Izzasztó védekezés a fejlett támadások ellen

A Cisco kiadta a negyedéves biztonsági jelentését, amelyben külön kiemelte a célzott és egyben egyre kifinomultabb támadásokra lehetőséget adó kártékony programok terjedését. A cég szakemberei úgy látják, hogy az úgynevezett APT (Advanced Persistent Threat) fenyegetettségeknek nagyon nehéz gátat szabni, miközben azok jelentős károkhoz képesek hozzájárulni. APT esetén a támadók először gondosan feltérképezik a célpontot, adatokat gyűjtenek, majd a felhasználók megtévesztésével megpróbálnak olyan programokat bejuttatni a szervezetekbe, amelyek révén biztosítani tudják a rendszerekhez való hozzáférésüket. Feltérképezik a hálózatot, majd adatokat igyekeznek kiszivárogtatni. Az APT egyik legfontosabb eleme a social engineering, ami ellen technikai eszközökkel korántsem elég védekezni, hiszen az emberi tényezők kezelésére is szükség van.

A kiberbűnözés az APT-k kapcsán egyre több olyan kártokozóval rukkol elő, amelyek segíthetik a célzott támadásaik kivitelezését. A Cisco felmérése szerint júniusban több mint 2787 ezer egyedi kártevőmintát sikerült regisztrálni, ami majdnem duplája a márciusi adatoknak. A cég kijelentette, hogy január óta megnégyszereződött az újonnan felfedezett ártalmas kódok száma. Míg a korábbi statisztikai adatok arról tanúskodtak, hogy egy vállalatnak havonta átlagosan 335 vírustámadással kell szembe néznie, addig a második negyedévben ez a szám már meghaladta a 450-et. A célzott támadások szempontjából különösen célkeresztben állnak a gyógyszeripari, a vegyi, az energetikai és az olajipari vállalatok, de nem sokkal jobb a helyzet a szállítás, a mezőgazdaság, a bányászat és az oktatás terén sem.

A Cisco jelentése kitér arra, hogy egyre gyakoribbá válnak azok az incidensek, amelyek egy egyszerű trójai letöltőprogram felbukkanásával kezdőnek. E károkozóknak az a céljuk, hogy minél pontosabban feltérképezzék az általuk megfertőzött rendszereket, és azokra olyan további ártalmas kódokat jutassanak fel, amelyek már különféle károkozásokhoz járulhatnak hozzá. További céljuk, hogy minél inkább láthatatlanok maradjanak, miközben biztosítják a jogosulatlan távoli hozzáférést az adott rendszerekhez.

Védekezés több fronton

Gavin Reid, a Cisco Security Incident Response Team vezetője úgy látja, hogy az APT-k detektálása nem könnyű feladat, ugyanis azok ellen nincsenek olyan csodaszerek, mint például a szignatúraadatbázisok, melyekkel fel lehetne azokat ismerni egy hálózatban. A szakember szerint a szervezeteknek az APT-fenyegetettségek ellen több fronton kell felvenniük a küzdelmet. Így például fontosak a mélyreható csomagvizsgálatokra épülő hálózati ellenőrzések valamint a naplózó rendszerek használata. "Attól, hogy egy szervezet még nem észlelt APT-támadást, még korántsem biztos, hogy nem került célkeresztbe, vagy a védelme tökéletesen működik" - nyilatkozta a szakember, aki szerint sok múlik azon is, hogy az ilyen támadások felismerésére rendelkezésre állnak-e a megfelelő eszközök.