A címlapok élére sokszor kerülnek nagy horderejű biztonsági incidensek, de az esetek többségében mégsem ezek okozzák a legtöbb kárt. Sokkal több veszélyt hordoznak azok a támadások, amelyekről maguk az áldozatok sem tudnak.

Ahogy a közmondás tartja, amelyik kutya ugat, az nem harap. Bizonyos szempontból igaz mindez a kiberbűnözésre is, legalábbis abból a megközelítésből biztosan, hogy a legveszélyesebb támadások csendben, fű alatt történnek, sokszor olyan módon, hogy a célkeresztbe állított szervezet sem tud róla. Vagyis azok a legdurvább támadók, akik feltűnésmentesen, a háttérben végzik a dolgukat, és korántsem vágynak nagy hírnévre. A cél ugyanis legtöbbször a folyamatos információszerzés (lásd a lenti táblázatot).

Célzott támadás – komplex védekezés

A biztonsági cégek már sok éve rendszeresen hívják fel a figyelmet arra, hogy a célzott támadások, valamint a még több kockázatot hordozó APT (Advanced Persistent Threats) fenyegetettségek elleni védekezés komplex megközelítést igényel, és a megelőzéshez már nem elégségesek a hagyományos védelmi technológiák. Ezeket ugyanis a szemfüles támadók képesek megkerülni vagy hatástalanítani, így nem jelentenek igazi fegyvert a profik ellen. Ahhoz azonban, hogy pontosabb képet kaphassunk arról, hogy mit is lehet kezdeni a lappangó támadásokkal, előbb meg kell érteni az APT-k sajátosságait.

Sokszor a célzott és az APT támadások egy kalap alá kerülnek, pedig a valóságban két némileg eltérő elkövetési módszerről van szó. Noha az APT károkozások is célzottan következnek be, mégis mutatnak különbséget a hagyományos értelemben vett célzott támadásoktól. A legfontosabb eltérés, hogy az APT fenyegetettségek hosszú ideig tartanak, és elsősorban nagyobb vállalatok, szervezetek körében jelentenek veszélyt. Emellett majdnem minden esetben egyedi fejlesztésű, testre szabott támadó eszközök segítségével valósulnak meg. Míg egy célzott támadás (elég, ha csak az elosztott szolgáltatásmegtagadásokra, a DDoS támadásokra gondolunk) lehet feltűnő, addig az APT-k mindig észrevétlenül zajlanak.

Támadás négy lépésben

Az APT típusú támadások több fázisra bonthatók. Általában négy egymáshoz kapcsolódó, illetve egymásra épülő lépésben következnek be. Először az elkövetők pontosan feltérképezik a célkeresztbe állított szervezetet. Akár több hónapot is eltölthetnek azzal, hogy a célpontjukról minden lényeges adatot kifürkésszenek, beleértve az alkalmazottakkal, a beszállítókkal és a partnerekkel kapcsolatos információkat is. Ekkor még többnyire nyilvános adatokból, közösségi oldalakon közzétett információkból táplálkoznak. A legfontosabb számukra, hogy valamilyen úton-módon hozzáférjenek az áldozatuk informatikai rendszereihez.

Mivel egyre több mindent tudnak az adott szervezetről, illetve annak munkatársairól, ezért megtévesztő módszerekkel, social engineering technikákkal rávehetik a felhasználókat kártékony weboldalak vagy dokumentumok megnyitására. Ezt követően ismert vagy nulladik napi sérülékenységek kihasználásával hátsó kaput létesíthetnek.

Amennyiben a támadóknak sikerül hozzáférniük a rendszerekhez, akkor következő lépésként feltérképezik azokat. Felmérik, hogy a számukra érdekes adatokat hol találják meg, és milyen rendszereket kell feltörniük, vagy mely kommunikációs csatornákat kell lehallgatniuk.

Ha ezzel is megvannak, akkor jöhet a harmadik lépcsőfok, ami a bizalmas információk begyűjtéséről szól. Végül pedig következhet negyedikként a bezsebelt adatok kiszivárogtatása, ami az esetek többségében titkosított csatornákon keresztül (általában a 443-as porton keresztül) zajlik.

Ha nem sikerül felismerni a támadást, akkor az utóbbi két fázis lesz az, amely a leghosszabb ideig tart. Akár hónapokon vagy éveken keresztül is bejárkálhatnak az elkövetők a szervezet hálózatába, és veszélyeztethetik az ott lévő digitális értékeket.

Védekezési lehetőségek

Az APT típusú támadásokkal szembeni védekezés napjaink egyik legnagyobb kihívása. Ennek elsősorban az az oka, hogy nincs egy olyan módszer, technológia, amely egymaga képes lenne detektálni, felismerni, illetve megfelelő módon kezelni ezeket az incidenseket. Ennél jóval összetettebb, komplexebb megközelítésre van szükség ahhoz, hogy a kockázatok csökkenthetők legyenek.

Nagyon sok vállalatnál, intézménynél még mindig a víruskereső és a tűzfal jelenti a védelem magját. Ez azonban korántsem elegendő. Ahogy arról korábban szó volt, az APT támadások során gyakran teljesen egyedi fejlesztésű kártékony programok jutnak szerephez, amiket a hagyományos, szignatúraalapú antivírusok nem ismernek fel. Ezért viselkedésalapú és egyéb korszerű eljárásokra épülő vírusvédelemre van szükség.

Manapság azonban még ez sem elegendő, hiszen ha mégis sikerül mindenen áthatolniuk a támadóknak, akkor is meg kell akadályozni a károkozást és az adatszivárgást. E tekintetben lényegesek az átjárókon elhelyezett webes és e-mailes tartalomszűrők, valamint a DLP (Data Loss Prevention) technológiák.

Az APT-vel szemben a különféle biztonsági megoldások csak akkor képesek hatékonyan fellépni, ha azok együtt tudnak működni, és a védelmi információkat egységesen kezelik, akár SIEM (Security Information and Event Management) technológiák bevonásával. Így biztosítható ugyanis, hogy a naplóadatok korrelálhatók, összekapcsolhatók legyenek, és az elkövetők által elhullatott morzsákból következtetni lehessen a roppant sunyi támadásokra.

Nem utolsó sorban pedig nem szabad megfeledkezni az emberi tényezők szerepéről sem, hiszen már sokszor beigazolódott, hogy az APT-típusú támadások a felhasználók megtévesztésével veszik kezdetüket, akár egy bérjegyzéknek álcázott, kártékony dokumentum megnyitásakor. Amennyiben a felhasználók nagyobb valószínűséggel ismerik fel ezeket a próbálkozásokat, akkor az komoly kockázatcsökkentő tényező lehet.

A szerző a Biztonságportál főszerkesztője.