie dostosowanych do konkretnych wymagań.

Trudno uwierzyć, jak często specjaliści odpowiedzialni za sieci zapominają o podstawowych zasadach. Proste czynności, takie jak regularne aktualizowanie systemu zabezpieczeń i ciągłe testowanie infrastruktury informatycznej, są fundamentem skutecznej ochrony.

Środki te nie zawsze jednak wykrywają nieznane wcześniej szkodliwe oprogramowanie i ukierunkowane ataki. Ruch w sieci, którego nie udało się szybko zidentyfikować, powinien więc zostać przekazany do następnego punktu wielowarstwowego systemu zabezpieczeń.

Wykrywanie zagrożeń nieznanych


Wiele nowych metod umożliwia wykrywanie nieznanych wcześniej zagrożeń i gromadzenie na ten temat informacji w przystępnej formie. Potencjalnie szkodliwe oprogramowanie można przenieść do wydzielonego środowiska testowego (ang. sandbox), co pozwala na bezpośrednią obserwację bez wpływu na pracę sieci.

Fachowa prasa uznała takie rozwiązanie za doskonałe. Trzeba jednak pamiętać, że choć środowisko sandbox jest bardzo ważnym komponentem planu ochrony, samo w sobie nie stanowi panaceum. Wiemy, jak cyberprzestępcy reagują na nowe technologie: poznają sposób ich funkcjonowania, aby je obejść. Znamy już przypadki omijania środowisk sandbox. Dlatego tak ważne są aktualizacje systemu, który – podobnie jak narzędzia przestępców – powinien być rozwijany i udoskonalany.

fot. duncanandison - Fotolia.com

Kradzież danych to proceder, który rozwija się na potęgę

Obecnie największym zagrożeniem okazują się być zaawansowane ataki o długotrwałym działaniu, zwane w skrócie APT.


Podejmowanie działań w celu ograniczenia skutków ataku


Zapobieganie atakom na sieć jest priorytetem w każdym systemie bezpieczeństwa. Gdy jednak taki atak nastąpi (a kiedyś nastąpi na pewno), najważniejszy jest przejrzysty proces wykrywania zagrożeń i stosowania środków zaradczych.

Po stwierdzeniu włamania należy poddać użytkowników, urządzenia i treści kwarantannie z wykorzystaniem systemów automatycznych i ręcznych w celu ochrony zasobów sieci i danych przedsiębiorstwa. Informacje o nieznanych wcześniej zagrożeniach powinny zostać przekazane do odpowiednich punktów i dogłębnie przeanalizowane. W rezultacie aktualizacje zostaną przesłane z powrotem do różnych usług w sieci, a każda warstwa otrzyma właściwą kombinację aktualnych zabezpieczeń.

Nie istnieje jedna technologia skutecznie chroniąca przed atakami ATP. Kluczem do sukcesu jest odpowiednia integracja i współdziałanie wielu systemów. Każdy komponent odgrywa inną rolę i współpracuje z pozostałymi.

Należy oczekiwać, że cyberprzestępcy będą wdrażać kolejne innowacje i skoncentrują się jeszcze bardziej na wprowadzaniu użytkowników w błąd oraz omijaniu zabezpieczeń. Cudowne środki nie istnieją, ale wielowarstwowe rozwiązanie oparte na sprawdzonych i nowych technologiach, pozwoli przerwać łańcuch zaawansowanych ataków o długotrwałym działaniu.

Patrick Grillo, dyrektor, dział marketingu rozwiązań,

oprac. : eGospodarka.pl

Oceń

0 0

Podziel się

Poleć na Wykopie Poleć w Google+

Poleć artykuł znajomemu Wydrukuj

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo:

Ok, rozumiem Strona wykorzystuje pliki cookies w celu prawidłowego jej działania oraz korzystania z narzędzi analitycznych, reklamowych, marketingowych i społecznościowych. Szczegóły znajdują się w Polityce Prywatności. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. Jeśli nie chcesz, aby pliki cookies były zapisywane w pamięci Twojego urządzenia, możesz to zmienić za pomocą ustawień przeglądarki.