Zaawansowane ataki, totalna obrona

Ofiarami ataków APT padają przede wszystkim duże organizacje, m.in. RSA, Google czy irańskie instalacje nuklearne. Większość przedsiębiorstw nie stanie się celem tych zaawansowanych zagrożeń, ale według badań ich liczba wzrosła w 2013 r. o 36%. Tymczasem bez kompleksowych działań można jedynie ograniczyć ryzyko włamania.

Wprawdzie niektóre ataki APT (Advanced Persistent Threat) wykorzystują luki zero-day i większość jest wycelowana w konkretny cel, to określenie „zaawansowane” wzięło się z faktu, że łączą one różne techniki infiltracji. Te techniki pojedynczo są dobrze znane i łatwe o zwalczania, ale jeśli zostaną połączone, skuteczna obrona staje się znacznie trudniejsza. Właściwe stosowanie podstawowych zasad bezpieczeństwa prowadzi do ograniczenia prawdopodobieństwa udanego włamania czy przypadkowego przełamania zabezpieczeń. Wystarczy pamiętać choćby o wdrożeniu systemu zarządzania podatnościami, regularnym instalowaniu aktualizacji oprogramowania i regularnym przeprowadzania testów bezpieczeństwa, np. testów penetracyjnych. Takie działania to jednak minimum i należy sięgać po dodatkowe zabezpieczenia.

Szczególną uwagę należy zwrócić na oprogramowanie Java i Adobe Readers. W badaniu State of Advanced Persistent Threats przeprowadzonym przez Ponemon Institute aż 80 % ankietowanych wskazało Javę jako najczęstsze źródło luk zero-day w ostatnich latach. Na drugim miejscu znalazł się Acrobat Reader (72 %). Niestety firmy często opóźniają instalowanie łatek, m.in. ze względu na wysokie koszty przestojów spowodowanych tym procesem. Częstym problemem jest też brak wykwalifikowanych pracowników, którzy byliby odpowiedzialni za aktualizowanie oprogramowania.

Zobacz również:

Ważnym zadaniem jest też znajomość zasobów, które wymagają ochrony. Bez tej wiedzy działania ochronne będą się koncentrowały na prostych zadań, zamiast na tym, co jest faktycznie istotne. Dobra dokumentacja, zarządzanie ryzykiem i ocena jego skutków są bardzo ważne.

Biznes tego nie rozumie

Mimo realnego zagrożenia, większość organizacji nie korzysta obecnie z technologii skutecznie chroniących przed atakami APT. Jak pokazało wspomniane badanie, tylko 31 % pytanych ma odpowiednie zasoby bezpieczeństwa do zapobiegania, wykrywania i zwalczania ataków APT. Z kolei 13 % odpowiedziało, że kierownicy działów biznesowych nie rozumieją w pełni ryzyka wynikającego z APT. Jednocześnie jest to główna przeszkoda utrudniająca wdrażania odpowiednich zabezpieczeń. Niedowiarków mogą przekonać argumenty finansowe. Najbardziej na atakach cierpi reputacja. Średni koszt szkód, jakie APT wyrządzają reputacjom marek, wyniósł 9,4 miliona dolarów (wg Ponemon Institute). To znacznie więcej, niż koszty wsparcia technicznego (2,5 mln dolarów) czy spadek produktywności (3,1 mln dolarów).

Głęboka ochrona

Oprócz podstawowych praktyk bezpieczeństwa potrzebna jest również tzw. głęboka ochrona. Pokrywa ona takie obszary, jak lustrację pracowników i kontrahentów, zarządzanie dostępem, segmentację najważniejszych zasobów informacyjnych oraz mechanizmy monitorujące. W procesie zapewnienia bezpieczeństwa trzeba uwzględnić bezpieczeństwo fizyczne, HR, wykrywanie oszustw oraz obszary operacyjne przedsiębiorstwa. Warto też korzystać z raportów firm badawczych, publikujących, np. alerty dotyczące nowych zagrożeń.

Jedna warstwa ochrony przed włamaniami czy jedna warstwa uwierzytelniania nie wystarczą, aby zatrzymać zdeterminowanego włamywacza. Potrzebne są wielowarstwowe zabezpieczenia, z których część to całkiem nowe rozwiązania na rynku bezpieczeństwa, a niektóre pomysły dopiero czekają na realizację. Obecne rozwiązania bezpieczeństwa nie są bowiem wystarczająco skuteczne w ochronie przed APT. Aż 72 % pytanych przez Ponemon Institute odpowiedziało, że używane przez nich system IDS zostały pokonane przez szkodliwe oprogramowanie. Z kolei 76 % powiedziało, że ten sam problem dotyczył u nich oprogramowania antywirusowego. Analitycy z Gartnera zalecają, aby dbać o bezpieczeństwo urządzeń końcowych, szczególnie stosować aplikacje do bezpiecznego przeglądania Internetu oraz urządzenia do uwierzytelniania transakcji.

Ponieważ w atakach APT mogą być wykorzystywane znane lub nieznane luki oraz różne metody włamań, pomocne są mechanizmy analityczne, potrafiące skorelować informacje z różnych źródeł, które po połączeniu mogą wskazywać na atak. Myślenie o zabezpieczeniach trzeba też przestawić z tradycyjnego trybu ochrony brzegu korporacyjnej sieci, a skupić się na ochronie określonych zasobów. Zagrożenie bowiem może pochodzić nie tylko z zewnątrz, ale także z wewnątrz (np. z urządzenia, nad którym włamywaczowi udało się przejąć kontrolę). Ponadto zacierają się też granice korporacyjnego IT. Pracownicy są coraz bardziej mobilni i korzystają z firmowych zasobów, przebywając poza biurem.

Ludzki firewall

Ostatnią linią obrony są ludzie, często bowiem stanowią najsłabsze ogniwo zabezpieczeń i wielu ekspertów głosi konieczność podnoszenia świadomości na temat bezpieczeństwa IT wśród pracowników. Niezależnie czy chodzi o prezesa zarządu czy szeregowego pracownika, każdy powinien zostać wyposażony w adekwatny poziom wiedzy, pozwalający unikać ryzykownego zachowania i wykrywać podejrzane zdarzenia. Szkolenia mogą sprawić, że pracownicy będą działać niczym biologiczny system IDS. Jest to istotne, ponieważ ataki APT mogą wykorzystywać różne drogi dotarcia do celu, w tym także socjotechnikę. Dlatego pracowników nie należy traktować wyłącznie jako zasobu wymagającego ochrony, lecz włączyć ich aktywnie w podnoszenie poziomu bezpieczeństwa.


TOP 200