Hakerzy stosujący ataki APT (tzw. Advanced Persistent Threats), niczym wytrawni pokerzyści nie odkrywają swoich kart od razu. Kiedy jednak zdecydują się już na zagranie – lepiej, żebyśmy mieli jakiegoś asa w rękawie. Sprawdźmy, na czym polegają ataki APT oraz jak ograniczyć płynące z ich strony zagrożenie!
Postęp technologiczny to miecz obosieczny, o czym doskonale zdają sobie sprawę inżynierowie odpowiedzialni za bezpieczeństwo sieci. Czasy prostych wirusów i trojanów niestety dawno minęły. Prawom ewolucji w równym stopniu podlegają zarówno technologie sieciowe, jak i służący do włamywania się do nich wrogi kod.
Z roku na rok złośliwe oprogramowanie staje się coraz groźniejsze, a w jego stale powiększającym się repertuarze pojawiają się zaawansowane funkcje utrudniające lub wręcz uniemożliwiające jego wykrycie. Co gorsza, hakerzy zmieniają też swoje modus operandi, porzucając klasyczne podejście polegające na wyrządzeniu natychmiastowej krzywdy na rzecz konsekwentnych, rozłożonych w czasie działań prowadzonych z ukrycia.
Jak zatem widać, ataki typu Advanced Persistent Threats (które w luźnym tłumaczeniu można by nazywać „Zaawansowanymi Nieustępliwymi Zagrożeniami”) to gra, w której przede wszystkim liczy się cierpliwość.
Ale na czym tak dokładnie polegają ataki typu Advanced Persistent Threats?
Mówiąc w dużym skrócie, mianem APT lub Advanced Persistent Threat określamy wszelkiego typu ataki, w przypadku których haker lub grupa hakerów uzyskuje niedozwolony, długotrwały dostęp do sieci w celu pozyskiwania z niej cennych danych.
Dlaczego mówimy na nie advanced, czyli zaawansowane?
Po pierwsze, ataki typu APT obejmują szeroki wachlarz technik czy to strukturalnych czy niestrukturalnych, wewnętrznych lub zewnętrznych, aby wsadzić przysłowiową stopę w drzwi i ustanowić przyczółek do dalszych działań. Czasami jest atak typu drive-by polegający na zainfekowaniu hosta podczas przeglądania stron www w Internecie, innym razem wrogi kod wprowadzany jest w sposób fizyczny. Jak to mówią Amerykanie, the sky is the limit.
Jednak podczas gdy „tradycyjne” złośliwe oprogramowanie przejawia pewne typowe, uniwersalne wzory zachowania, ataki typu Advanced Persistent Threats są starannie planowane i projektowane z myślą o konkretnych firmach lub organizacjach. Jeśli znalazłeś się na celowniku tego rodzaju „profesjonalistów”, Twoje systemy zabezpieczeń z pewnością zostały już bardzo dokładnie przestudiowane.
Dlaczego określamy je jako persistent, czyli nieustępliwe?
Ataki APT określa się mianem „gry na przeczekanie” – celem jest uzyskanie dostępu do sieci pozostając niewykrytym, niezależnie od tego ile czasu ma to zająć. Jeśli sytuacja tego wymaga, hakerzy są w stanie czekać długimi miesiącami na dogodny moment do uderzenia. Przykładowo, zespół odpowiedzialny za cyberbezpieczeństwo firmy Bayer, niemieckiego giganta farmaceutycznego, obserwował aktywność złośliwego oprogramowania w swojej sieci przez ponad rok.
Aby uzyskać dostęp do sieci, cyberprzestępcy często korzystają z uwierzytelnionych połączeń. Oznacza to, że atakujący mogą korzystać z danych dostępowych pracowników lub partnerów, które uzyskują np. poprzez ataki phishingowe. Jeśli sztuka ta im się powiedzie i zabezpieczenia zostaną sforsowane, hakerzy potrafią uniknąć wykrycia na tyle długo, by „zmapować” systemy i dane wewnątrz organizacji oraz nakreślić plan wydobywania cennych informacji.
Dlaczego stanowią one dla nas zagrożenie, czyli threat?
Ataki APT może i nie są zbyt szybkie, ale to wcale nie znaczy że stanowią mniejsze zagrożenie. Stawka w tej ryzykownej grze bywa naprawdę wysoka. Boleśnie przekonał się o tym Cosmos Bank – najstarszy bank w Indiach padł ofiarą północnokoreańskiej grupy Larazus. Hakerzy, którzy zdołali zainfekować serwery bankomatów i uzyskać dostęp do informacji o kartach kredytowych klientów, ukradli z ich kont ponad 13 milionów dolarów. Poprzez starannie zaplanowany i skoordynowany atak skoncentrowany na infrastrukturze sieciowej banku, przestępcy skutecznie ominęli trzy podstawowe bariery bezpieczeństwa, jakie w swoich wytycznych dla instytucji finansowych określa Interpol.
Powiesz pewnie: „w mojej sieci coś takiego by nie przeszło”…
…lecz badania pokazują, że w większości tego typu przypadków po uzyskaniu dostępu do sieci atakujący pozostaje w niej niewykryty przez średnio 256 dni. Co więcej, 81% organizacji nie dowiaduje się o problemie samemu, lecz dopiero po otrzymaniu powiadomienia od instytucji zewnętrznych, takich jak banki, firmy świadczące usługi w zakresie kart kredytowych czy organy ścigania.
W przypadku 70% zidentyfikowanych prób hakerzy korzystali ze złośliwego oprogramowania, aczkolwiek ataki były bardzo dokładnie przemyślane i często precyzyjnie skoordynowane. To podstawa, na której operują ataki typu APT. Zasady gry się zmieniły, dlatego specjaliści odpowiedzialni za bezpieczeństwo sieci zdecydowanie powinni poprawić swoją dyspozycję.
Jak chronić się przed atakami typu APT, czyli Advanced Persistent Threats?
Agencje bezpieczeństwa i wywiadu, jak chociażby NSA w Stanach Zjednoczonych, rekomendują stosowanie wysoce granularnej mikrosegmentacji sieci w oparciu o koncepcję zerowego zaufania (ang. zero trust). Praktyka ta pomaga zapobiegać ruchowi bocznemu w atakach na sieci, co znacznie ogranicza zdolność hakerów do uzyskiwania kolejnych dostępów. Skutecznym rozwiązaniem jest także funkcja stealth networking, która utrudnia lub całkowicie uniemożliwia skanowanie i pingowanie adresów IP.
Uzupełnieniem powyższych funkcji jest zautomatyzowana elastyczność, rozumiana jako zdolność sieci do rozciągania na dowolny punkt końcowy, urządzenie czy chmurę a następnie jej automatyczne wycofanie do stanu wyjściowego. Koncepcja zerowego zaufania (zero trust) zakłada przyznawanie dostępu do sieci użytkownikom i urządzeniom wyłącznie w drodze pozytywnej weryfikacji i uwierzytelnienia.
A co jest w tym wszystkim najlepsze? Nie trzeba wyciągać z rękawa żadnego asa. Wszystkie powyższe funkcje, a także wiele innych przydatnych możliwości oferuje nasze wiodące na rynku rozwiązanie sieciowe – Extreme Fabric Connect!