Zagrożenia typu APT i ataki ukierunkowane stanowią realne niebezpieczeństwo dla firm i instytucji na całym świecie. Według ekspertów Trend Micro, kluczem do skutecznej obrony przed nimi jest przede wszystkim nieustanne gromadzenie, analizowanie i korelowanie danych na temat przeprowadzonych ataków. Pozwala to wyodrębnić wzorce działania cyberprzestępców, ulepszać mechanizmy obrony i skutecznie zapobiegać zagrożeniom.

Według ekspertów firmy Trend Micro, elementy infrastruktury i luki w zabezpieczeniach raz wykorzystane przez cyberprzestępców stają się często celem ponownych ataków w późniejszych fazach kampanii APT (Advanced Persistent Threat) lub podczas namierzania systemów innych organizacji. Dlatego tak ważna jest dogłębna analiza rzeczywistych danych na temat ataków, nie tylko tych przeprowadzonych skutecznie, ale także tych, które udało się powstrzymać. Bieżąca analiza przebiegu tych kampanii, we wszystkich ich fazach, pozwala namierzyć i rozpoznać kluczowe wskaźniki oraz powtarzające się wzorce działania. Właściwa identyfikacja tych wzorców może z kolei pomóc w konstruowaniu nowych mechanizmów obrony i pozwolić zapobiegać atakom w przyszłości.

Odpowiednie modelowanie struktury ataku może doprowadzić do zlokalizowania luki odpowiedzialnej za instalację szkodliwego kodu, co z kolei pozwala stworzyć odpowiednie łaty i zaktualizować narzędzia zapobiegania włamaniom. Z kolei identyfikacja przepływu szkodliwych danych umożliwia aktualizację list kontroli dostępu (ACL), firewalli i pozostałych narzędzi blokujących dostęp do systemu, przenosząc w ten sposób obronę z fazy późnego reagowania do stadium wykrywania i zapobiegania. W momencie wykrycia wstępnej fazy ataku i towarzyszącej jej aktywności C&C w sieci ofiary lub też namierzenia zagrożenia przez skanery malware już po włamaniu, analiza i dostęp do praktycznych danych na temat ataków pozwoli na zastosowanie bardziej aktywnych środków zaradczych.

Kluczem do sukcesu w walce z tymi zagrożeniami jest gromadzenie i analizowanie dużych ilości danych dotyczących ataków, takich jak: adresy IP, anomalie dotyczące protokołów, adresy email, luki w zabezpieczeniach, algorytmy szyfrujące itp. Te informacje muszą być nieustannie zbierane i korelowane aby tworzyć syntetyczne scenariusze ataków mogące pomóc w budowaniu przyszłych mechanizmów obrony.

– mówi Rik Ferguson, Global VP Security Research w Trend Micro.

Według eksperta firmy Trend Micro warunkiem skutecznej obrony przed atakami, w tym uniemożliwienia ich kontynuowania lub zakończenia, jest poznanie ich wewnętrznych mechanizmów:

Zrozumienie natury ataków ukierunkowanych czy zagrożeń APT wymaga spojrzenia na nie jako na serię powiązanych ze sobą działań, a nie odrębnych incydentów. Zgodnie ze strategią Cyber Kill Chain, taki atak składa się z siedmiu faz: : rozpoznania, uzbrojenia, dostarczenia, wykorzystania, instalacji, zarządzania i kontroli oraz działania i celów. Dopiero całościowe spojrzenie na wszystkie te etapy jest kluczem do zrozumienia w jaki sposób można zakłócić, przerwać lub uniknąć metodycznych prób dokonania włamania.

- dodaje Rik Ferguson.

Wykrywanie, analizowanie i reagowanie na ataki ukierunkowane oraz zagrożenia typu APT we wczesnej ich fazie umożliwia rozwiązanie Trend Micro Deep Discovery. Organizacje korzystające z zaawansowanych zabezpieczeń oferowanych przez to rozwiązanie są w stanie wykryć i zareagować na cyberataki zanim zdążą one doprowadzić do nieodwracalnych szkód. Rozwiązanie Trend Micro umożliwia m.in. namierzenie i przeprowadzenie analizy złośliwych załączników w testowym środowisku syntetyzującym elementy ataku (sandbox) i wygenerowanie listy adresów URL, które należy zablokować. Natychmiast zakłóca to przebieg ataku wymierzonego w firmę lub instytucję i powoduje, że kończy się on niepowodzeniem.

Źródło: Trend Micro