Napredni napadi: šta su i zašto biste trebalo da brinete

Napredni napadi i pretnje koje oni sa sobom nose ove godine stižu sve brže i postaju sve složeniji. Da bi se ova tema videla u pravoj perspektivi, dovoljno je za početak sagledati indikativne brojke: Symantec je otkrio više od 2,3 miliona jedinstvenih malicioznih kodova (malvera) u 2009. godini, a samo tokom prošle godine ova brojka je narasla na 430 miliona. To je više od 1,1 miliona novih malvera dnevno.

Pored toga, napadači primenjuju složenije tehnike da ubace malvere. Raspolažu softverom koji pravi varijacije koda — uzimajući jedinstven malver i praveći da izgleda različito, kako bi izbegli otkrivanje; neki od njih “izbacuju” novu varijantu koda svakih 15 sekundi. Drugi napadači pak podatke koje kradu preuzimaju “na kašičicu”, da bi bolje skrili svoje tragove i izbegli da budu uhvaćeni. Jednom kad prodru u vašu infrastrukturu, napadači koriste posebne alate i u nekim slučajevima vaš softver da ostanu skriveni i krstare vašom mrežom, ulazeći svuda, od krajnjih tačaka do servera. Jednom kad nađu vaše vredne podatke, što im je primarni cilj, prebacuju vaše podatke na udaljene servere nad kojima imaju komandnu kontrolu — kako bi ih prodali ili sami koristili, naravno sa željom da što bolje zarade.

Zbog toga vam je neophodna višeslojna zaštita sa tehnologijama koje rade zajedno da bi obezbedile vašu organizaciju.

Ciljani napadi

Sve firme, bez obzira na tip biznisa, su potencijalno ranjive na ciljane napade, od kojih su im omiljeni napadi tipa “pecanje kopljem” (spear-phishing) i napadi tipa “pojilište” (watering-hole).

Napadi tipa “Pecanja kopljem”

Kod prve vrste ciljanog napada mete su pojedinci unutar određene organizacije kojima se šalje odredjeni e-mail koji naizgled deluje kao da ga je poslao neko poznat primaocu. Dakle, kod “pecanja kopljem” žrtva napada se navodi da klikne na link ili preuzme fajl koji inficira sistem i širi se na druge sisteme sa kojima je on povezan, zahvatajući računare drugih korisnika. Symantec je objavio podatak o zabrinjavajućem rastu brojnosti i sofisticiranosti pokušaja tzv. “pecanja” (phishing) kojima su ciljani određene službe, sektori ili odeljenja u organizacijama.

Napadi tipa “Pojilište”

Kod druge vrste ciljanog napada imamo situaciju da napadač profiliše žrtve i web sajtove koje oni često koriste. Kad napadači pronađu da je neki od tih sajtova ranjiv, ubacuju svoj pomoćni programski kod u njega. Ovaj kod preusmerava korisnika (žrtvu napada) na neki drugi sajt pod kontrolom napadača, gde je instaliran programski kod kojim se iskorišćavaju neke od nedovoljno poznatih ranjivosti softvera. Ukratko, kompromitovani web sajt “čeka” da inficira sistem profilisane žrtve nekim od ranjivosti nultog dana (zero-day exploit), kao što lav sačekuje svoje žrtve na pojilištu usred savane.

Ranjivosti nultog dana

Kod ove vrste napada koristi se neobjavljena ranjivost softvera ili sistema koja se može iskoristiti za ubacivanje malvera na vaše računare. To je isto kao kad bi stranac pronašao ključeve ulaznih vrata vašeg stana. Kad hakeri otkriju ranjivost i naprave (ili nabave) softver koji može da je iskoristi pre nego što zakrpa bude dostupna i instalirana, to se zove ranjivost “nultog dana” (misli se da programeri imaju nula dana na raspolaganju da srede problem pre nego što on bude zloupotrebljen).

Broj otkrivenih ranjivosti nultog dana u 2015 bio je više nego dvostruko veći u odnosu na 2014. godinu, sa prosekom od jedne ranjivosti nultog dana otkrivne tokom jedne nedelje.

Ranjivosti ovog tipa se mogu pronaći gotovo u svakom softveru, ali su napadačima najatraktivnije ranjivosti u softverima koje svi koristimo, kao što je Internet Explorer i Adobe Flash Player. Jednom otkrivena ranjivost u popularnim programima vrlo brzo postane sastavni deo alata koje koriste napadači i krene se sa njihovom upotrebom. Danas milioni korisnika postaće mete napadača i na stotine hiljada će biti inficirano ukoliko zakrpa nije blagovremeno dostupna, ili ako korisnici nisu bili dovoljno brzi i ažurni da primene softversku zakrpu za alate koje stalno koriste.

Ucenjivački malver

Postoje dva preovlađujuća oblika ucenjivačkog malvera u opticaju. To su malveri koji onemogućavaju normalan pristup kompjuteru ili uređaju tako što zaključaju njegov ekran, i oni koji šifruju podatke i tako sprečavaju korisnika da raspolaže istima. Korisnici se ucenjuju sa ciljem da pristanu da plate otkupninu, pa će im kontrola nad kompjuterom ili raspolaganje podacima biti vraćeni.

Strategija ove vrste napada je da se preko “pecanja” ili ranjivosti web brauzera izvrši prvo prodor u sistem, korisniku uskrati pristup podacima i samo se ponudi opcija plaćanja otkupnine i vraćanja na prvobitno stanje.

Ransomware, kako se na engleskom naziva ucenjivački softver koji traži otkupninu, je nešto što se stalno menja. To više nije tip napada usmeren isključivo na krajnje korisnike, već se može očekivati da postane popularna metoda u sklopu ciljanog napada na organizacije. Trenutno čak 99 procenata svih napada ucenjivačkim malverom je po potpuno slučajnom uzorku, što će reći da nije ciljani napad, već kao kada ribar zabaci mrežu, pa koju ribu uhvati. Malver sa otkupninom tipično ne “kači” poslovna okruženja koja primenjuju politike izrade rezervnih kopija podataka (bekapovanje). Oni ne žele da plaćaju za podatke koji su im dostupni iz bekapa (rezervne kopije).

Napredne uporne pretnje

Uz prethodno navedene uobičajene metode napada, tu su i napredne perzistentne pretnje koje se oslanjaju na visokoprilagođene alatke i tehnike upada, razvijene naročito za određenu napadačku kampanju. NUP-ovi često orkestrirano pokreću više različitih pretnji istovremeno da bi se probili kroz uobičajene mehanizme zaštite i obezbedili pristup ciljanim sistemima. Ponekad se pravi varka sa  “žrtvenom pretnjom”  koja se uključuje da bi zavarala žrtvu da pomisli da je napad uspešno odbijen, a da je “krivac” otkriven.

Napadi tipa NUP se dešavaju u dugačkim vremenskim intervalima – napadači se kreću sporo i tiho da ne bi bili otkriveni. Nasuprot “udri i zgrabi” taktika koje su pokretali tipični sajber kriminalci, cilj NUP-ova je da se ostane nevidljiv, krećući se nisko i sporo sa stalnim nadzorom i interakcijom, sve dok napadači ne ostvare svoje zadate ciljeve.

Inteligentno rešenje za zaštitu krajnjih tačaka iz kompanije Symantec

Prvi korak ka obezbeđivanju vaše organizacije svakako je upoznavanje sa vrstama napada sa kojima se suočavate. Da biste se izborili sa profesionalizmom naprednih napadača, neophodno je da svoju igru podignete na viši nivo.

Blokirajte napredne pretnje pre nego što inficiraju krajnje tačke vaše mreže

Blokiranje naprednih pretnji pre nego što one inficiraju vaše krajnje tačke predstavlja ključ uspešnog obezbeđivanja krajnjih tačaka. Symantec Endpoint Protection blokira pretnje nultog dana i nepoznate pretnje stepenom tačnosti od 99,99 procenata.

Sistem za prevenciju upada (Intrusion Prevention System, IPS) koji se nalazi u sklopu Symantec Endpoint Protection rešenja, predstavlja prvi sloj zaštite od ranjivosti nultog dana i zaštite od napada koji se sprovode preko weba na mrežnom nivou. Zaštita koja se zasniva na praćenju reputacije i nadzoru ponašanja je takođe krucijalna protiv ucenjivačkog malvera i nepoznatih pretnji. Analizom reputacije se sa pouzdanošću identifikuju sumnjive datoteke pri čemu je mogućnost lažnog alarma manja od 0,01 procenata, jer se primenjuje Symantec-ova globalna obaveštajna mreža. Mogućnost nadzora ponašanja softvera primenjuje napredne tehnike mašinskog učenja da posmatra šta programi inače rade na vašem računaru i da u realnom vremenu zaustavi sumnjiv fajl pre nego što se izvrši.

Symantec neutralizuje napredne pretnje pre infekcije krajnjih tačaka, primenom višeslojnog pristupa zaštiti i napredni algoritam mašinskog učenja koji se neprestano trenira i fino podešava od strane stručnjaka za pretnje u kompaniji Symantec.

Otkrijte anomalije na svim kontrolnim tačkama

Visoko podesivi alati i tehnike prodora su deo ciljanih napada i naprednih upornih pretnji. Taktike napada su osmišljene za dugoročne kampanje. Symantec Advanced Threat Protection je najefektnije rešenje svoje vrste za otkrivanje pretnji na svim krajnjim tačkama, mrežama, e-mail sistemima. Kad se pretnje otkriju, pokreće se upozorenje o incidentu, koje vam pomaže da utvrdite koji su korisnici pod visokim rizikom i koji su aktivni inficirani sistemi, ko preuzima malver ili sumnjivefajlove, poreklo napada, koja su IT sredstva obuhvaćena napadom, i kako se zaraza širi preko svih vaših kontrolnih tačaka.

Symantec primenjuje tehnike izolacije okruženja za izvršenje zloćudnog koda zasnovane na tehnologiji rada u infrastrukturi “oblaka” i servis za pokretanje malvera u nadziranom, zaštićenom okruženju kako bi “uhvatio na delu” sumnjive fajlove. Ovaj servis koristi kombinaciju Symantec-ovog naprednog mašinskog učenja i obaveštajne podatke koji se prikupljaju u realnom vremenu. Pokriva većinu popularnih tipova datoteka koje se koriste kod ciljanih napada i izvršava ih u virtualnom okruženju – ili ako je neophodno na posvećenim radnim stanicama ― da razotkrije pretnje koje su svesne virtualnog okruženja. Pošto se napredne pretnje mogu različito manifestovati u različitim okruženjima za izvršavanje, ključno je imati i fizičke sisteme za testiranje, pored virtualnih.

Uklonite ranjivosti i najnevidljivije napade jednim klikom

Jednom kada otkrijete pretnje u svom IT okruženju, važno je da brzo možete da otklonite posledice. Symantec Advanced Threat Protection može vam pomoći da brzo uspostavite normalan rad posle ciljanih napada, te da izolujete sve otkrivene instance pretnji za minut, kao i da ublažite ili otklonite posledice. Symantec Endpoint Detection and Response (EDR) tehnologija obezbeđuje sve podatke o napadima na jednom mestu ― uključujući datoteke korišćene u svakom pojedinačnom napadu, e-mail adresi preko koje je napad izveden, kao i IP adrese sistema sa kojih su zaposleni preuzeli maliciozne datoteke. Proces uklanjanja pretnji možete da završite samo jednim klikom. Brzo otkrivanje i uklanjanje pretnji smanjuje vašu izloženost potencijalnim rizicima i kontroliše štete koje bi nastale proširivanjem napada. Kako je Symantec Advanced Threat Protection integrisan u Symantec Endpoint Protection, brzo možete da vidite da li je Symantec Endpoint Protection uspešno odbranio vaš sistem od pretnji, što znači drastično smanjenje broja incidenata i upozorenja koja morate da ispratite. Možete da prevenirate, otkrijete i otklonite pretnje bez instalacije nekog novog softvera.

Zaustavite upade s izgubljenih ili ukradenih krajnjih tačaka

Symantec Intelligent Endpoint rešenje ne samo da zaustavlja sajber pretnje, već takođe zaustavlja “fizičke pretnje”, jer kad se vaši uređaji ukradu ili izgube, ključno je da su krajnje tačke, tj, podaci na njima šifrovani. To je najbolji način da se zaštite podaci na prenosnim i stonim računarima i prenosnim medijima kada fizički nestanu, jer će podaci, iako izgubljeni, ostati bezbedni.

Symantec Endpoint Encryption koristi lozinku pre butovanja kako bi se zaštitila mašina i sprečilo podizanje sistema. Informacije na uređajima su zaštićene šifrovanjem i sprečava neovlašćene osobe da pristupe podacima. Sa intuitivnim centralnim sistemom upravljanja, Symantec pomaže administratorima da dokažu da je uređaj bio enkriptovan za slučaj ako nestane.

Zaključak

Napredni napadi stižu brže i složeniji su nego ikada. Obični sajber kriminalci su usvojili profesionalno ponašanje i nameravaju da dobiju ono zbog čega su došli. Sve organizacije, bez obzira na veličinu ili tip industrije u kojoj posluju, su pod određenim rizikom. Puko blokiranje nije dovoljno da bi se ostalo ispred naprednih napada. Ne možete se više osloniti samo na antivirus, ili bilo koji pojedinačni vid zaštite, jer je napadačima postalo suviše lako da sruše tu jednu zaštitu.

Najefektivnijia odbrana od naprednih napadača je višeslojna odbrana – rešenje koje blokira većinu pretnji pre same infekcije; brzo otkriva napade i pruža rešenja za ublažavanje ili otklanjanje posledica napada ako se malver ipak nekako provuče; te na kraju pruža automatizovano procenjivanje rizika, kako bi vam pomogla da razumete svoje bezbednosno držanje i situaciju, tj. izloženost rizicima i promptno odbijete kritične napade na vašu organizaciju.

bitsyu