Polityka bezpieczeństwa a ataki ukierunkowane na sieci firmowe

Przeczytaj także: Ataki hakerskie generują wysokie straty

Ochrona

Nie ma wątpliwości, że użytkownicy odgrywają ważną rolę w atakach ukierunkowanych – niechcący pozwalają oszustom zaatakować system. Niestety, obecnie nie istnieje żadna technologia, która mogłaby wyeliminować błąd ludzki w dziedzinie ochrony sieci korporacyjnej. Jednak wzmocnienie polityk bezpieczeństwa kilkoma istotnymi technologiami zapewnia skuteczną ochronę przed atakami ukierunkowanymi poprzez zwalczanie ich na każdym etapie – od pierwszej próby wykorzystania luki po próby naruszenia bezpieczeństwa sieci.

Ochrona przed exploitami

Ponieważ ataki ukierunkowane wykorzystują unikatowe szkodliwe oprogramowanie, wykrywanie oparte na sygnaturach nie wystarczy do zidentyfikowania wykorzystywanego niebezpiecznego kodu. Jednak programy antywirusowe od dawna posiadają do swojej dyspozycji szerszy arsenał broni niż samo wykrywanie oparte na sygnaturach. Technologia automatycznej ochrony przed exploitami, która wykorzystuje mechanizmy DEP i ASLR, metody analizy heurystycznej oraz kontrola kodu wykonywalnego, potrafią zablokować uruchomienie niebezpiecznego kodu, gdy wykorzystuje on lukę 0-day.

Gdyby oszustom udało się zaatakować system – za pośrednictwem exploita lub szkodliwego oprogramowania uruchomionego przez użytkownika – kontrola ruchu sieciowego oraz kontrola aplikacji pomoże zapobiec dalszej penetracji sieci korporacyjnej.

Kontrola ruchu sieciowego

Po tym, jak szkodliwy kod (trojan lub kod powłoki exploita) przedostanie się do systemu, zazwyczaj próbuje wykonać następujące działania (jedno lub więcej):

• ustanowić połączenie z centrum kontroli (połączenie wychodzące),
• otworzyć porty dla połączeń przychodzących,
• pobrać dodatkowe moduły,
• zaimplementować szkodliwy kod w innych procesach w celu utrzymania połączenia z centrum kontroli,
• zebrać informacje dotyczące sieci, jej systemów oraz użytkowników,
• wysyłać zebrane informacje (adresy IT, nazwy i konta komputerów, loginy, hasła itd.) do serwera oszustów.

Po połączeniu się z systemem oszuści próbują zebrać informacje o nim oraz o sieci korporacyjnej, w której zlokalizowany jest komputer. W celu zebrania informacji lokalnych oszuści nie potrzebują dodatkowych przywilejów

• lista uruchomionych procesów, zainstalowanego oprogramowania i łat, połączonych użytkowników itd. może zostać dość łatwo znaleziona. Informacje dotyczące sieci korporacyjnej
• wyszukiwanie innych podatnych na ataki systemów, systemy ochrony, foldery współdzielone, usługi sieciowe, serwery itd.
• są zbierane przy użyciu specjalnych skryptów i narzędzi potrafiących zamaskować swoją aktywność oraz obejść systemy bezpieczeństwa. Wszystkie te informacje są wysyłane cyberprzestępcom za pośrednictwem internetu do analizy, zanim zostanie przygotowany kolejny etap ataku.

Przy użyciu technologii kontroli ruchu sieciowego (zapora sieciowa, IPS / IDS) administratorzy systemu oraz specjaliści ds. bezpieczeństwa IT mogą nie tylko zablokować niebezpieczną aktywność sieciową, ale również wykryć wszelkie przypadki włamania do sieci korporacyjnej.

Zapora sieciowa oraz IPS / IDS potrafią:

• Zablokować połączenia przychodzące i wychodzące
  - według portu,
  - według nazwy domeny i adresu IP,
  - według protokołu;
• Wygenerować analizę statystyczną ruchu (Net flow) w celu zidentyfikowania anomalii;
• Zebrać podejrzany ruch sieciowy do dalszej analizy;
• Wykrywać/blokować:
  - polecenia wychodzące lub podobne dane wyjściowe wysyłane za pośrednictwem internetu,
  - pobrane z internetu podejrzane pliki (dodatkowe moduły szkodliwego oprogramowania),
  - transmisje poufnych informacji (adresy IP, loginy, nazwy komputerów, dokumenty korporacyjne, numery kart kredytowych itd.).

Zapora sieciowa oraz IPS / IDS potrafią wykrywać anomalie w sposobie interakcji węzłów sieci, jak tylko szkodliwy kod będzie próbował skontaktować się z centrum kontroli, lub aktywnie skanować sieć korporacyjną w poszukiwaniu innych systemów, otwartych portów, współdzielonych folderów itd. To wykrywanie anomalii pozwala ekspertom IT szybko zareagować na zagrożenie, zapobiegając dalszej penetracji, która mogłaby naruszyć bezpieczeństwo sieci korporacyjnej.

Kontrola aplikacji

Po uzyskaniu dostępu do atakowanego systemu cyberprzestępcy dążą do skonsolidowania swojego sukcesu: do systemu pobierane są dodatkowe moduły i narzędzia, a szkodliwy kod zapewniający połączenie z centrum kontroli jest często włączany do zaufanych procesów, takich jak .exe, csrss.exe, smss.exe itd.

Kontrola aplikacji może zablokować uruchomienie i pobranie niezaufanych programów i modułów z zestawu hakerskiego oszusta, a polityki HIPS należy stosować w celu zablokowania niestandardowego – i potencjalnie niebezpiecznego – zachowania ze strony legalnego oprogramowania. Na przykład, przeglądarki nie powinny otwierać portów dla połączeń przychodzących, procesów systemowych (explorer.exe, csrss.exe, smss.exe itd.), a inne aplikacje (calc.exe, notepad.exe itd.) nie powinny być podłączane do zewnętrznych serwerów i rozprzestrzeniać szkodliwego kodu do innych zaufanych procesów – takie zachowanie powinno być zakazane.