Obrona sieci przed długotrwałymi atakami

Cyberprzestępcy potrafią umiejętnie prowadzić długotrwałą infiltrację, tymczasem wiele firm koncentruje się na ochronie tylko brzegu sieci.

Eksperci od bezpieczeństwa nie są pewni, czy jest to nowy trend czy jedynie przejściowe zjawisko. Tak czy owak, długotrwałe ataki są realnym problem dla firm, które wciąż są nastawione na zabezpieczanie brzegu korporacyjnego środowiska IT. Taka strategia koncentruje się na utrzymywania intruzów poza siecią lokalną. Ataki na takie firmy, jak Sony, Home Depot czy Target pokazały, że atakujący unikają błyskawicznych włamań. Zamiast tego mieliśmy do czynienia z bardzo precyzyjnie ukierunkowanymi atakami, mającymi na celu kradzież dużych ilości danych przez dłuższy okres.

W wielu przypadkach hakerzy wykorzystali sprawdzoną metodę – phishing – do zainfekowania komputerów używanych przez pracowników atakowanej firmy. W ten sposób uzyskiwali dostęp do sieci korporacyjnych. W niektórych przypadkach atakujący używali danych dostępowych, które zostały skradzione z innych firm, do uzyskania dostępu do sieci lokalnej swojej ofiary. Obie taktyki umożliwiły stosunkowo łatwe ominięcie zabezpieczeń działających na styku sieci lokalnej z Internetem. Będąc już wewnątrz, wykorzystywali różne kombinacje szkodliwego kodu oraz typowych narzędzi IT w celu eskalacji uprawnień i wykradzenia danych, cały czas nie dając się wykryć.

Zobacz również:

Sukces tych ataków wskazuje na niepokojący brak mechanizmów monitorowania podejrzanych działań w sieciach lokalnych i wykrywania kradzieży danych. Unaocznia również ogromne wyzwanie, jakie stoi przed firmami próbującymi chronić swoje dane przed kradzieżą, które przecież są przechowywane w wielu urządzeniach rozproszonych po całym środowisku IT.

W niektórych przypadkach zaczynamy zdawać sobie sprawę, że sytuacja jest gorsza niż mogłoby się wydawać. Atakujący potrafią buszować miesiącami po sieci lokalnej, a zdarzały się przypadki, że nawet przez kilka lat pozostawali nie wykryci. Ekstremalnym przykładem jest ujawnione niedawno zagrożenie o nazwie Regin APT (Advanced Persistence Threat).

Najgroźniejszy kod

Eksperci z Kaspersky Lab uznali ujawnione pod koniec 2014 r. szkodliwe oprogramowanie Regin za najbardziej złożony kod, jaki mieli okazję analizować. Regin został prawdopodobnie opracowany na zlecenie jakiegoś państwa, choć nie udało się ustalić którego. Oprócz wykradania informacji z dokumentów czy wiadomości e-mail, Regin umożliwia także szpiegowanie komunikacji GSM, co jest niespotykanym przypadkiem.

Sieci GSM, choć korzystamy z nich powszechnie, wykorzystują przestarzałe protokoły komunikacyjne, które mają szczątkowe mechanizmy bezpieczeństwa użytkowników końcowych. Regin umożliwia kradzież danych uwierzytelniających z kontrolera stacji bazowej GSM. Mając takie dane, ma się dostęp do informacji o realizowanych połączeniach, można te połączenia przekazywać czy wykonywać inne ofensywne działania. To oznacza, że Regin nie tylko potrafi pasywnie śledzić ruch w sieci komórkowej, ale także daje możliwość wpływania na realizowanie połączeń.

Często ataki są przeprowadzane przez dysponujące sporymi środkami finansowymi i dobrze zorganizowane grupy, które mają zasoby i czas, aby prowadzić długotrwałe kampanie. Jeśli ktoś jest w stanie szpiegować sieć korporacyjną miesiącami, czy nawet latami, przełoży się to na bardzo wysokie możliwości wykradania wartościowych informacji. Nawet firmy korzystające z odpowiednich narzędzi monitorujących mogą przeoczyć intruza, ponieważ kradzież danych odbywa się zwykle w zupełnie nieszkodliwy sposób przez dłuższy okres.

Walka z takimi zagrożeniami wymaga od firm posiadania mechanizmów wykrywania anomalii w sieciach lokalnych. Chodzi o sprawdzanie, kto próbuje uzyskać dostęp do danych, gdzie ten dostęp jest realizowany i dlaczego. Wiele firm otworzyło swoje sieci na szeroki wachlarz zasobów, a jednocześnie niewiele wiedzą, co dzieje się w tym środowisku, a więc również w obszarze dostępu do danych. Niektóre organizacje tak mocno koncentrują się na ochronie brzegu sieci, że zapominają o kontrolowaniu tego, co dzieje się wewnątrz. Wiele włamań wyszło na jaw dopiero po wielu miesiącach. Przyczyną tego zjawiska jest fakt, że firmy nie próbują aktywnie wykrywać takich zdarzeń. Podejmują działania dopiero, gdy dowiedzą się, że dzieje się coś złego.

Eksperci są przekonani, że zbudowanie skutecznej strategii bezpieczeństwa wymaga uświadomienia sobie, że zagrożenia pochodzą nie tylko z zewnątrz, ale również z wewnątrz środowiska IT. Dlatego należy skoncentrować się na ochronie danych, zamiast próbować gasić pożar, gdy już dojdzie do włamania.

Jednym z błędów popełnianych przez firmy jest założenie, że model wielowarstwowej ochrony jest skuteczny przeciwko tego typu atakom. Jeśli organizacja nie wdroży rozwiązań chroniących przed kradzieżą danych, będzie miała niewielkie szanse rozpoznać, kiedy dane wyciekają poza sieć lokalną.

Cześć wdrożyła model bezpieczeństwa znany pod nazwą Kill Chain. Jest on podobny do koncepcji wielowarstwowej ochrony (Defense in Depth), która zakłada stosowanie wielu mechanizmów zabezpieczeń. W tym przypadku jednak inny jest dobór zabezpieczeń i sposób ich rozmieszczenia. Kluczem w takim modelu jest brak statyczności i dostosowywanie się do zmieniających się warunków, zamiast stosowania ochrony przed określonymi metodami i narzędziami używanymi przez włamywaczy.


TOP 200