APT
W dzisiejszych czasach dużo mówi się o szkodliwych programach, które wpływają na naszą codzienną aktywność. Niektóre z nich są bardziej niebezpieczne od innych – zależy to od tego, czy celem jest zwykły użytkownik czy firma. Organizacje są także zagrożone atakami na ich własność intelektualną, co jest kluczowym elementem funkcjonowania w biznesie.
Zaawansowane długotrwałe ataki – APT (ang. Advanced Persistent Threats) należą do grupy najniebezpieczniejszych działań cyberprzestępczych. Podczas konferencji RSA (RSA Conference 2013), która odbywa się w Amsterdamie, spotkaliśmy się z Neilem Thackerem, analitykiem bezpieczeństwa w WebSense, Jaimiem Blasco, dyrektorem Alien Vault Labs oraz Costinem Raiu, dyrektorem GReAT (Global Research and Analysis Team) w Kaspersky Lab. Z ich pomocą ujawniamy cechy charakterystyczne tych ataków i sposoby walki, których podjąć się mogą organizacje i osoby prywatne.
Zaawansowane długotrwałe ataki – sama nazwa potrafi zastraszyć, prawda? Zaawansowane, z powodu narzędzi użytych do przeprowadzenia tych ataków, które są bardziej wyrafinowane od tych zwykle używanych przez cyberprzestępców. Długotrwałe, ponieważ mogą one penetrować i inwigilować firmę miesiącami, a nawet latami. Ataki te dotyczą głównie firm, niemniej jednak użytkownicy domowi nie są bezpieczni – możesz nie posiadać danych, które zainteresują cyberprzestępców, jednak możesz okazać się użyteczny do przeprowadzenia dalszych ataków, gdzie celami będą członkowie rodziny i przyjaciele zajmujący ważne stanowiska w dużych firmach. Szkody wyrządzone przez tego typu ataki są znacznie bardziej poważne od szkód spowodowanych atakiem szkodliwego oprogramowania – jak wyjaśnia Neil Thacker – „przestępcy używają różnych wektorów ataków, różnych typów exploitów i słabości, po to by uzyskać dostęp do ważnych firmowych danych”. Rodzi się pytanie – co tak naprawdę cyberprzestępcy obierają za cel w atakach tego typu?
Główny cel – własność intelektualna
Większość firm przechowuje istotne dane wewnątrz własnej sieci. Patenty, innowacyjne projekty, wrażliwe i tajne dane – wszystko jest przechowywane w sieci firmowej. Głównym celem ataków APT jest własność intelektualna. Przestępcy identyfikują pracownika, który ma dostęp do wrażliwych danych (najlepiej by była to osoba, która nie jest świadoma wszystkich kwestii związanych z bezpieczeństwem) w celu infiltracji sieci i zebrania wszystkich danych przechowywanych na komputerze tegoż pracownika. „Jeżeli posiadasz informacje tego typu w firmie, powinieneś być świadomy zagrożeń i wykorzystać wszystkie możliwe środki, które obecnie są dostępne, by chronić własność intelektualną” – ostrzega Jaime Blasco. Niestety przestępcy mogą skupić się nie tylko na szpiegowaniu. Mogą wyrządzić realne szkody i sparaliżować działanie konkretnej firmy. Jak wyjaśnia Costin Raiu, dyrektor działu badawczego w Kaspersky Lab – „zajmowaliśmy się już sprawami, w których ataki tego typu powodowały bezpośrednie szkody w funkcjonowaniu firmy. Na przykład, atak wymierzony w Saudi Aramco, firmę z branży naftowej, sparaliżował 30 000 komputerów we wrześniu ubiegłego roku. Zgadza się, własność intelektualna jest najbardziej prawdopodobnym i głównym celem, jednak paraliż całej sieci, w wyniku czego firma nie może normalnie funkcjonować, ma także daleko idące konsekwencje”. Teraz, kiedy ustaliliśmy fakty, zastanawiacie się pewnie, w jaki sposób i przy użyciu jakich narzędzi firmy mogą chronić się przed tego typu atakami.
Nie ma panaceum, ale z potworem można walczyć
Pierwszą rzeczą, o której należy wspomnieć i z czym zgadzają się nasi trzej eksperci – na tego typu ataki nie ma panaceum, uniwersalnego środka zaradczego. Niemniej jednak, każdy z nich podpowiada nam w jaki sposób zminimalizować ryzyko wystąpienia takiego ataku do minimum.
Nie ma magicznej formuły, jednak pewne zachowania i procesy muszą zostać wdrożone. Jaimie Blasco tłumaczy nam: „Z pewnością potrzebne są różnego rodzaju technologie do ochrony przed tego typu zagrożeniami, jednak dla mnie rozwiązaniem jest kombinacja procesów, technologii oraz ludzkich zachowań. Profilaktyka i edukacja są najważniejszymi czynnikami”. Costin Raiu dodał: „Analiza i kontakt z ofiarami ataków APT jest także bardzo pomocna. Dzięki temu eksperci zaobserwowali, że 95% ataków APT dotyka firm, w których standardy bezpieczeństwa nie są wystarczające. Firmy te nie znają ryzyka i praktyk z zakresu bezpieczeństwa, nie instalują aktualizacji dla użytkowanych programów, nie posiadają także aplikacji antywirusowych gotowych do walki z nowoczesnymi zagrożeniami. Właśnie ten sposób dochodzi do ataków. Po pierwsze firmy muszą się upewnić, że posiadają najnowsze aktualizacje, najnowszy system operacyjny oraz bezpieczne przeglądarki (takie jak Chrome czy Firefox) z najnowszymi łatkami. Istnieje także potrzeba edukowania użytkowników. Jeżeli uda ci się połączyć wszystkie te zależności, będziesz lepiej zabezpieczony przeciwko atakom ukierunkowanym”. Neil Thacker jest zaniepokojony: „Należy także edukować pracowników. Edukacja musi zostać przeprowadzona na wszystkich szczeblach organizacji. Nie można lekceważyć cyberprzestępców. Jeżeli znasz ryzyko i podjąłeś wszystkie niezbędne środki ostrożności, oni nie zawahają się zaatakować jednego z partnerów firmy by użyć go przeciwko tobie”.
Podsumowując, można śmiało założyć, że ataki ukierunkowane i ataki APT będą dalej przeprowadzane, tak długo jak firmy posiadają atrakcyjne dane. Nie ma cudownego rozwiązania, jednak profilaktyka i edukacja wydają się być pierwszym krokiem do zwiększenia bezpieczeństwa. Pamiętaj także, że stuprocentowe bezpieczeństwo nie istnieje. W związku z tym należy zawsze być czujnym.
Porady