Nowe zagrożenie dla firm – watering hole jako atak APT

17 kwietnia, 2014

Pośród szerokiej gamy zagrożeń dla przedsiębiorstw, ukierunkowane ataki są często najbardziej kłopotliwe i trudne do odparcia. Nawet firmom z nowoczesną infrastrukturą IT trudno jest je wykryć i zatrzymać, ponieważ hakerzy wykorzystują najsłabsze ogniwo bezpieczeństwa – pracowników. Poprzez wyrafinowane i spersalizowane wiadomości e-maili napastnikom łatwiej jest wymóc na ludziach niż na systemach ochronnych naruszenie zasad bezpieczeństwa. 

W rzeczywistości, według najnowszych badań Internet Security Threat, liczba ukierunkowanych kampanii wzrosła do 91 procent w 2013 roku. Aby wykorzystać element ludzki, napastnicy są bardziej cierpliwy niż kiedykolwiek, starają się powoli przenikać systemy a następnie cierpliwie czekają na atak niczym snajperzy. W 2013 r. średni atak APT trwał 8 dni, w porównaniu do 3 dni w 2012 roku i 4 dni w 2011 roku. Te długotrwałe ataki wskazują, że hakerzy stosują coraz bardziej wyrafinowane i wyszukane metody ataku w celu ukrycia swojej aktywności. 

Spear phishing w 2013 roku

Socjotechnika w phishingu jest jednym z najważniejszych kluczy do sukcesu. W każdym przypadku e-maile są specjalnie dostosowane przez atakującego do odbiorcy, aby wzbudzić zainteresowanie, co zwiększy szansę na otwarcie @. Tak więc, inzynieria społeczna stała się bardziej wyrafinowana do przeprowadzania ataków ukierunkowanych i trudniejsza do rozpoznania bez odpowiedniej technologii zabezpieczenia.

Większe firmy – większe ryzyko ataku. W zeszłym roku, 39 % e-maili spear phishingowych dosięgało firm / organizacji zatrudniających 2500 pracowników lub więcej. Ponadto w administracji publicznej i przemyśle liczba ataków APT dotyczyła 16 % procent wszystkich ataków. 

Niestety, ale małe firmy również muszą być w stanie podwyższonnej gotowości. Odsetek ataków mających na celu firmy zatrudniające od 1 do 250 pracowników zwiększył się w ciągu roku osiągając 53 % w listopadzie. Nie jest to niespodzianką, albowiem infiltracja mniejszych firm, podwykonawców stron trzecich jest skutecznym sposobem na przeniknięcie do większych przedsiębiorstw. 

Nowe zagrożenie – taktyka wodopoju (watering hole)

W odpowiedzi na rosnącą świadomość pracowników wobec phishingu, napastnicy nie tylko dostosowują własne systemy, ale opracowują nowe i bardziej złożone taktyki w celu ukrycia swojego ataku.

W 2013 roku miał miejsce wzrost wykorzystania ataków watering hole. Taktyka ta została zdefiniowana w 2012 roku przez RSA Security LLC i polega ona na zaatakowaniu konkretnej grupy, organizacji, branży, regionu i składa się z trzech faz:

  1. Odgadnięcie lub zaobserwowanie, z których stron internetowych często korzysta dana grupa.
  2. Zainfekowanie jednej lub więcej z tych stron malware.
  3. W efekcie, niektóre cele zostaną w końcu zainfekowane. 

Tak więc, taktyka wodopoju sprawia, że nawet grupy, które są odporne na spear phishing i inne formy phishingu zostaną w końcu zinfiltrowane.

Wykorzystanie w tej strategii ataków drive-by download może być bardzo skuteczne, gdyż użytkownicy instynktownie ufają odwiedzanym prawdziwym stronom internetowym. Wszystko to sprawia, że ataki te stają się coraz bardziej popularne. 

Jak można chronić siebie i swoją organizację przed tymi zagrożeniami? 

Pierwszym krokiem do zwiększenia bezpieczeństwa jest przeszkolenie pracowników i partnerów. Można to zrobić poprzez dostarczenie narzędzi edukacyjnych i odpowiednich technologii. Należy upewnić się, że pracownicy zrozumieją jakim zagrożeniom są poddawani oraz na jakie niebezpieczeństwo wystawiają firmę w przypadku udanego ataku. 

Należy też pamiętać o wdrożeniu zaawansowanych systemów zabezpieczeń poczty e-mail i sieci. Skuteczne zabezpieczenie powinno skanować wiadomości e-mail i zapewnić ochronę przed spamem, malware, phishingiem i ukierunkowanymi atakami, przy jednoczesnym zmniejszeniu złożoności użytych rozwiązań. Skuteczna ochrona również wymaga wdrożenia funkcji zabezpieczeń takich jak: DLP, IPS/IDS, sandbox, kontrola urządzeń czy wreszcie sam antywirus. Wszystko to składa się na zatrzymanie szkodliwego działania, złośliwego oprogramowania i zabobiega wyciekowi danych. 

Równie ważnym elementem obrony jest odpowiednia polityka bezpieczeństwa firmy. Należy upewnić się, czy wszyscy uzytkownicy mają dostęp do odpowiedniego segmentu sieci, co może zapobiec utracie wrażliwych danych. Niezbędnym wręcz krokiem jest uwierzytelnianie dwuskładnikowe oraz wdrożenia zasad BYOD.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]