Odpowiednia ochrona przed cyberzagrożeniami powinna być priorytetem dla każdej organizacji – bez względu na wielkość czy też branżę, w której działa. Tymczasem najważniejsze państwowe instytucje wciąż zdają się nie być świadome wagi problemu, o czym świadczy wynik niedawnego audytu przeprowadzonego przez NIK (piszę o tym w dalszej części tekstu). Wiele firm odkłada podjęcie kluczowych decyzji dotyczących bezpieczeństwa IT. Takie zachowanie może być bardzo zgubne – w tej materii przezorność bowiem popłaca, a realistyczne pytanie nie brzmi czy, ale kiedy staniemy się ofiarą ataku.

Czym są ataki ukierunkowane?

Głównym celem ataków ukierunkowanych jest potajemna kradzież danych z systemów firmy. Atak ukierunkowany (inaczej atak APT, ang. Advanced Persistent Threat) składa się z sześciu etapów, jakimi są: gromadzenie informacji, określanie punktu wejścia, komunikacja z serwerami C&C, ruch poziomy i propagacja w sieci, wykrywanie zasobów, kradzież danych. Cyberprzestępcy stosują różne metody, także socjotechnikę – wszystko to w celu pozyskania informacji.

Aby przybliżyć zagadnienie, w tym roku opublikowaliśmy raport Targeted Attack Campaigns and Trends: 2014 Annual Report, który podsumowuje ataki APT dokonane w 2014 roku. W raporcie uwzględniliśmy informacje pochodzące z monitorowanych przez nas serwerów typu Command&Control. Co odkryliśmy?

Trudność wykrywania. Z uwagi na specyficzny charakter ataków ukierunkowanych, wykrycie ich sprawców jest bardzo trudne, ponieważ cyberprzestępcy dbają o to, aby nie pozostawiać śladów w obrębie atakowanej sieci. Niezależnie jednak od tego, kto stoi za danym atakiem tego typu, wszystkie mają na celu gromadzenie i potajemną kradzież poufnych danych.

Nieskuteczna ochrona. Zastosowane przez firmy rozwiązania w wielu przypadkach nie były w stanie powstrzymać cyberprzestępców. Nawet uznawane powszechnie za bezpieczniejsze urządzenia firmy Apple również były obiektem ataków i mogły służyć do infiltracji sieci i późniejszego szpiegowania.

Nowe metody. W 2014 roku obserwowane były nowe metody stosowane przez cyberprzestępców, którzy oprócz luk typu zero-day wykorzystywali także legalne narzędzia dostarczane przez producentów systemów operacyjnych jak Windows PowerShell czy platformy do przechowywania danych w chmurze, np. Dropbox.

Problem globalny. Ataki ukierunkowane pozostają problemem o charakterze globalnym. Bazując na przykładach monitorowanych w 2014 roku, eksperci stwierdzili, że główne państwa, w których znajdowały się serwery C&C to Australia, Brazylia, Chiny, Egipt i Niemcy. Stany Zjednoczone, Rosja i Chiny nie były już ulubionym celem cyberprzestępców – komunikacja z serwerami C&C prowadzona była z wielu krajów.

Zróżnicowana motywacja. W 2014 roku mieliśmy do czynienia zarówno z atakami mającymi charakter polityczny, jak i umotywowanymi wyłącznie finansowo. Przykładem ataku pierwszego typu jest operacja Pawn Storm. Cyberprzestępcy biorący udział w tym ataku przeprowadzili szeroko zakrojoną akcję ukierunkowaną na szpiegostwo polityczne. Za cel obrano organizacje o charakterze militarnym, placówki dyplomatyczne, agencje obrony i media w Stanach Zjednoczonych oraz w krajach będących sojusznikami USA. Ataki były wymierzone również w pracowników polskiego rządu.

Ochrona krajowej infrastruktury teleinformatycznej

Niedawno pisano w mediach o audycie przeprowadzonym przez NIK, który miał sprawdzić, jak polscy urzędnicy dostosowali się do zaleceń dotyczących cyberbezpieczeństwa. Okazuje się, że najważniejsze państwowe instytucje wciąż nie zdają sobie sprawy z wagi problemu. Według raportu NIK do tej pory nie zostały zidentyfikowane podstawowe zagrożenia wymierzone w krajową infrastrukturę teleinformatyczną, podobnie jest z narodową strategią ochrony cyberprzestrzeni. Urzędnicy odpowiedzialni za sprawy cyberbezpieczeństwa nie określili struktury i ram prawnych krajowego systemu ochrony cyberprzestrzeni, nie zdefiniowali obowiązków i uprawnień jego użytkowników. Ponadto wciąż brakuje procedur reagowania w sytuacjach kryzysowych związanych z cyberprzestrzenią.

O skali problemu może świadczyć kwietniowe ostrzeżenie o możliwych w najbliższym czasie atakach na infrastrukturę teleinformatyczną wydane przez Komisję Nadzoru Finansowego na podstawie opinii Agencji Bezpieczeństwa Wewnętrznego. Realność zagrożeń tego typu potwierdzają także niezależne instytucje jak CERT.GOV.PL, opisujące jawną, bieżącą aktywność kampanii szpiegowskich o nazwach EnergeticBear, DragonFly czy SandWorm skierowanych przeciwko instytucjom rządowym oraz firmom z sektora energetycznego w Polsce.

Co zrobić, kiedy dojdzie do ataku?

Jak mówił niedawno portalowi IT Manager nasz kolega, najgorszym scenariuszem w przypadku rozpoznania ataku jest panika. Dlatego oprócz rozwiązań technicznych musi być wdrożony kompletny proces reagowania na tego typu sytuacje. Powinien on być stworzony jeszcze zanim dojdzie do niebezpiecznego zdarzenia. Oczywiście dotyczy to też technicznych aspektów (działania sieci, operacji klient-serwer), ale w zasadniczej mierze proces powinien polegać na zasobach ludzkich. Warto wyrobić odpowiednie wzorce zachowań, aby w razie problemu, móc jak najszybciej z nim sobie poradzić.

Gra Ataki ukierunkowane

Na koniec chciałbym wspomnieć o grze Trend Micro Ataki ukierunkowane. Została ona stworzona specjalnie po to, by ułatwić zrozumienie działania ataków typu APT.

W grze edukacyjnej użytkownik wciela się w postać CIO globalnej firmy o nazwie The Fugle, która już za chwilę wprowadzi na rynek mobilną aplikację płatniczą z biometryczną weryfikacją dostępu. Grający kieruje projektem w jego końcowej fazie, współpracując ze swoim zespołem ds. bezpieczeństwa wewnętrznego firmy, kolegami z działu marketingu i PR i oczywiście z CEO The Fugle. Gra rozpoczyna się w krytycznym momencie, gdy na rynku aż roi się od konkurentów i innych osób, które marzą o tym, żeby dostać w swoje ręce dane firmy.

Osobiście polecam zainteresowanie się grą wszystkim osobom, które podejmują decyzje IT w firmach i instytucjach. Warto sprawdzić się w trudnej sytuacji, a przy okazji być może dowiedzieć się czegoś nowego o atakach ukierunkowanych. Powodzenia!

Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro