Nowe zagrożenie dla firm - watering hole jako atak APT

Pośród szerokiej gamy zagrożeń dla przedsiębiorstw, ukierunkowane ataki są często najbardziej kłopotliwe i trudne do odparcia. Nawet firmom z nowoczesną infrastrukturą IT trudno jest je wykryć i zatrzymać, ponieważ hakerzy wykorzystują najsłabsze ogniwo bezpieczeństwa - pracowników. Poprzez wyrafinowane i spersalizowane wiadomości e-maili napastnikom łatwiej jest wymóc na ludziach niż na systemach ochronnych naruszenie zasad bezpieczeństwa. 

W rzeczywistości, według najnowszych badań Internet Security Threat, liczba ukierunkowanych kampanii wzrosła do 91 procent w 2013 roku. Aby wykorzystać element ludzki, napastnicy są bardziej cierpliwy niż kiedykolwiek, starają się powoli przenikać systemy a następnie cierpliwie czekają na atak niczym snajperzy. W 2013 r. średni atak APT trwał 8 dni, w porównaniu do 3 dni w 2012 roku i 4 dni w 2011 roku. Te długotrwałe ataki wskazują, że hakerzy stosują coraz bardziej wyrafinowane i wyszukane metody ataku w celu ukrycia swojej aktywności. 

Spear phishing w 2013 roku

Socjotechnika w phishingu jest jednym z najważniejszych kluczy do sukcesu. W każdym przypadku e-maile są specjalnie dostosowane przez atakującego do odbiorcy, aby wzbudzić zainteresowanie, co zwiększy szansę na otwarcie @. Tak więc, inzynieria społeczna stała się bardziej wyrafinowana do przeprowadzania ataków ukierunkowanych i trudniejsza do rozpoznania bez odpowiedniej technologii zabezpieczenia.

Większe firmy - większe ryzyko ataku. W zeszłym roku, 39 % e-maili spear phishingowych dosięgało firm / organizacji zatrudniających 2500 pracowników lub więcej. Ponadto w administracji publicznej i przemyśle liczba ataków APT dotyczyła 16 % procent wszystkich ataków. 

Niestety, ale małe firmy również muszą być w stanie podwyższonnej gotowości. Odsetek ataków mających na celu firmy zatrudniające od 1 do 250 pracowników zwiększył się w ciągu roku osiągając 53 % w listopadzie. Nie jest to niespodzianką, albowiem infiltracja mniejszych firm, podwykonawców stron trzecich jest skutecznym sposobem na przeniknięcie do większych przedsiębiorstw. 

Nowe zagrożenie - taktyka wodopoju (watering hole)

W odpowiedzi na rosnącą świadomość pracowników wobec phishingu, napastnicy nie tylko dostosowują własne systemy, ale opracowują nowe i bardziej złożone taktyki w celu ukrycia swojego ataku.

W 2013 roku miał miejsce wzrost wykorzystania ataków watering hole. Taktyka ta została zdefiniowana w 2012 roku przez RSA Security LLC i polega ona na zaatakowaniu konkretnej grupy, organizacji, branży, regionu i składa się z trzech faz:

  1. Odgadnięcie lub zaobserwowanie, z których stron internetowych często korzysta dana grupa.
  2. Zainfekowanie jednej lub więcej z tych stron malware.
  3. W efekcie, niektóre cele zostaną w końcu zainfekowane. 

Tak więc, taktyka wodopoju sprawia, że nawet grupy, które są odporne na spear phishing i inne formy phishingu zostaną w końcu zinfiltrowane.

Wykorzystanie w tej strategii ataków drive-by download może być bardzo skuteczne, gdyż użytkownicy instynktownie ufają odwiedzanym prawdziwym stronom internetowym. Wszystko to sprawia, że ataki te stają się coraz bardziej popularne. 

Jak można chronić siebie i swoją organizację przed tymi zagrożeniami? 

Pierwszym krokiem do zwiększenia bezpieczeństwa jest przeszkolenie pracowników i partnerów. Można to zrobić poprzez dostarczenie narzędzi edukacyjnych i odpowiednich technologii. Należy upewnić się, że pracownicy zrozumieją jakim zagrożeniom są poddawani oraz na jakie niebezpieczeństwo wystawiają firmę w przypadku udanego ataku. 

Należy też pamiętać o wdrożeniu zaawansowanych systemów zabezpieczeń poczty e-mail i sieci. Skuteczne zabezpieczenie powinno skanować wiadomości e-mail i zapewnić ochronę przed spamem, malware, phishingiem i ukierunkowanymi atakami, przy jednoczesnym zmniejszeniu złożoności użytych rozwiązań. Skuteczna ochrona również wymaga wdrożenia funkcji zabezpieczeń takich jak: DLP, IPS/IDS, sandbox, kontrola urządzeń czy wreszcie sam antywirus. Wszystko to składa się na zatrzymanie szkodliwego działania, złośliwego oprogramowania i zabobiega wyciekowi danych. 

Równie ważnym elementem obrony jest odpowiednia polityka bezpieczeństwa firmy. Należy upewnić się, czy wszyscy uzytkownicy mają dostęp do odpowiedniego segmentu sieci, co może zapobiec utracie wrażliwych danych. Niezbędnym wręcz krokiem jest uwierzytelnianie dwuskładnikowe oraz wdrożenia zasad BYOD.



Komentarze

gtgtgtgtgtg pt., 18-04-2014 - 11:25

Ten atak APT to co to jest? to jest atak przez menedżer pakietów debiana?????????

Adrian Ścibor ndz., 20-04-2014 - 11:30

APT (Advanced Persistent Threats) to bardzo złożone, ukierunkowane ataki skierowane w jedną organizację. Jednym z takich przykładów słynnych był atak na wirówki jądrowe w Iranie. Atak APT jest bardzo często planowany kilka a nawet kilkanaście miesięcy wcześniej. Zbierane są skrupulatnie dane o organizacji. Do ataku wykorzystuje się najcześciej podstęp. Rzadko kiedy atakuje się od razu główne systemy. Najpierw trzeba do nic dotrzeć np. wykorzystując pracowników "niższych rangą", którzy łamia zasady bezpieczeństwa. Więcej o tym znajdziesz w gogle. Temat obszerny.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej