Czy istnieją narzędzia, które mogą wziąć pod uwagę przedsiębiorstwa podczas tworzenia strategii ochrony przed atakami APT? Tak, chociaż nie istnieje jedna, uniwersalna i idealna metoda poradzenia sobie z tym problemem. Można natomiast skorzystać z kilku rozwiązań, dzięki którym – bez względu na to, w jaki sposób taki atak jest przeprowadzany – istnieje duże prawdopodobieństwo wykrycia poszczególnych jego faz. Można także utrudnić wykorzystanie przejętych informacji (np. hasła administratora) do uzyskania dostępu do najważniejszych aktywów firmy. Świetnie nadają się do tego rozwiązania Dell Software.

Każdy atak APT ma kilka faz. Jedną z najważniejszych jest targeting, czyli proces, w trakcie którego atakujący zbiera informacje o celu ataku. Do jego przeprowadzenia często wykorzystywane są kampanie phishingowe i zainfekowane wiadomości pocztowe.

Przykładem rozwiązań, które zapewniają ochronę poczty korporacyjnej przed tego typu działaniami, są systemy z rodziny SonicWALL Email Security. Dzięki nim firmy mają możliwość blokowania poczty zawierającej szkodliwe załączniki czy łącza URL. Rozbudowana sieć GRID (Global Response Intelligent Defense), składająca się z ponad 4 mln węzłów i milionów punktów oceny reputacji, chroni przed infekcją, której źródłem jest wiadomość pocztowa. Oczywiście samo rozwiązanie do monitorowania poczty nie może być wystarczającym zabezpieczeniem, natomiast stanowi ważny element systemu ochrony, ograniczający i utrudniający pierwszą fazę przeprowadzenia ataku APT.

Czym jest atak APT?

APT to skrót charakteryzujący precyzyjnie sprawców ataku oraz sposób, w jaki jest on przeprowadzany.

• Advanced (zaawansowany) – w tym przypadku oznacza to perfekcyjną znajomość metod umożliwiających przeprowadzanie ataku cybernetycznego, ale również szeroką wiedzę na temat technik administrowania całą gamą różnych systemów IT oraz umiejętności tworzenia nowych narzędzi i exploitów wykorzystywanych do wywołania zagrożenia.

• Persistent (rozciągnięty w czasie, trwający) – atakujący przez długi czas przygotowuje się do swojego zadania, a fakt śledzenia, badania, penetrowania środowiska ofiary pozostaje niewykryty przez miesiące lub lata.

• Threat (zagrożenie) – sprawca jest bardzo dobrze zorganizowany, posiada odpowiednie środki do opracowania i przeprowadzenia ataku, jego motywacja i możliwości są bardzo silne.

 

Gdy przestępcy zdobędą już informacje o celu ataku, przechodzą do fazy, w której wybierane są najkorzystniejsze i najefektywniejsze metody infekowania, a następnie przeprowadzają rekonesans. W trakcie tego etapu ataku APT może nastąpić  zainstalowanie i uruchomienie oprogramowania mającego na celu zaciemnienie całego obrazu ataku, przejmowanie kont z szerokimi uprawnieniami, a także zacieranie śladów polegające na wyłączeniu mechanizmów audytu wbudowanych w systemy.

Aby zapobiec tej fazie ataku agresji, Dell Software proponuje przede wszystkim oprogramowanie Change Auditor. Chroni ono sieci bazujące na systemie Windows oraz zapewnia monitorowanie zdarzeń w czasie rzeczywistym, raportowanie i powiadamianie o istotnych zmianach – bez wykorzystywania modułu audytu wbudowanego w system operacyjny. Dzięki centralnej konsoli administrator zyskuje pełny wgląd w to, które systemy są monitorowane, a wszystkie informacje dotyczące zdarzeń związanych z bezpieczeństwem gromadzone są w centralnej bazie audytowej. Rozwiązanie Change Auditor sprawia, że atakujący nie będzie wiedział, iż jego działania rejestrowane są w innym, niż wbudowany moduł audytu Microsoftu, systemie.

 

Trzy pytania do…

Mariusza Przybyły, IAM Solutions Architect, Quest Dystrybucja

CRN Jak dużą krzywdę są w stanie wyrządzić atakujący w modelu APT?

Mariusz Przybyła Przykładów skutecznie przeprowadzonych ataków APT jest wiele, w tym dużo spektakularnych. Jedynie przypadek zdecydował, że nie powiodła się kradzież prawie miliarda dolarów z konta Banku Centralnego Bangladeszu, utrzymywanego w nowojorskim Banku Rezerwy Federalnej. Tylko dzięki literówce w nazwie odbiorcy i podejrzanie dużej kwocie przelewu udało się zablokować przelanie całej sumy na konta kontrolowane przez przestępców. Pomimo tego ponad 80 milionów dolarów zostało skradzionych, a przelewy były poprawnie zautoryzowane w systemie transakcyjnym Banku Rezerwy Federalnej USA. Prawdopodobnie skradzionych pieniędzy nie uda się odzyskać, a szanse na znalezienie sprawców są znikome. Dlatego tak ważna jest wielopoziomowa ochrona przed zagrożeniami typu APT.

 

CRN Czy możliwe jest pełne zabezpieczenie?

Mariusz Przybyła Przed atakami typu APT nie ma stuprocentowej ochrony, zresztą modele ich prowadzenia cały czas są modyfikowane przez cyberprzestępców. Natomiast wszystkie wymienione rozwiązania mogą stanowić składnik wielopoziomowej strategii ochrony, utrudniającej atak na firmę oraz umożliwiającej wcześniejsze – niż bez ich użycia – jego wykrycie, również w sytuacji, gdy jego źródła znajdują się wewnątrz przedsiębiorstwa. Rozwiązania Dell Software wyróżnia szybkość wdrożenia i zwrotu poniesionych kosztów zakupu. Dzięki niewielkim nakładom firmy zyskują znacznie lepsze możliwości monitorowania i wykrywania podejrzanych działań, które bywają  symptomami poważnych zagrożeń.

 

CRN Co stanowi największe wyzwanie podczas ataku APT?

Mariusz Przybyła Jedną z najgorszych cech ataku typu APT jest rozciągnięcie w czasie. Cyberprzestępcy starają się zarządzać dostępem do zdobytej sieci w celu kontynuacji ataku. W tej fazie używane są pozyskane wcześniej dane logowania oraz narzędzia niezbędne do kontrolowania dostępu. Również i w tym przypadku rozwiązania takie jak TPAM i Defender stanowią dodatkową barierę, a możliwość śledzenia zdarzeń w czasie rzeczywistym przez oprogramowanie Change Auditor zapewnia wykrycie podejrzanych działań.

 

Change Auditor jest w stanie szybko poinformować administratorów o zwiększonej liczbie podejrzanych zdarzeń, a tym samym wykryć działania intruza w sieci. Zapewnia proaktywną kontrolę – gromadzi w czasie rzeczywistym wszystkie informacje i prezentuje pełną historię zdarzeń (kto, co, kiedy, gdzie itd.). Tworzy także raporty o aktywności użytkowników – od zalogowania do wylogowania. Udostępnia gotowe raporty, zgodne z takimi regulacjami jak SOX czy PCI DSS.

Większość atakujących dąży do przechwycenia kont z szerokimi uprawnieniami (tzw. superużytkowników), z których planuje korzystać przez długi czas. Zatem objęcie tych kont kontrolą, która polega na zarządzaniu hasłami do nich oraz okresowej weryfikacji tych haseł, sprawia, że możliwe jest bardzo szybkie (w porównaniu z długością trwania ataku) wykrycie symptomów nieautoryzowanego wykorzystania uprzywilejowanych kont (np. zmiany haseł poza systemem lub tworzenia nowych kont z dużymi uprawnieniami). Taką funkcjonalność zapewnia oprogramowanie z rodziny TPAM – jego proaktywne działanie polega na ochronie dostępu do haseł do tego typu kont. Jest to działanie unikalne i warto zwrócić uwagę klientów na ten właśnie sposób ochrony. Zazwyczaj przedsiębiorstwa wybierają drogę na skróty i wdrażają rozwiązania do nagrywania sesji, ale bez zarządzania hasłami kont uprzywilejowanych.

Dla administratorów oraz pracowników korzystających ze zdalnego dostępu do firmowej sieci Dell proponuje rozwiązanie Defender. Jest to serwer dwuskładnikowego uwierzytelniania, dzięki któremu atakującym utrudnia się dostęp do poufnych informacji.

Dystrybutorem oprogramowania Dell Software w Polsce jest wrocławska firma Quest Dystrybucja. Ma oficjalny status dystrybutora z wartością dodaną (Value Added Distributor) oraz partnera wsparcia technicznego (Support Providing Partner). Oferuje asystę techniczną w realizacji projektów, usługi wdrożeniowe i konsultacyjne, szkolenia oraz sprzedaż licencji oprogramowania Dell Software i odnowy asysty technicznej na terenie Polski. Do dyspozycji partnerów i ich klientów jest też prowadzone przez Quest centrum kompetencyjne w Warszawie.

Dodatkowe informacje:

Mariusz Przybyła,

IAM Solutions Architect, Quest Dystrybucja,

m.przybyla@quest-pol.com.pl,

www.quest-pol.com.pl

Artykuł powstał we współpracy z firmami Dell Software i Quest Dystrybucja.