Megelőzhetők az APT-támadások

Az ATP, azaz az Advanced Persistent Threat jellegű kibertámadások szervezetten zajlanak, és vállalatokat, kormányzati szerveket egyaránt érhetnek. Összeállításunkban bemutatjuk, hogyan ismerhetők fel ezek a támadások és mit lehet tenni ellenük.

A kibertámadások sokszor nem magányos hackerektől, hanem szervezett és szakosodott csoportoktól indulnak. E csoportok fejlett technológiák felhasználásával (például mesterséges intelligencia) kitartóan és némán támadják a kiszemelt célpontot. Ha már bejutottak, a vállalati hálózaton belül a lehetőséghez mérten rejtve maradnak, és lassan, folyamatosan szipkázzák ki a vállalati adatvagyont.

Az Accenture 2019-i tanulmánya szerint az APT-támadásokra szakcsoportok jönnek létre, amelyek megosztják egymás között a sikeresen használt taktikákat, és széles körű támadásokat visznek véghez. Például az orosz gyökerű Silence APT a pénzügyi intézetekre szakosodott, és eddig sikeresen lopott el sokmillió dollárt világszerte. Az APT-csoportok támadásai nemcsak kereskedelmi szervezetek ellen irányulnak, hanem kormányzati intézményeket is megcéloznak, jellemzően politikai célokat kívánnak elérni, sokszor (saját) állami háttér-támogatással.

Sem a kicsi, sem pedig a nagy szervezetek eleve nem védettekaz APT-támadások ellen, ezért fontos megérteni, hogyan dolgoznak is a bűnözők, és milyen biztonsági intézkedésekkel előzhető meg, hogy célt érjenek.

Az APT-csoportok csendben dolgoznak, kitartóan, sikereiket nem kürtölik világgá, így hosszú idő telhet el, amíg egy vállalat egyáltalán rájön, hogy kiber-bűncselekmény áldozatává vált. Vannak azonban árulkodó jelek, hogy egy APT-csoport a mi szervezetünk hálózatát próbálgatja.
Az APT-támadások nagyon sok esetben a főkapun indulnak. A hackerek brute force próbálkozásokkal igyekeznek kitalálni a használóneveket és -jelszavakat – vagy már megszerezték őket, csak pontosan nem tudják mely rendszerben lehet őket használni. Ha nagyon sokszor van belépési próbálkozás, főleg hivatali időn kívül, akkor kezdődő APT-támadás gyanítható a háttérben.
Az APT-csoportok különböző kártevők segítségével is próbálkozhatnak bejutni a kiszemelt hálózatba. Ha az antivírus-megoldás gyakran talál új kártevőket (melyek tevékenységét egyébként idejében leállította), akkor elképzelhető, hogy az APT-csoportok folyamatosan próbálkoznak bejutni.
A bűnözők a vállalat erőforrásait használják támadásaikhoz. Egy aktív kártevő a végponton lévő számítógép számítási kapacitását és memóriáját használja tevékenységéhez. Ha már bent vannak a hálózatban, a hackerek belső szervereken tárolják az adatokat. A hirtelen megnövekedett hálózati forgalom is árulkodó jel: a sok eltulajdonítani tervezett adatot interneten keresztül szivárogtatnak ki.
Mindezekre a tevékenységekre a naplófájlok elemzéséből derülhet napfény, az IT-szakemberek feladata rendszeresen elemezni és értékelni a hálózati forgalmat – szoftveres megoldások is segítenek ebben a munkában. Aktívan elemezniük kell a naplófájlokat, futtassanak rutin biztonsági teszteket, hogy idejében rájöjjenek, van-e valaki, aki kívülről be szeretne törni.

Emellett fontos, hogy a vírusvédelmi rendszer naplóit is rendszeresen átnézzék és elemezzék. A vírusvédelmet nem elegendő egyszer telepíteni, és nem lehet a telepítés után hosszú időre magára hagyni. Be kell állítani a megfelelő jelentéseket, és aktívan figyelemmel kell kísérendő a védelem állapota és jelzése.

Tanácsos a vállalati szintű biztonsági megoldások használata, amelyek megelőző módon védenek a támadásoktól. Ajánlott a számítógépes rendszerek és alkalmazások gyakori és frissítése a legújabb termékekkel.

Sok sikeres támadás egy ismert, de nem frissített sérülékenységből indul ki – holott a szoftvercégek eléggé gyorsan kiadják a javításokat.

A munkatársak rendszeres képzése biztoságtudatosságának fenntartása elengedhetetlen, mert a támadók pszichológiai trükkökkel is igyekeznek megszerezni a meglévő felhasználónév/jelszó-kombinációkat.

Az IT-biztonságra nem kényszerű kiadásként, hanem befektetésként kell gondolni. Az APT-támadások visszafordíthatatlan károkat okozhatnak, az adatveszteség mellett számolni kell a bizalomvesztéssel, a nem tervezett leállással és a rendszerek visszaállítási költségével is.