Fortinet - ataki APT

Przeczytaj także: Ataki hakerskie: Cybernetyczna Wojna Światowa

Kto stoi za APT?

Podobnie jak w przypadku wszystkich ataków cybernetycznych, bardzo trudno jest ustalić pochodzenie i autora ataku APT. Na przykład, dane złośliwe oprogramowanie może być opracowane przez obywatela europejskiego przy użyciu chińskich narzędzi deweloperskich, będzie wtedy zawierało odniesienia tekstowe do konkretnych chińskich organizacji wojskowych. Równocześnie hostowane będzie na rosyjskiej stronie internetowej, a trasa ataku będzie wskazywała na pochodzenie z Chin.

Istnieje na świecie tylko kilka grup, które mają możliwości, umiejętności, fundusze i infrastrukturę do rozpoczęcia ataku APT. Takie grupy zazwyczaj za cel obierają sobie zagraniczne korporacje i rządy w celu poznania tajemnic państwowych jak i handlowych. Celem mogą być również media, co z kolei umożliwia wyśledzenie dysydentów. Na przykład w styczniu 2013 roku New York Times opublikował raport, w którym padło stwierdzenie, że chińscy hakerzy, w przypadku których podejrzewano, iż byli sponsorowani przez państwo, zdołali przeniknąć do sieci dziennika. Atak opracowano w celu wyszukiwania wiadomości e-mail i dokumentów związanych z historią, którą NYT napisał o krewnych premiera Chin.

Rosja również ma możliwości uruchomienia wyrafinowanych ataków, ale jak do tej pory nie ma dowodów na powiązanie rządu rosyjskiego z konkretnymi działaniami. Znając możliwości Rosji w zakresie szkolenia najlepszych na świecie hakerów, można przypuszczać, że Federalna Służba Bezpieczeństwa (FSB) Rosji dysponuje zespołem lub zespołami monitorującymi i infiltrującymi organizacje i państwa.

Z kolei Stany Zjednoczone posiadają obszerną „cyberarmię. Dla przykładu, jeden z najbardziej znanych ataków o nazwie Stuxnet z powodzeniem został wykorzystany przez USA we współpracy z Izraelem w celu zakłócenia działalności zakładów wzbogacania uranu w Iranie.

Być może inne kraje również stworzyły własne cyberarmie i grupy APT. Niewiele wiadomo na temat możliwości reszty krajów G20 i państw takich jak: Syria, Korea Północna, Iran i innych krajów na Bliskim Wschodzie. Śmiało można powiedzieć, że większość z nich co najmniej zbadała możliwości wykorzystania APT.

W jaki sposób organizacje mogą zmniejszyć ryzyko ataku APT?

Aby chronić się przed atakami APT, organizacje muszą wdrażać strategię obrony opartą na wielopoziomowych zabezpieczeniach. Ważne jest, aby zrozumieć, że żadne rozwiązanie w zakresie zabezpieczenia sieci nie powstrzyma ataku APT.

Istnieją konkretne metody służące zmniejszeniu ryzyka ataku APT. Należą do nich:

• Partnerstwo na rzecz bezpieczeństwa: silne partnerstwo z dostawcą zabezpieczeń zapewnia personelowi IT aktualne informacje i analizy zagrożeń bezpieczeństwa, a także jasno zdefiniowane ścieżki eskalacji po wykryciu zdarzenia.
• Wielopoziomowa obrona: taka obrona wymaga wprowadzenia kluczowych funkcji zabezpieczeń, takich jak filtrowanie Internetu/analiza reputacji IP, białe listy/czarne listy, kontrola aplikacji w oparciu o użytkowników i urządzenia, DLP, IPS/IDS, funkcja sandbox oparta na chmurze obliczeniowej, kontrola urządzenia końcowego lub AV. Wszystkie te funkcje są niezbędne w celu zatrzymania potencjalnie szkodliwych aplikacji, złośliwego oprogramowania, podejrzanych działań i zapobiegania wyciekowi poufnych informacji z sieci.
• Szkolenie użytkowników końcowych: Ważne jest szkolenie pracowników w zakresie cyberzagrożeń i właściwego wykorzystania mediów społecznych. Pracownicy z dostępem do poufnych informacji muszą być specjalnie przeszkoleni, aby wiedzieli, w jaki sposób radzić sobie z danymi. Ponadto ograniczenie dostępu pracownikom do dysków USB w sytuacji, gdy jest to konieczne i uzasadnione, to dobre rozwiązanie umożliwiające ochronę sieci.
• podstawowa segregacja sieci może pomóc w zapobieganiu rozprzestrzeniania się ataku APT wewnątrz infrastruktury. Nie jesSegregacja sieci:t konieczne, aby każdy pracownik miał dostęp do poszczególnych zasobów, które mogą zawierać poufne dane. Ograniczając dostęp zawsze, gdy to możliwie, organizacja może uniknąć wielu ataków.
• Aktywne poprawki (patching): Komputer jest tylko wtedy bezpieczny, gdy jego oprogramowanie jest zabezpieczone i aktualne. Istotne dla firm jest niezwłoczne instalowanie poprawek do ich systemów.
• Uwierzytelnianie dwuskładnikowe: poprzez wdrożenie dwuskładnikowego uwierzytelniania dla użytkowników zdalnych lub potrzebujących dostępu do poufnych informacji, organizacja utrudnia atakującemu wykorzystanie utraconych lub skradzionych danych uwierzytelniania.
• Zasady BYOD: istotne jest stosowanie ścisłych zasad BYOD, aby atakujący nie mogli łatwo przejąć laptopa, smartfonu lub tabletu czy wprowadzić złośliwego oprogramowania do sieci firmowej.

Obecnie każda firma lub organizacja rządowa powinna traktować poważnie ryzyko zaawansowanych trwałych zagrożeń. Dzisiejsze ataki są coraz bardziej wyrafinowane i uporczywe. Jak zobaczyliśmy powyżej, nie istnieje panaceum umożliwiające wyeliminowanie ryzyka ataków APT. Jako że stosowane są różne kanały dokonywania ataków, zasadnicze znaczenie ma wykorzystanie wielopoziomowych strategii obrony w celu zapobiegania lub przynajmniej zminimalizowania zagrożenia atakami typu APT.

Robert Dąbrowski, inżynier systemowy, ,