Az ATP vagyis Advanced Persistent Threat jellegű kibertámadások szervezetten történnek, és vállalatokat, kormányzati szerveket egyaránt érhetnek. Összeállításunkban elmondjuk, hogyan ismerhetjük fel ezeket a támadásokat és mit tehetünk ellenük.

A kibertámadások sokszor nem magányos hackerektől, hanem szervezett és szakosodott csoportoktól indulnak. Ezek a csoportok előrehaladott technológiák felhasználásával (legyen az akár például mesterséges intelligencia) kitartóan és némán támadják a kiszemelt célpontot. Ha már bejutottak, a vállalati hálózaton belül a lehetőséghez mérten rejtve maradnak, és lassan, folyamatosan szipkázzák ki a vállalati adatvagyont.

Az Accenture 2019-es tanulmánya szerint az APT támadásokra különböző szakcsoportok jönnek létre, amelyek megosztják egymás között a sikeresen használt taktikákat, és széleskörű támadásokat visznek véghez. Például az orosz gyökerű Silence APT a pénzügyi intézetekre szakosodik, és eddig sikeresen lopott el többmillió dollárt világszerte. Az APT csoportok támadásai nemcsak kereskedelmi szervezetek ellen irányulnak, hanem kormányzati intézményeket is megcéloznak, ekkor tipikusan politikai célokat kívánnak elérni, sokszor állami háttértámogatással.

Sem a kicsi, sem pedig a nagy szervezetek nincsenek alapból védve az APT támadások ellen, ezért fontos megérteni, hogyan is dolgoznak a bűnözők, és milyen biztonsági intézkedésekkel előzhetjük meg, hogy célt érjenek.

Az APT csoportok csendben dolgoznak, kitartóan, sikereiket nem kürtölik világgá, így hosszú idő telhet el, míg egy vállalat egyáltalán rájön, hogy kiberbűncselekmény áldozatává vált. Vannak azonban árulkodó jelek, hogy egy APT csoport a mi szervezetünk hálózatát próbálgatja.

Túlzott login aktivitás

Az APT támadások nagyon sok esetben a főkapun indulnak. A hackerek brute force próbálkozásokkal igyekeznek kitalálni a felhasználóneveket és jelszavakat – vagy már megszerezték őket, csak pontosan nem tudják mely rendszerben lehet őket használni. Ha nagyon sokszor van belépési próbálkozás, főleg irodai órákon kívül, akkor egy kezdődő APT támadást is gyaníthatunk a háttérben.

Kártevő robbanás

Az APT csoportok különböző kártevők segítségével is próbálkozhatnak bejutni hálózatunkba. Ha az antivirus megoldásunk gyakran talál új kártevőket (melyek tevékenységét egyébként időben leállította), akkor elképzelhető, hogy az APT csoportok folyamatosan próbálkoznak bejutni.

Megnövekedett forgalom

A bűnözők a vállalat erőforrásait használják támadásaikhoz. Egy aktív kártevő a végponton lévő számítógép számítási kapacitását és memóriáját használja tevékenységéhez. Ha már bent vannak a hálózatban, a hackerek belső szervereken tárolják az adatokat. A hirtelen megnövekedett hálózati forgalom is árulkodó jel: a sok eltulajdonítani tervezett adatot interneten keresztül szivárogtatják ki.

Erősítsük az IT védelmet

Mindezekre a tevékenységekre a naplófájlok elemzéséből derülhet napfény, az IT szakemberek feladata rendszeresen elemezni és értékelni a hálózati forgalmat – szoftveres megoldások is segítenek ebben a munkában. Aktívan elemeznünk kell a naplófájlokat, rutin biztonsági teszteket futtassunk le, hogy lássuk időben, van-e valaki, aki kívülről be szeretne hozzánk törni.

Ideje lehet logelemző megoldást beszerezni.

Emellett fontos, hogy a vírusvédelmi rendszerünk naplóit is rendszeresen átnézzük és elemezzük.

A vírusvédelmet nem elegendő egyszer telepíteni, és nem lehet a telepítés után hosszú időre magára hagyni. Be kell állítani a megfelelő jelentéseket (riportokat), és aktívan figyelemmel kell kísérnünk a védelem állapotát és jelzéseit.

Vállalati szintű biztonsági megoldásokat használjunk, melyek proaktívan megvédenek a támadásoktól. Rendszereinket és alkalmazásainkat mindig frissítsük, telepítsük a legújabb biztonsági frissítéseket (patch-eket).

Sok sikeres támadás egy ismert, de nem frissített sérülékenységből indul ki – holott a szoftvercégek eléggé gyorsan kiadják a javításokat.

Tartsunk rendszeres képzéseket, növeljük kollégáink biztoságtudatosságát, hiszen nagyon sok esetben social engineering eszközökkel, vagyis pszichológiai trükkökkel igyekeznek megszerezni a meglévő felhasználónév-jelszó kombinációkat.

Az IT biztonságra nem úri kiadásként, hanem befektetésként kell gondolni. Az APT támadások visszafordíthatatlan károkat okozhatnak vállalatunkban, az adatveszteség mellett számolni kell a bizalom vesztéssel, a nem tervezett leállással és a rendszerek visszaállítási költségével is.