Víte, že byste měli udělat více, abyste zabránili kybernetickým útokům na vaši malou firmu, ale času není nikdy dost.
Statistiky však ukazují, že bez řádných preventivních opatření by vás útok pravděpodobně mohl vyřadit z provozu: 60 % malých podniků bude trpět nějakým typem kybernetické hrozby a 60 % těchto podniků skončí do šesti měsíců od narušení provozu. .
Vzhledem k tomu, že počet a složitost kybernetických útoků roste, měly by všechny malé podniky co nejdříve učinit z bezpečnostních opatření prioritu.
Přehled: Co je pokročilá perzistentní hrozba (APT)?
Pokročilá trvalá hrozba využívá k získání přístupu k IT systémům organizace různé a nepřetržité hackerské techniky. Konečným cílem je ukrást citlivá data, jako je duševní vlastnictví.
Tyto trvalé útoky, které jsou často organizovány národními státy nebo zločineckými kartely, jsou nebezpečné, protože je obtížné je odhalit a pokračovat ve své hanebné infiltraci dlouho poté, co původně narušily firemní síť. Navzdory vysoké povaze hrozby mnozí jednoduše začínají podvodnými e-maily.
„Naprostá většina kompromisů APT začíná e-mailovými útoky s cílem získat počáteční oporu v prostředí oběti,“ říká Matt Stamper, CISO a výkonný poradce, EVOTEK, a prezident, ISACA San Diego Chapter. „Většina organizací je jednoduše špatně připravená nebo přehnaná zdroji, které mohou nést aktéři hrozeb za APT.“
Jak název napovídá, APT nejsou rychlé zásahy. Útočník se usadí v síti, někdy tráví týdny nebo měsíce sledováním komunikace, shromažďováním zákaznických dat a šířením malwaru do celé organizace, což často ovlivňuje výkon sítě a koncových zařízení.
„Aktéři APT se často zaměřují na konkrétní průmyslová odvětví nebo dodavatelské řetězce a hledají vektor pro větší cíl, jako je výrobce první úrovně, dodavatel obrany nebo vládní agentura,“ říká Mark Sangster, viceprezident a průmyslový bezpečnostní stratég společnosti eSentire. . "Ale v poslední době [jsme svědky] více APT se zaměřuje na menší podniky, buď oportunisticky, aby je ošidil jako zdroj příjmů, nebo v odvetě za politické události, jako je vojenská agrese nebo ekonomické obchodní bitvy."
Pokročilá perzistentní hrozba (APT) vs. malware: Jaký je rozdíl?
Nepleťte si APT s malwarem. APT je aktérem hrozby, zatímco malware je jedním z mnoha nástrojů, které aktér používá k získání přístupu do vašeho systému. Když majitelé malých podniků slyší „APT malware“, předpokládají, že je antimalwarový software ochrání před APT útokem. Není tak.
Typický malware má za úkol rychle zasáhnout a způsobit co největší zkázu, než bude detekován. Ale malware APT – často vytvořený na zakázku – se snaží tajně infiltrovat síť a ukrást co nejvíce dat po delší dobu.
I když hackování APT může proniknout do systému prostřednictvím malwaru, jako jsou trojské koně nebo phishing, útočníci mohou zakrýt své stopy, když se pohybují systémem, a nepozorovaně zasadit škodlivý software.
„Je důležité, aby podniky pochopily, že APT používají širokou škálu malwaru, od sad nástrojů vytvořených na míru až po komoditní malware. Když lidé používají termín 'APT malware', mají často na mysli vlastní, pokročilý malware – Stuxnet je dobrým příkladem,“ říká Karim Hijazi, generální ředitel společnosti Prevailion, která sledovala mnoho prominentních APT, včetně ruských, čínských, a íránské skupiny, které také často používají komoditní malware.
„Problém je dále komplikován skutečností, že kybernetická aktivita národního státu není tak černobílá, jak se může zdát; do těchto snah bude často zapojeno několik skupin, od skutečných APT po zločinecké skupiny a dodavatele, kteří souhlasí se spoluprací s národním státem,“ dodává. "Proto může být organizace, která je kompromitována komoditním malwarem, převedena na provoz APT."
Typy malwaru zahrnují zbraně jako ransomware, které zamykají soubory a deaktivují servery; doručovací mechanismy, které dobře napodobují legitimní soubory a používají se k nasazování jiného malwaru bez detekce; nebo průzkumné nástroje určené ke shromažďování informací, jako jsou přihlašovací údaje uživatele.
S tím, jak se zvyšuje kombinace používaných nástrojů a sofistikovanost „zakrývání“, je stále obtížnější identifikovat útoky APT.
9 fází útoku pokročilé perzistentní hrozby (APT)
Pro obranu proti těmto útokům pomáhá porozumět každé fázi, abyste mohli vyvinout strategickou, vícestupňovou bezpečnostní reakci APT, která nabízí vrstvy ochrany .
Fáze 1: Výběr cíle
Podle Patricka Kelleyho, CTO Critical Path Security, se výběr cíle pro útoky APT stal mnohem méně konkrétním nebo záměrným. V minulosti útočníci prováděli pečlivý průzkum, aby si vybrali konkrétní společnost a vstupní bod, aby získali požadovaný přístup.
Ale například v případě útoku na město Atlanta v roce 2018 útočníci nevěděli, že prolomili městskou síť. A v nedávném případě útoku v německé nemocnici se hackeři zaměřovali na typické firemní prostředí, ale minuli svůj cíl.
V této rané fázi nemůžete pro svou ochranu udělat nic jiného, než zavést bezpečnostní opatření, udržovat je aktuální a zajistit, že chráníte nejzranitelnější vstupní body.
Fáze 2: Shromažďování informací
Jakmile je určen cíl, hackeři shromáždí co nejvíce dat před útokem, v podstatě „použijí kloub“, aby pochopili příchody a odchody těch, kteří přístup k vaší síti. Často shromažďují narušené přihlašovací údaje nebo údaje o dodavateli, které mohou později použít k získání přístupu do vaší sítě prostřednictvím důvěryhodných kanálů.
Správci hesel a dvoufaktorové/vícefaktorové ověřování jsou v této fázi vaší nejlepší obranou proti hackerům.
Fáze 3: Vstupní bod
Po výběru cíle a naplánování/vytvoření útočného nástroje jej útočníci „doručí“ cíli. Vstupní bod je obvykle nejslabším místem sítě a lidé - a jejich často nedbalá bezpečnostní opatření koncových bodů - mohou být tímto slabým místem.
„S více než miliardou uniklých přihlašovacích údajů ročně jsou lidé vstupním bodem,“ říká Kelley. „Použití uniklých přihlašovacích údajů může poskytnout přístup k VPN, službám vzdálené plochy a cloudovým účtům. Hodnota je v datech, ne v hardwaru.“
Vaše nejlepší obrana? Prozkoumejte nejlepší software pro zabezpečení koncových bodů a poté použijte správce hesel a dvoufaktorové ověřování.
Fáze 4: Eskalace oprávnění
Toto je fáze, ve které se APT odlišují od komoditního malwaru. Místo aby udeřili, poškodili a co nejrychleji opustili, útočníci rozšíří hrozbu tak, aby pokryli co největší část sítě.
Je to mnohem jednodušší, než tomu bylo v minulosti. Při dnešních scénářích práce z domova je téměř nemožné udržet každou zranitelnost opravenou, přesto se stále více vzdálených pracovníků přihlašuje do sítě s malým nebo žádným zabezpečením koncových bodů, které chrání jejich domácí notebooky. Nalezení neopraveného systému nebo dokumentace s uloženými přihlašovacími údaji je pro hackery neuvěřitelně snadné, protože pak získají přístup k jakémukoli systému v síti.
Možná to nejjednodušší, co můžete udělat, je držet krok se softwarovými záplatami, které dodavatelé pravidelně vydávají.
„Opravte vše. Zaujměte postoj, který zahrnuje obranu do hloubky,“ říká Kelley. "Pokud je systém kompromitován, zajistěte, aby byly použity správné firewally nebo VLANing, aby se snížil dopad narušeného systému."
Fáze 5: Komunikace příkazů a řízení
Jakmile je váš systém infikován, signalizuje serveru útočníka další pokyny, čímž poskytne aktérovi hrozby úplnou kontrolu nad vaší sítí. K tomu dochází, protože odchozí provoz blokuje velmi málo sítí. Běžnou metodou pro hackery je použití Twitter Direct Messaging k odeslání signálu a komunikaci se serverem, ale pokud toto spojení nelze navázat, najdou si jinou metodu.
V tomto okamžiku byste k obraně proti útoku potřebovali přehled o příchozím a odchozím síťovém provozu, správná odchozí pravidla brány firewall a detekci chování; ale stále existuje velká šance, že narušení neodhalíte.
Fáze 6: Laterální pohyb
V této fázi útočník shromažďuje další uživatelská pověření a pokračuje v rozšiřování kontroly nad vašimi servery a pracovními stanicemi. Zasadí malware, jako je ransomware, po síti a do záloh, aby bylo rychlé obnovení extrémně obtížné.
Podle Kelleyho aktéři hrozeb obvykle hledají multifunkční kopírky nebo VoIP telefony, aby přesunuli své trvalé tunely, protože tyto typy zařízení jsou zřídka monitorovány a obvykle udržovány dodavatelem třetí strany. Oba však mají plné operační systémy, které umožňují útočníkům provádět téměř všechny funkce, které plně monitorovaný server nebo pracovní stanice poskytuje.
V této fázi je rozhodující viditelnost a detekce chování. Virtuální místní sítě (VLAN) fungují lépe z hlediska zabezpečení, protože omezují boční pohyb, protože oddělují vysílací linky od datové vrstvy vaší sítě. Kelley však poznamenává, že jak útočníci postupují jednotlivými fázemi, je mnohem těžší útok zastavit.
Fáze 7: Zjištění a zachování majetku
V tomto okamžiku útočník objevil většinu vašich prostředků a získal k nim přístup. Obvykle to trvá méně než 24 hodin. Jak dlouho útočníci vydrží, závisí na tom, kolik útočných bodů potřebují, včetně externích vstupních bodů, které použijí v případě, že je detekován a zablokován jeden z dalších bodů.
Ona obrana proti této fázi útoku opět zahrnuje viditelnost síťové aktivity, správná odchozí pravidla brány firewall a detekci chování.
Fáze 8: Exfiltrace
Útočníci nakonec přenesou data z vaší sítě na své servery. Toho lze dosáhnout mnoha způsoby, včetně protokolů pro přenos souborů (FTP), e-mailu nebo ICMP a DNS dotazů, což jsou prostě požadavky z počítače útočníka, které žádají informace z vašeho serveru. Útočníci často přesouvají data velmi pomalu, takže se mohou vyhnout detekci a zůstat ve vašem systému déle.
Viditelnost, správná odchozí pravidla brány firewall a detekce chování zůstávají v této fázi pro obranu zásadní. Kelley navíc doporučuje omezit přístup k datům v systému, který potřebuje vědět: „Pokud má narušený účet přístup pouze k malé podmnožině dat, existuje méně informací, které lze exfiltrovat.“
Fáze 9: Stažení
Nakonec se hacker opatrně stáhne ze systému a zakryje své stopy, aby omezil detekci. Mohou však opustit „zadní vrátka“ a infiltrovat se do organizace v budoucnu. V některých případech mohou současně odpálit ransomware, aby ukončili operace, a poté požadují šestimístnou platbu za návrat systémů do provozního stavu.
„Většina útoků je aktivních v průměru 240 dní, než to organizace zjistí,“ říká Kelley. "V tomto bodě je vaší nejlepší obranou dobrý právní poradce."
Časté dotazy
I když nasazení některých z těchto nástrojů může být trochu složitější, malé podniky by neměly zapomínat na jednoduché taktiky, které by měli používat všichni, ale často ne: sledování provozu, aplikace a whitelisting domén, řízení přístupu k citlivým datům, šifrování vzdálených připojení a filtrování příchozích e-mailů.
Nástroje pro detekci a odezvu koncových bodů (EDR) jsou nasazeny na koncových bodech (notebooky a pracovní stanice) i na serverech (ať už on-premise nebo cloud). Přinášejí důležité bezpečnostní ochrany a schopnost odhalit protivníky „žijící ze země“ pomocí běžných nástrojů, jako je PowerShell a technik, které zahrnují procesy a injekce DLL.
„Mnoho forem malwaru nemusí nutně vést k podpisu, který mohou používat antimalwarové aplikace, ale spíše k anomálnímu chování v prostředí, které může nabízet varování před nepřátelským chováním,“ říká Stamper.
„Moderní malware se často spouští v paměti a byl navržen tak, aby se ‚skryl na otevřeném prostranství‘ a vypadal jako legitimní aktivita využívající běžné procesy v operačním systému. To je hlavní důvod, proč nástroje EDR vyžadují strojové učení a cloudové backendy k prosévání milionů událostí, aby se zjistilo, která je špatná „jehla“ v kupce sena plného jehel.“
Menší společnosti často nevěří, že jsou cílovými skupinami APT, protože si nedokážou představit, že by nějaký národní stát věděl nebo se staral o jejich existenci. Protože nevěří, že jsou ohroženy, tyto firmy se nechrání a jsou snadnou kořistí pro APT.
„Klientům ukazuji údaje o trendech, které ukazují rostoucí přítomnost APT a národních států v menších podnicích,“ říká Sangster. „Naše bezpečnostní operační střediska zaznamenávají prudký nárůst útoků po tektonických událostech, jako je výměna raket na Blízkém východě a obchodní spory s Čínou. Viděli jsme útok na nejvyšší soud státu, prodejce telekomunikací
infiltrovali, aby vytvořili zadní vrátka ve své technologii, a právní firmu, která se v odplatě za zastupování klienta považuje za disidenta ve své domovské zemi.“
Tváří v tvář hrozbě
I když vlastníci malých podniků mohou bagatelizovat riziko, které představuje pokročilá trvalá hrozba, frekvence těchto incidentů roste a výsledky mohou být zničující.
Ačkoli je antivirový a antimalwarový software pro některé problémy nezbytný a účinný, většina malých podniků by mohla mít prospěch z konzultace s odborníkem na kybernetickou bezpečnost, který by vyhodnotil jejich systém, identifikoval zranitelnosti a doporučil osvědčené postupy, jak ochránit citlivá data před zlomyslnými aktéry.
V závislosti na velikosti vaší firmy může být čas zřídit interní bezpečnostní operační centrum (SOC), které bude zajišťovat průběžné monitorování hrozeb, opravy a reakce na incidenty.
APT jsou důkazem toho, že na ochranu vašeho nejcennějšího majetku není nikdy příliš brzy.