2020.01.08. 18:00
Nem úri mulatság: befektetés a megfelelő védelem
Az ATP jellegű kibertámadások szervezetten történnek, és vállalatokat, kormányzati szerveket egyaránt érhetnek.
Forrás: Shutterstock
A kibertámadások sokszor nem magányos hackerektől, hanem szervezett és szakosodott csoportoktól indulnak. Ezek a csoportok előrehaladott technológiák felhasználásával (legyen az akár például mesterséges intelligencia) kitartóan és némán támadják a kiszemelt célpontot. Ha már bejutottak, a vállalati hálózaton belül a lehetőséghez mérten rejtve maradnak, és lassan, folyamatosan szipkázzák ki a vállalati adatvagyont.
Az Accenture 2019-es tanulmánya szerint az APT (Advanced Persistent Threat) támadásokra különböző szakcsoportok jönnek létre, amelyek megosztják egymás között a sikeresen használt taktikákat, és széleskörű támadásokat visznek véghez. Például
az orosz gyökerű Silence APT a pénzügyi intézetekre szakosodik, és eddig sikeresen lopott el többmillió dollárt világszerte.
Az APT csoportok támadásai nemcsak kereskedelmi szervezetek ellen irányulnak, hanem kormányzati intézményeket is megcéloznak, ekkor tipikusan politikai célokat kívánnak elérni, sokszor állami háttértámogatással – írja a G Data.
Hogyan lehet egyáltalán felismerni?
Sem a kicsi, sem pedig a nagy szervezetek nincsenek alapból védve az APT támadások ellen, ezért fontos megérteni, hogyan is dolgoznak a bűnözők, és milyen biztonsági intézkedésekkel előzhetjük meg, hogy célt érjenek.
Az APT csoportok csendben dolgoznak, kitartóan, sikereiket nem kürtölik világgá, így hosszú idő telhet el, míg egy vállalat egyáltalán rájön, hogy kiberbűncselekmény áldozatává vált. Vannak azonban árulkodó jelek, hogy egy APT csoport a cég hálózatát próbálgatja.
Túlzott login aktivitás
Az APT támadások nagyon sok esetben a főkapun indulnak. A hackerek brute force próbálkozásokkal igyekeznek kitalálni a felhasználóneveket és jelszavakat – vagy már megszerezték őket, csak pontosan nem tudják, mely rendszerben lehet őket használni. Ha nagyon sokszor van belépési próbálkozás, főleg irodai órákon kívül, akkor egy kezdődő APT támadást is gyaníthatunk a háttérben.
Kártevő robbanás
Az APT csoportok különböző kártevők segítségével is próbálkozhatnak bejutni hálózatunkba. Ha az antivirus megoldásunk gyakran talál új kártevőket (melyek tevékenységét egyébként időben leállította), akkor elképzelhető, hogy az APT csoportok folyamatosan próbálkoznak bejutni.
Szokatlanul megnövekedett forgalom
A bűnözők a vállalat erőforrásait használják támadásaikhoz. Egy aktív kártevő a végponton lévő számítógép számítási kapacitását és memóriáját használja tevékenységéhez. Ha már bent vannak a hálózatban, a hackerek belső szervereken tárolják az adatokat.
A hirtelen megnövekedett hálózati forgalom szintén árulkodó jel: a sok eltulajdonítani tervezett adatot interneten keresztül szivárogtatják ki.
Erősítsük az IT védelmet
Mindezekre a tevékenységekre a naplófájlok elemzéséből derülhet napfény, az IT szakemberek feladata rendszeresen elemezni és értékelni a hálózati forgalmat – szoftveres megoldások is segítenek ebben a munkában. Elemezni kell a naplófájlokat, rutin biztonsági teszteket futtassunk le, hogy lássuk időben, van-e valaki, aki kívülről be szeretne hozzánk törni.
Ideje lehet logelemző megoldást beszerezni
Emellett fontos, hogy a vírusvédelmi rendszerünk naplóit is rendszeresen átnézzük és elemezzük.
A vírusvédelmet nem elegendő egyszer telepíteni, és nem lehet a telepítés után hosszú időre magára hagyni. Be kell állítani a megfelelő jelentéseket, és figyelemmel kell kísérnünk a védelem állapotát és jelzéseit.
Vállalati szintű biztonsági megoldásokat használjunk, melyek proaktívan megvédenek a támadásoktól. Rendszereinket és alkalmazásainkat mindig frissítsük, telepítsük a legújabb biztonsági frissítéseket (patch-eket).
Sok sikeres támadás egy ismert, de nem frissített sérülékenységből indul ki – holott a szoftvercégek eléggé gyorsan kiadják a javításokat.
Tartsunk rendszeres képzéseket, növeljük kollégáink biztoságtudatosságát, hiszen nagyon sok esetben social engineering eszközökkel, vagyis pszichológiai trükkökkel igyekeznek megszerezni a meglévő felhasználónév-jelszó kombinációkat.
Az IT biztonságra nem úri kiadásként, hanem befektetésként kell gondolni. Az APT támadások visszafordíthatatlan károkat okozhatnak vállalatoknak, s az adatveszteség mellett számolni kell a bizalomvesztéssel, a nem tervezett leállással és a rendszerek visszaállítási költségével is.
Borítóképünk illusztráció