Gdzie kryją się ataki ukierunkowane i po co ci wskaźniki IoA?

Przeczytaj także: W walce z cyberatakami przeszkadza niewiedza i brak pieniędzy

Inaczej niż w przypadku metod wykrywania bazujących na tzw. wskaźnikach infekcji (IoC), wskaźniki ataków IoA identyfikują niebezpieczną aktywność nie na podstawie znanych już, szkodliwych plików czy innego rodzaju śladów, ale w oparciu o stosowane przez cyberprzestępców taktyki, techniki i procedury. Inaczej rzecz ujmując, na światło dzienne wydobywane są metody atakowania ofiar przez konkretne cyberugrupowania. Doświadczenie pokazuje, że to właśnie metody oparte na IoA są najbardziej skuteczne w przypadku coraz to popularniejszych ataków, przy których wykorzystywane są najbardziej zaawansowane techniki.

Potwierdzeniem powyższego są również inne wyniki raportu, w którym zobrazowano wielopoziomową analizę rezultatów działania usług firmy Kaspersky, dostarczonych przez liczne organizacje z sektora finansowego, rządowego, przemysłowego, transportowego, IT oraz telekomunikacyjnego.

Incydenty naruszenia cyberbezpieczeństwa zostały zidentyfikowane w niemal wszystkich taktykach łańcucha ataku, jednak najwięcej działań wykryto na etapach uważanych za „najbardziej hałaśliwe” (gdzie prawdopodobieństwo fałszywych trafień jest stosunkowo wysokie): wykonanie (37%), unikanie wykrycia (31%), dalsze rozprzestrzenianie się w sieci (16%) oraz uderzenie (16%). Jeśli chodzi o zwalczanie opisywanych taktyk, w badaniu wykazano, że produkty ochrony punktów końcowych (EPP) stanowią skuteczne narzędzie reagowania na zagrożenia w przypadku 97% zidentyfikowanych incydentów — z czego 47% zostało sklasyfikowanych jako zagrożenie średniego poziomu, łącznie ze szkodliwym oprogramowaniem, takim jak trojany i narzędzia szyfrujące, a 50% — jako niewielkie zagrożenie, w tym niechciane programy, takie jak adware czy riskware.

Jednak w przypadku zaawansowanych lub nieznanych zagrożeń, czy też incydentów klasyfikowanych jako duże zagrożenie (3%), tradycyjne rozwiązania EPP okazują się mniej skuteczne. Tego rodzaju działania – w tym zaawansowane szkodliwe oprogramowanie i ataki ukierunkowane — wymagają dodatkowego poziomu wykrywania, ręcznego wyszukiwania zagrożeń oraz analizy.

Jeden z kluczowych wniosków naszego raportu, nad którym pracowaliśmy przez ostatnie sześć miesięcy, jest taki, że jeśli nie wykryłeś w swojej sieci dużej liczby zdarzeń błędnie sklasyfikowanych jako zagrożenia, prawdopodobnie oznacza to, że umknęło ci wiele istotnych incydentów naruszenia bezpieczeństwa. W takiej sytuacji powinieneś zacząć stosować na większą skalę m.in. wskaźniki IoA. Poleganie wyłącznie na klasycznych, opartych na wskaźnikach infekcji lub innych znanych metodach wykrywania, zupełnie nie sprawdzi się w przypadku stosowania przez cyberprzestępców najbardziej zaawansowanych technik. Wprawdzie alerty oparte na wskaźnikach IoA są o wiele bardziej pracochłonne, wymagają bowiem wielu badań oraz stworzenia skutecznych reguł, a następnie ręcznej analizy, są jednak najskuteczniejsze i pozwalają wykryć naprawdę krytyczne incydenty – powiedział Siergiej Sołdatow, szef centrum operacji bezpieczeństwa w firmie Kaspersky.