[IP]: Jak przerwać zabójczy łańcuch, czyli ochrona przed znanymi i nieznanymi zagrożeniami APT

Kradzież danych to pokaźny biznes. W ciągu ostatnich dwóch lat łupem cyberprzestępców mogło paść ponad 1,3 mld rekordów. Metody kradzieży informacji rozwijają się coraz szybciej, a każdego dnia wykrywanych jest średnio więcej nowych zagrożeń niż ataków znanego już szkodliwego oprogramowania.

Najgroźniejsze w skutkach są obecnie zaawansowane ataki o długotrwałym działaniu (ang. Advanced Persistent Threats, APT). Cyberprzestępcy nie stosują już metod losowych lub siłowych, ale działają w sposób bardziej wyrafinowany: infiltrują systemy i kradną dane w sposób uniemożliwiający wykrycie tego procederu. Jeśli w tym czasie środki kontroli nie stwierdzą obecności szkodliwego oprogramowania, użytkownik wcześniej czy później dołączy do grona ofiar.

Do wielu takich incydentów dochodzi dlatego, że nie bierzemy pod uwagę zakresu możliwych zagrożeń lub wektorów ataków. Przestępcy szybko wprowadzają innowacje w szkodliwym oprogramowaniu, wykorzystują luki umożliwiające ataki typu zero-day i stosują nowe techniki omijania zabezpieczeń. W rezultacie wiele środków obronnych staje się bezskutecznych.

Walka z tymi coraz bardziej zaawansowanymi atakami wymaga bardziej kompleksowych i dogłębnych metod. Dzięki opisanym poniżej zasadom przeciwdziałania atakom APT firmy mogą jednak stawić im czoła z pomocą tradycyjnych i zaawansowanych narzędzi do ogólnego zabezpieczenia sieci.

Zapobieganie zagrożeniom znanym

Wiele typów szkodliwego oprogramowania już znamy. Cyberprzestępcy, choć bardzo kreatywni, ulegają tej samej słabości, co większość ludzi: lenistwu. W ubiegłym roku prawie jedna czwarta szkodliwego oprogramowania liczyła sobie ponad 10 lat, a niemal 90% zostało odkryte przed rokiem 2014.

Znane zagrożenia powinny być blokowane natychmiast za pomocą zapór sieciowych nowej generacji (ang. Next Generation Firewall), bezpiecznych bram poczty elektronicznej, zabezpieczeń punktów końcowych i innych podobnych produktów opartych na technologiach precyzyjnie dostosowanych do konkretnych wymagań.

Trudno uwierzyć, jak często specjaliści odpowiedzialni za sieci zapominają o podstawowych zasadach. Proste czynności, takie jak regularne aktualizowanie systemu zabezpieczeń i ciągłe testowanie infrastruktury informatycznej, są fundamentem skutecznej ochrony.

Środki te nie zawsze jednak wykrywają nieznane wcześniej szkodliwe oprogramowanie i ukierunkowane ataki. Ruch w sieci, którego nie udało się szybko zidentyfikować, powinien więc zostać przekazany do następnego punktu wielowarstwowego systemu zabezpieczeń.

Wykrywanie zagrożeń nieznanych

Wiele nowych metod umożliwia wykrywanie nieznanych wcześniej zagrożeń i gromadzenie na ten temat informacji w przystępnej formie. Potencjalnie szkodliwe oprogramowanie można przenieść do wydzielonego środowiska testowego (ang. sandbox), co pozwala na bezpośrednią obserwację bez wpływu na pracę sieci.

Fachowa prasa uznała takie rozwiązanie za doskonałe. Trzeba jednak pamiętać, że choć środowisko sandbox jest bardzo ważnym komponentem planu ochrony, samo w sobie nie stanowi panaceum. Wiemy, jak cyberprzestępcy reagują na nowe technologie: poznają sposób ich funkcjonowania, aby je obejść. Znamy już przypadki omijania środowisk sandbox. Dlatego tak ważne są aktualizacje systemu, który – podobnie jak narzędzia przestępców – powinien być rozwijany i udoskonalany.

Podejmowanie działań w celu ograniczenia skutków ataku

Zapobieganie atakom na sieć jest priorytetem w każdym systemie bezpieczeństwa. Gdy jednak taki atak nastąpi (a kiedyś nastąpi na pewno), najważniejszy jest przejrzysty proces wykrywania zagrożeń i stosowania środków zaradczych.

Po stwierdzeniu włamania należy poddać użytkowników, urządzenia i treści kwarantannie z wykorzystaniem systemów automatycznych i ręcznych w celu ochrony zasobów sieci i danych przedsiębiorstwa. Informacje o nieznanych wcześniej zagrożeniach powinny zostać przekazane do odpowiednich punktów i dogłębnie przeanalizowane. W rezultacie aktualizacje zostaną przesłane z powrotem do różnych usług w sieci, a każda warstwa otrzyma właściwą kombinację aktualnych zabezpieczeń.

Nie istnieje jedna technologia skutecznie chroniąca przed atakami ATP. Kluczem do sukcesu jest odpowiednia integracja i współdziałanie wielu systemów. Każdy komponent odgrywa inną rolę i współpracuje z pozostałymi.

Należy oczekiwać, że cyberprzestępcy będą wdrażać kolejne innowacje i skoncentrują się jeszcze bardziej na wprowadzaniu użytkowników w błąd oraz omijaniu zabezpieczeń. Cudowne środki nie istnieją, ale wielowarstwowe rozwiązanie oparte na sprawdzonych i nowych technologiach, pozwoli przerwać łańcuch zaawansowanych ataków o długotrwałym działaniu.

Patrick Grillo / Fortinet

Certyfikat SSL, a hosting – dlaczego warto poszukać serwera z darmowymi certyfikatami?

75-latek dorabiał do emerytury na szyfrowaniu cudzych danych

Ujawniono najczęściej używane hasła w 2016 roku

Mobilny trojan bankowy Faketoken szyfruje dane i atakuje ponad 2 000 aplikacji

Tanie laptopy poleasingowe – czym się charakteryzują i co je różni od nowego sprzętu z marketu?

Jaki tablet dla dziecka?

Pancerne laptopy – sprzęt, który sprawdza się w każdych warunkach

Zadbaj o swój kręgosłup i spraw sobie wygodne krzesło biurowe

Jak zrobić dobrze wyglądające wideo nawet jeśli nie jesteś profesjonalistą

Ta firma potrafi śledzić ruch przy pomocu dźwięku zamiast światła

Dzięki Google nasze smartfony będą na tyle inteligentne, że będą rozpoznawać ludzi i przedmioty w filmach wideo

Tłumacz Google wspomagany sztuczną inteligencją działa z trzema nowymi językami

Prawdziwie multimedialny Samsung Galaxy A5 (2017)

LTE w smartfonie - nie tylko do social media

Nadchodzące premiery smartfonów - Samsung Galaxy S9, LG G7 i inne

Kupujemy smartfon. O czym pamiętać?