Útoky APT odpovídají svému názvu – je to typ síťového útoku, při kterém útočník vybere konkrétní cíl, používá sociální inženýrství a pokročilé technologie k průniku do sítě a poté se zaměřuje na vybraný cíl po dobu týdnů, měsíců nebo let až do okamžiku, kdy se mu podaří dosáhnout plánovaného výsledku nebo kdy dojde ke zmaření útoku.
Jakmile se dostane do sítě, je cílem útočníka zůstat neodhalený, zatímco přitom používá některé typy malwaru k zachytávání důvěrných informací, jež nakonec odesílá do jiné lokality k analýze a následnému prodeji na černém trhu.
Útoky APT jsou vysoce organizované, někdy se jich účastní celý tým útočníků a mívají dostatek finančních a technologických zdrojů.
Přestože APT mohou používat běžné hackerské nástroje, častěji využívají sofistikovaný, na zakázku vytvořený software, u kterého je nižší pravděpodobnost odhalení systémem ochrany zabezpečení. Typy útoků APT a jejich mechanismy zahrnují útoky nultého dne, phishing, pokročilý malware a rovněž celou řadu forem zneužití webů.
Tento příspěvek se zaměřuje na pět způsobů ochrany majetku organizace před útoky APT. Důležité jsou přitom úplně všechny.
1. Implementace hloubkové obrany
Bezpečnostní experti zdůrazňují potřebu zabezpečení, které využívá vrstvy (neboli hloubkovou obranu) jako součást běžné strategie zabezpečení sítí. Hloubková obrana je také jedním z nejlepších způsobů, jak zastavit útok APT ještě předtím, než infiltruje síť.
Znamená to kontrolovat vstupy a výstupy sítě, používat firewally nové generace, nasadit systémy detekce a prevence vniknutí (IDS/IPS), systémy SIEM (správa informací a událostí zabezpečení), implementovat systém správy zranitelností, využívat silnou autentizaci a správu identit, udržovat aktuálnost oprav zabezpečení a používat ochranu koncových bodů.
Protože je malware často zdrojem útoků APT, potřebujete také vysoce spolehlivé řešení pro omezování rizika malwaru. Vzhledem k tomu, že útoky APT mohou využívat špičkové technologie, musí být vaše bezpečnostní vybavení také na špičce. Znamená to volit pokročilá řešení pro detekci na základě chování, kdykoli je to možné.
Vaším cílem je zvýšení obtížnosti počátečního průniku do sítě, ale i pokud by došlo k překonání této vrstvy, musí každá další vrstva zabezpečení představovat další významnou překážku, která zastaví šíření útoku nebo ho dostatečně zpomalí, aby ho bylo možné zjistit a eliminovat.
Protože útočníci neustále aktualizují své nástroje a hledají nové zranitelnosti (mezery v pancíři), musejí být vaše nástroje také aktuální.
Poznámka: V loňském roce tvořil obrat v segmentu řešení ochrany před útoky APT více než 1,9 miliardy dolarů. Společnost The Radicati Group v roce 2015 uvedla, že očekává do roku 2019 nárůst na více než 6,7 miliardy dolarů ročně.
Ne každé bezpečnostní řešení však musí udělat díru do rozpočtu. Například sada Emet (Enhanced Mitigation Experience Toolkit) od Microsoftu je bezplatným bezpečnostním nástrojem založeným na systému Windows, který doplňuje existující obranu zabezpečení a pomáhá detekovat a blokovat metody zneužívající zranitelnosti.
SecurityIQ je zase služba institutu InfoSec, která vám umožní zasílat personálu fiktivní phishingové e-maily k otestování povědomí o zabezpečení. Silné interní zásady zabezpečení a pravidelné hodnocení rizik a zabezpečení jsou také nezbytné. Umožňují zaměřit bezpečnostní kontrolu tam, kde na tom nejvíce záleží.
2. Využití metod sledování a detekce
Důkladné sledování bezpečnostních kontrol vám pomůže rozpoznat první varovné známky útoku APT, které se často objevují v podobě anomálií v protokolech, přenosech a ve formě dalších aktivit neodpovídajících profilům.
Je kriticky důležité sledovat veškeré příchozí a odchozí síťové přenosy, interní přenosy a všechna zařízení, která přistupují k vaší síti.
Nepřetržitý monitoring vám nejen pomůže odhalit podezřelou aktivitu co nejdříve, ale také omezuje možnosti eskalace oprávnění a dlouhodobé průniky. Výstupy z monitoringu mohou navíc sloužit jako forenzní důkazy, pokud se útok dostane až do takového bodu.
3. Využívání služby threat intelligence
Několik dodavatelů zabezpečení nabízí služby threat intelligence, v rámci kterých se z několika zdrojů sbírají surová data o nově vznikajících hrozbách a poté dochází k jejich analýze a filtrování za účelem vytvoření užitečných a k akci použitelných informací.
Tyto informace jsou často ve formě datových kanálů pro systémy řízení zabezpečení a také reportů pro manažery IT a ředitele, aby jim pomohly pochopit hrozby existující v jejich oboru.
Pro threat intelligence je klíčová souvislost globálních zpráv s hrozbami pro vlastní síť organizace. Bezpečnostní personál tak může v reálném čase rychle identifikovat a vyřešit hrozby s vysokým rizikem.
Útoky APT se mohou šířit různými metodami a mohou se zaměřovat na zranitelnosti, které ještě nejsou bezpečnostním společnostem známé, takže je nezbytné rozpoznávat příznaky útoku APT, co nejdříve to je možné.
Threat intelligence například často poskytne chybějící článek, který propojí anomálie zaznamenané v protokolu (log) sítě se zranitelností nultého dne.
4. Školení pro zvyšování povědomí o zabezpečení
Existuje dobrý důvod, proč se téměř v každé diskuzi o bezpečnosti IT zmiňuje nutnost školení pro zvyšování povědomí o zabezpečení.
Když zaměstnanci skutečně rozumějí tomu, jak je nebezpečné klikat na ošemetné odkazy v e-mailech, a dokážou rozpoznat metody sociálního inženýrství, stanou se z nich partneři v boji proti bezpečnostním hrozbám a nakonec to pomáhá chránit sítě a v nich uložená data.
Školení tohoto druhu musejí zahrnovat rychlý přehled bezpečnostních zásad organizace a také následků pro všechny zaměstnance, pokud by došlo k bezpečnostnímu incidentu v důsledku jejich činnosti.
V závislosti na okolnostech to může znamenat další školení, kritiku na personálním oddělení, nebo dokonce okamžité propuštění. Mějte však na paměti, že zaměstnanec obvykle chce dělat svou práci dobře a nechce být příčinou firemních ztrát plynoucích z útoku.
Nejlepším přístupem tedy je zdůrazňování pozitivních aspektů během školení pro zvyšování povědomí a různé formy motivace pro zvyšování znalostí o zabezpečení.
5. Plán reakce na incidenty
Dokonce i s největším úsilím a s využíváním drahých technologií se může stát, že v určitý okamžik dojde k narušení zabezpečení firmy: většina expertů se shoduje, že otázkou není „jestli“, ale „kdy“.
Použití solidního plánu reakcí na incidenty dokáže eliminovat útok, minimalizovat škody a zastavit další úniky dat – výsledkem je minimalizace následných škod na pověsti a značce.
Kromě popisu odpovědnosti jednotlivých pracovních rolí za konkrétní akce od identifikace po řešení by měl váš plán reakcí na incidenty obsahovat kroky k ochraně forenzních důkazů o narušení. Vaše organizace může tyto důkazy potřebovat k usvědčení útočníků, pokud dojde k jejich dopadení, což bohužel není příliš pravděpodobné.
Forenzní důkazy také pomohou vašemu týmu zabezpečení najít bezpečnostní díry, zesílit kontrolu a zabránit opakování v budoucnu. Jedním z dobrých nápadů také je seznámit se s frameworkem Cyber Kill Chain společnosti Lockheed Martin, který pracuje s modelem útoku a řeší každou posloupnost bezpečnostní události.
Znalost způsobů, jak útočník identifikuje cíl a prochází fázemi útoku, může pomoci personálu zabezpečení rozpoznat útok v rané fázi procesu.
Terčem útoků APT může být každá organizace bez ohledu na její velikost. Pochopení toho, jak útok APT funguje, vybudování nejlepší možné obrany v rámci vašich možností a vzdělávání vašeho personálu, tak aby dokázal rozpoznat vše podezřelé, může omezit škody a v některých případech i v první linii zabránit útoku.
Tento příspěvek vyšel v Security Worldu 4/2016. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU