Jak się bronić

W dobie ataków komercyjnych, o wysokim stopniu skomplikowania, realizowanych za pomocą złośliwego oprogramowania szczególnego znaczenia nabiera ochrona firmowych systemów IT. Tutaj zwykły antywirus nic nie zdziała.

Jak się bronić

W typowej sieci firmowej znajdują się komputery z zainstalowanym oprogramowaniem antywirusowym, a na styku sieci lokalnej z internetem pracuje zapora sieciowa. W dobie niewielkiego zagrożenia złośliwym oprogramowaniem, tworzonym głównie przez entuzjastów, takie środki ochrony były wystarczające. Gdy cyberprzestępcy zaczęli korzystać ze złośliwego oprogramowania do kradzieży danych i pieniędzy, w pierwszej kolejności atakowali użytkowników domowych. Wraz z rozwojem techniki ataku cybernetycznego powstały nowe klasy zagrożeń, jednym z nich jest atak APT (z ang. Advanced Persistent Threat – zaawansowane długotrwałe zagrożenie), który różni się od pospolitej infekcji wirusem, gdyż po drugiej stronie zazwyczaj znajduje się człowiek – cyberprzestępca. Jest to atak długotrwały, dokładnie penetrujący infrastrukturę firmy, zakładający pełną kontrolę przez cały czas.

Robert Dąbrowski, starszy inżynier systemowy z firmy Fortinet Polska, wyjaśnia: „Zaawansowane ataki APT przenikają przez stosowane mechanizmy kontroli i są zdolne przetrwać jak najdłużej w środowisku ofiary, aby móc wypełniać swoje zadania w dowolnym czasie. Naszym celem jest powstrzymanie tych ataków na jak najwcześniejszym etapie, czyli przenikania do sieci firmy, jednocześnie musimy ‘utwardzać’ infrastrukturę, aby uniemożliwić przetrwanie i złośliwą aktywność”.

Zobacz również:

  • Jedną z metod obrony przed skutkami ataków ransomware może być taśma

Antywirus nie wystarczy

Przed atakiem APT nie można się obronić jedynie za pomocą prostego antywirusa na stacji roboczej. Aby zmniejszyć ryzyko udanego ataku, niezbędne jest podejście całościowe, obejmujące antywirusa na stacjach roboczych, kontrolę dostępu do sieci, mechanizmy kontroli aplikacji, monitoring aktywności sieciowej, a także klasyfikację i filtrowanie niepożądanego ruchu za pomocą rozwiązań klasy IPS. Tylko połączenie działania tych mechanizmów daje szansę na skuteczne powstrzymanie czy wykrycie złośliwego oprogramowania.

Podstawowym kanałem służącym do przełamywania zabezpieczeń są strony www, zawierające złośliwy kod. Początkowo eksploity publikowano wprost na różnych serwerach, ale powszechne narzędzia filtrowania ruchu sprawiły, że wiele z tych ataków udało się odfiltrować, zanim eksploit dotarł na stację roboczą. Kolejnym krokiem było przejmowanie serwisów obdarzonych dobrą reputacją i wykorzystanie ich do propagowania złośliwego oprogramowania, które infekuje stację roboczą w firmie.

„Przed takim atakiem można się obronić za pomocą antywirusa rozbudowanego o funkcje sandboxingu. Pozwalają one na zablokowanie ataków realizowanych od strony klienta. Jest to szczególny typ ataków, który nie pozostawia śladów włamania. Komputer ofiary jest przejmowany w ramach połączenia otwartego przez klienta do zainfekowanego serwera, następnie kradzież, podmiana lub zniszczenie danych wykonywane są w sposób niewskazujący na zewnętrzną ingerencję” – tłumaczy Robert Dąbrowski.

Obrona i odpowiedź

Zapobieganie skutkom działań złośliwego oprogramowania zależy od skuteczności wdrożonej polityki bezpieczeństwa w firmie oraz mechanizmów audytu. Ważną rolę pełnią tu technologie analizujące ruch w sieci, wymianę danych i pracę aplikacji oraz odpowiednia segmentacja infrastruktury, w której pomiędzy poszczególnymi strefami stosuje się adekwatne mechanizmy ochrony. Oprócz mechanizmów obronnych szczególne znaczenie mają także procedury i ogólny stan przygotowania danej firmy na atak. W dobie bardzo skomplikowanych ataków dział IT musi nie tylko chronić, ale także być gotowym na odpowiedź w przypadku przełamania zabezpieczeń.

Szybka odpowiedź

W przypadku ataków klasy APT szczególnego znaczenia nabiera detekcja zagrożenia i szybkość odpowiedzi na nie. Jeśli zabezpieczenia dadzą radę wykryć atak w jego wczesnej fazie, szybko przygotowana odpowiedź umożliwi zablokowanie działań intruza, zanim zdąży wyrządzić poważne szkody.

Każdy atak rozpoczyna się rozpoznaniem, potem następuje przełamanie zabezpieczeń i infiltracja firmowej infrastruktury IT. Proces infiltracji firmy trwa do czasu, aż włamywacze rozpoznają wszystkie najważniejsze firmowe systemy i zainstalują całe oprogramowanie niezbędne do kradzieży informacji. Po tym czasie część infrastruktury firmy znajduje się pod kontrolą włamywaczy, którzy rozpoczynają swoją główną działalność cyberprzestępczą.

Przeciwdziałanie atakowi rozpoczyna się w momencie wykrycia, ale samo wykrycie zagrożenia nie oznacza od razu zablokowania ataku. Po wykryciu rozpoczyna się proces przygotowania odpowiedzi na zagrożenie. Dopiero po wdrożeniu działań zaradczych rozpoczyna się prawdziwy proces przeciwdziałania, w którym atak jest blokowany. Następuje wtedy określenie strat i przeprowadza się czynności naprawcze, które zmniejszą ryzyko podobnych zdarzeń w przyszłości.

Krytyczny zatem jest czas od przełamania zabezpieczeń do odpowiedzi na zagrożenie – ten czas należy maksymalnie skrócić, by zmniejszyć straty spowodowane podobnymi atakami.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200