Image Image Image Image Image Image Image Image Image Image

it-manager | 20/09/2017

Scroll to top

Top

Brak wypowiedzi

APT to nie jest dobra nazwa

APT to nie jest dobra nazwa


O ukierunkowanych atakach i obronie przed nimi mówi Udo Schneider, Security Evangelist w Trend Micro.

 

Czy rzeczywiście powinniśmy się aż tak bardzo obawiać ataków APT? Może to jednak bardziej straszak, używany przez dostawców zabezpieczeń, którzy lubią budzić pewien niepokój swoich klientów?

Osobiście nie lubię terminu APT. Pojęcie Advanced Persistent Threat po raz pierwszy pojawiło się w 2006 r. w kręgach związanych z obronnością w USA i dotyczyło militarnych zagrożeń. W związku z tym do APT w sensie informatycznym przylgnęło przekonanie, że odnosi się przede wszystkim do ataków na organizacje związane z instytucjami państwowymi. Dlatego firmy i korporacje zwykły sądzić, że jeżeli nie są związane z rządem, to nie raczej nie powinny być celem ataków.

Dlatego znacznie trafniejsze jest określanie tego rodzaju zagrożeń jako Targeted Attacks – ataków ukierunkowanych. Na konkretny cel. A takim celem może być każdy. Z punktu widzenia atakującego, jeśli firma ma jakieś zasoby, wrażliwe dane czy cokolwiek, co może zostać zamienione na pieniądze, to jest warta ataku. To nie znaczy, że zostanie zaatakowana, ale celem pozostaje.

Jak zatem powinniśmy się zabezpieczyć przed tego rodzaju atakami?

Powinniśmy być przygotowani na atak ukierunkowany, a obrona przed nim wiąże się zawsze z ograniczaniem ryzyka. Wymaga myślenia o tym, jak zareaguję, gdy stanę się celem takiego ataku. I tu nie chodzi tylko o środki techniczne, a nawet przede wszystkim nie o to.

Najgorszym scenariuszem jest panika. Gdy przyjrzymy się katastrofom, zauważymy, że do większości strat dochodzi tuż po zdarzeniu z powodu nieskoordynowanych, chaotycznych działań. Dlatego oprócz rozwiązań technicznych musi być wdrożony kompletny proces reagowania na incydenty. Powinien on być stworzony, zanim dojdzie do incydentu. Oczywiście, dotyczy to też technicznych aspektów (działania sieci, operacji klient-serwer itp.), ale w zasadniczej mierze proces powinien polegać na zasobach ludzkich.

Jeśli dojdzie do ataku, musimy wiedzieć, kogo wezwać, kto jest członkiem zespołu reagowania na incydenty, jakie zadania zostały mu przydzielone. Gdy chodzi już o kwestie dochodzeniowe, musimy dysponować narzędziami, które gromadzą dane z najróżniejszych źródeł. Incydent naruszenia bezpieczeństwa możemy badać tylko na podstawie danych, jakie zdołaliśmy w związku z nim zebrać.  

A jeśli przyjrzeć się technicznym zabezpieczeniom przed atakami ukierunkowanymi, to na co zwrócić uwagę?

W zwalczaniu ataków ukierunkowanych przyjęło się sądzić, że sandboxing jest Świętym Graalem, że wszystko załatwia. To dobra technika, ale tylko jedna z tych, których powinniśmy użyć, w dodatku bardzo zużywająca nasze zasoby. Jeśli musimy zbadać każdy plik i każdy dokument, który wędruje przez organizację, przepuszczając go przez sandbox, będzie to bardzo zasobożerne.

Moim zdaniem sandboxing powinien być traktowany wyłącznie jako ostatnia instancja. Zanim się na nią zdecydujemy, powinniśmy wykorzystać inne techniki detekcji zagrożeń, które bardzo szybko pomogą określić, czy coś powinno trafić do „piaskownicy”, czy też nie. Ważne jest także to, że powinniśmy dostosować technikę sandboxingu do naszych warunków i wymagań. Na rynku są oferowane narzędzia określane jako „standardowy” lub „domyślny” sandbox. Moja dobra rada: nie należy ich używać. Jeśli byłbym atakującym, to dobrze odrobiłbym pracę domową i wiedziałbym, że ofiara wykorzystuje „standardowy” sandbox i odpowiednio się do tego przygotował.

Ponieważ nie ma jednego narzędzia do wszystkiego, trzeba stworzyć wielowarstwowe środowisko ochrony. Jak to zrobić?

Gdy budujemy wiele warstw ochrony, najłatwiej jest nam myśleć w kategoriach produktów. Stawiamy antywirus w tym miejscu, firewall w tamtym, sandbox jeszcze gdzie indziej, tutaj dajemy monitorowanie logów itd. Ale powinniśmy się z tym cofnąć o krok i sprawdzić, jak wygląda całe środowisko, jak współgra z procesami przebiegającymi w firmie, gdzie są dane, które mają być chronione. Bo może się okazać, że mamy dobry produkt umieszczony w złym miejscu. Dlatego trzeba wiedzieć, jakie narzędzie warto zastosować i gdzie ono powinno funkcjonować w strukturze organizacji.

Wywiad został przeprowadzony w ramach konferencji Advanced Threat Summit zorganizowanej przez firmę Evention oraz Stowarzyszenie ISSA Polska. Konferencja odbyła się 19-20.11. 2014 r. w Centrum Sztuki Fort Sokolnickiego w Warszawie. www.atsummit.pl

atsummit2014

Wypowiedz się

Wszelkie prawa zastrzeżone