Duchy w firmowej sieci

Do kolejnego głośnego ataku klasy APT doszło w kwietniu 2011 r., a jego celem były Narodowe Laboratoria Oak Ridge w USA, organizacja zajmującą się badaniami nad bronią jądrową. Tutaj również do wybranych pracowników wysłano wiadomości e-mail, które zawierały kod wykorzystujący podatność dnia zerowego w przeglądarce Internet Explorer. Zainfekowano ponad 60 stacji roboczych, napastnicy ukradli w ten sposób ok. 1 GB technicznych informacji. W tym samym czasie zaatakowano także kilka innych laboratoriów istotnych dla obronności Stanów Zjednoczonych. Atak ten można powiązać także z APT przeciw RSA, gdyż ostatecznym celem obu z nich były podmioty odpowiedzialne za obronność USA.

Czy można się obronić przed APT

Obrona przed atakiem, który w założeniach napastnika jest skryty, a jednocześnie wykorzystuje wysoki poziom wiedzy technicznej, to duże wyzwanie. Nawet jeśli IT wdroży zaawansowane urządzenia zabezpieczające, nadal może doświadczyć ataku, gdyż niekiedy napastnikom udaje się takie rozwiązania po prostu ominąć. Obecnie nie ma narzędzia, które obroni firmę przed atakiem klasy militarnej, ale prawdopodobieństwo udanego ataku można radykalnie zmniejszyć. Wdrożenie właściwych zabezpieczeń technicznych połączone ze szkoleniami związanymi z obroną przed atakami socjotechnicznymi jest pierwszą linią obrony.

Następną linią obrony, równie ważną jak same zabezpieczenia, jest przygotowanie firmy na możliwie szybką odpowiedź na zagrożenie oraz działanie w sposób skoordynowany. Natychmiastowa odpowiedź radykalnie skraca czas penetracji firmowej sieci przez napastników, a zatem zmniejsza skutki ataku i umożliwia wprowadzenie środków zaradczych. Specjaliści uważają, że zmniejszenie ryzyka związanego z atakami klasy APT jest możliwe w każdej organizacji, ale nie będzie to łatwe zadanie.

Atak i obrona

Atak klasy APT jest z założenia długotrwały – nie są to jednorazowe wybryki sieciowych aktywistów czy działania hakerskie, ale dobrze przygotowane operacje. Wykorzystują one całe spektrum technik, łącząc przełamywanie podatności sprzętu i oprogramowania z socjotechniką oraz klasycznymi technikami operacyjnymi stosowanymi od lat przez służby specjalne różnych krajów. Napastnik wybiera metody, które przyniosą oczekiwany efekt – jeśli cel można osiągnąć za pomocą phishingu i pospolitego klienta SpyEye, to właśnie te środki zostaną użyte. W arsenale napastnika znajdują się jednak bardziej zaawansowane narzędzia, w tym specjalnie przygotowane eksploity, zestawy precyzyjnego złośliwego oprogramowania lub inne narzędzia. Cel bywa atakowany jednocześnie za pomocą różnych technik.

Arsenał obronny

Do obrony przed APT najważniejsze są narzędzia, które umożliwiają monitorowanie i analizę danych oraz przeprowadzenie skutecznej odpowiedzi na atak. Aby móc określić sposób, w jaki napastnik uzyskał dostęp, niezbędna jest także możliwość korelacji zdarzeń pochodzących z różnych źródeł, przy czym muszą one być analizowane na podstawie informacji źródłowych, a nie tylko najważniejszych, wysokopoziomowych zgłoszeń.

Ważnym krokiem jest wskazanie parametrów określających normalny stan eksploatacji infrastruktury w firmie. Stan ten może być określany przez ruch sieciowy, aktywność hostów, przetwarzane logi i inne informacje. Jeśli napastnik będzie dokładał starań, by atak pozostał niewykryty, nie wszystkie kryteria alarmu właściwe dla IDSów będą spełnione, ale dogłębna analiza odbiegania zapisów od stanu normalnej pracy prawdopodobnie umożliwi wykrycie niepokojących zjawisk.

Nie wolno zapominać o tradycyjnych narzędziach, takich jak:

  • zapory sieciowe, separacja sieci DMZ oraz oddzielonych podsieci w firmie;
  • oprogramowanie antywirusowe z HIPS instalowane na stacjach roboczych;
  • kontrola dostępu do aplikacji, a także logowanie akcji i użycia przywilejów przez użytkowników;
  • szyfrowanie danych;
  • szkolenia w dziedzinie bezpieczeństwa, w tym także świadomość ataków socjotechnicznych.

Narzędzia te powinny stanowić część zintegrowanego systemu, którego elementem są nie tylko programy i urządzenia, ale także ludzie.

Duchy w firmowej sieci

TOP 200