04/10/2017

Łagodzenie skutków po ataku ukierunkowanym: wszystko może pójść źle

Biznes

Ataki ukierunkowane wymierzone w firmy różnią się pod względem poziomu wyszukania, celu oraz punktów wykorzystanych do przedostania się do infrastruktury korporacji, ale łączy je jeden fakt — niewyobrażalnie trudno je wykryć. Ponadto wiele trudności może nastręczać naprawianie szkód wyrządzonych przez atak po jego wykryciu. Krytyczną rolę odgrywa tu czas. Skuteczna naprawa opiera się na dwóch kluczowych elementach: technologii i analizie.

Analiza

Jeśli chodzi o analizę bezpieczeństwa, najczęściej jest ona rozumiana jako wiedza, w jaki sposób firma może zostać zaatakowana. Jest to istotna część doświadczenia w obszarze bezpieczeństwa, ale nie jedyna. Z uwagi na to, że firmy poświęcają 80% swoich zasobów na technologie zapobiegawcze, wystąpienie naruszenia bezpieczeństwa może okazać się dla nich nie lada problemem. Cyberprzestępcy potrafią świetnie zacierać swoje ślady, zatem gdy atak zostanie wykryty, firma może się znaleźć w nieciekawym położeniu, gdyż nie będzie wiedzieć, ile komputerów zostało dotkniętych atakiem, czy logi zostały wymazane a dowody wycieku zniszczone. Co gorsza, gdy przywracanie po ataku zostanie pomyślnie ukończone, firma nadal może znajdować się w grupie zagrożenia ze względu na niezidentyfikowane luki w bezpieczeństwie w jej infrastrukturze.

Właściwa analiza poziomu bezpieczeństwa łączy wiedzę na temat potencjalnych i rzeczywistych działań cyberprzestępczych z informacjami oraz metodami umożliwiającymi zgromadzenie wszystkich niezbędnych danych odnośnie trwającego ataku. Połączenie to osiąga się dzięki wiedzy eksperckiej i narzędziom, utworzonym w obrębie jednej firmy i/lub we współpracy z ekspertami z branży zabezpieczeń.

Technologia

Nawet nieduża firma produkuje znaczne ilości danych. Każdego dnia do chmury wysyłane i odbierane są terabajty danych i nawiązywane są miliony połączeń: z poczty e-mail, komunikatorów czy sieci społecznościowych. Chociaż atak może dotknąć jedynie części tej komunikacji, każdy wyciek na zewnątrz nawet niewielkiej ilości danych może skutkować dużymi kłopotami. Granice sieci można naruszyć na milion sposobów. Absolutnie niezbędne jest zmniejszenie powierzchni możliwości ataku, choć włamania i tak będą się zdarzać od czasu do czasu. Z pomocą przychodzi w tym miejscu technologia.

Tworząc nasz produkt Kaspersky Anti Targeted Attack, skoncentrowaliśmy się na jednym celu. Wiedzieliśmy, jak ważne jest połączenie sprawdzonych technologii zabezpieczających przed szkodliwymi programami, zaawansowanych nowych sposobów analizy statycznej, a także uczenia maszynowego, aby dostrzec w komunikacji przez internet maleńkie bity należące do działalności cyberprzestępczej. Żaden ekspert ds. bezpieczeństwa nie może kontrolować wszystkiego, dlatego tak potrzebne jest wsparcie ze strony sprzętu — kontrolowanie każdego transferu danych i analizowanie toku pracy pod kątem rozbieżności, a także kojarzenie różnych śladów w celu wywołania uzasadnionego alarmu.

Wobec tego gdy komputer pracownika łączy się z nieznanym dotąd serwerem znajdującym się w odległym kraju, może to być działanie podejrzane. Jednak może być to również fałszywy alarm. A jeśli zdarza się to o 3 nad ranem, gdy w biurze nie ma nikogo? Czy został wcześniej pobrany nieznany plik wykonywalny? W takim przypadku warto poinformować dział odpowiedzialny za bezpieczeństwo.

Gdy firma próbuje zabezpieczyć się przed atakami ukierunkowanymi na własną rękę, musi poradzić sobie z surowym środowiskiem wielu nieznanych jej zmiennych i milionami metod ataku na tysiące urządzeń, od routerów po smartfony. Jedynym sposobem na to, aby trzymać rękę na pulsie, jest zgromadzenie wielu ton danych i przydatnej wiedzy na temat nieustannie ewoluującego krajobrazu zagrożeń, aby wdrożyć odpowiednie działania tak szybko, jak to możliwe.

To podeście wykorzystujące dane do ochrony firm przed najbardziej wyszukanymi i ukierunkowanymi atakami wymaga dysponowania dogłębną wiedzą branżową oraz odpowiednią technologią. W przypadku, gdy zautomatyzowane systemy dostrzegą atak ukierunkowany, ochrona przed nim wymaga posiadania umiejętności i wiedzy na poziomie zawodowców. Jednak skuteczność osób będących zawodowcami wynika z tego, w jakim stopniu atak jest udokumentowany – przez technologię – na każdym etapie.

W zeszłym roku jedna piąta firm doświadczyła ataku ukierunkowanego, tracąc w wyniku każdego takiego incydentu od 38 tys. dolarów do pół miliona. Zatem to dobry czas na to, aby zacząć działać i połączyć wiedzę ekspercką z zaawansowaną technologią w celu osiągnięcia najlepszej ochrony z możliwych.