Czy sprawna reakcja na APT jest możliwa?

Zaawansowane ataki kierowane (APT) pozostają niewykryte przez tygodnie, miesiące a nawet lata.

We wszystkich incydentach, na które specjaliści Mandiant (Mandiant jest częścią firmy FireEye) odpowiadali w 2015 roku, średni czas od początkowego włamania do wykrycia incydentu wynosił 146 dni. Ten czas był krótszy w przypadku organizacji, które same wewnętrznie wykryły naruszenie bezpieczeństwa jednak i tak wynosił aż 56 dni. Firmy, które dowiedziały się o incydencie poprzez zewnętrzne powiadomienie, nie były świadome ataku średnio przez 320 dni. Tak długi okres pozostawia atakującym dużo czasu na to, by nie tylko dobrze poznać zaatakowaną sieć, ale również pozwala na głęboką penetrację całego środowiska i interakcję z wieloma systemami.

Atakujący używali skradzionych danych uwierzytelniających i powszechnych narzędzi, aby osiągnąć swoje cele

Większość zaawansowanych ataków przebiega według podobnego schematu. Atak rozpoczyna się od początkowego włamania, po czym cyberprzestępcy ustanawiają tak zwany punkt zaczepienia. Zwykle odbywa się to poprzez zainstalowanie specjalnie przygotowanego oprogramowania malware na kilku systemach. Po ustanowieniu dostępu do środowiska, atakujący podejmują działania mające na celu zwiększenie uprawnień, kończące się w większości przypadków uzyskaniem uprawnień administratora domeny. Na tym etapie następuje wewnętrzny rekonesans sieci celem odnalezienia najważniejszych systemów, użytkowników oraz lokalizacji danych. Ze zdobytą wiedzą o środowisku ofiary, atakujący poruszają się od systemu do systemu, zbierając dane, poszerzając dostęp w dodatkowych obszarach sieci oraz instalując alternatywne punkty dostępu.

Mogą do tego posłużyć inne odmiany oprogramowania malware, ale często osiągane jest to poprzez wykorzystanie innych, istniejących już w środowisku metod dostępu, takich jak firmowy VPN. W wielu przeprowadzonych śledztwach specjaliści Mandiant zaobserwowali, że w opisanych procesach atakujący wchodzili w interakcje z dziesiątkami systemów. Znacząca liczba tych systemów nie posiadała śladów działania jakiegokolwiek złośliwego oprogramowania. Powodem nie było usunięcie tego oprogramowania, czy zniszczenie lub zatarcie dowodów, ale fakt, że złośliwe oprogramowanie nigdy nie zostało użyte dla uzyskania dostępu lub wykonywania innych działań. Atakujący używali skradzionych danych uwierzytelniających i powszechnych narzędzi, aby osiągnąć swoje cele.

Zespół reagujący na incydent powinien przeprowadzić tzw. triage

W procesie odpowiedzi na incydenty jednym z najbardziej istotnych zadań dla zespołu reagującego jest określenie zasięgu incydentu i odnalezienie wszystkich systemów, które zostały przejęte lub do których atakujący uzyskali w dowolnym momencie dostęp. Bez właściwego określenia zakresu incydentu nie można w sposób pełny i skuteczny podjąć działań naprawczych. Pominięcie chociażby jednego zainfekowanego systemu, punktu dostępu do sieci, pliku web-shell, czy też jednego przejętego konta VPN jest niemal gwarancją, że atakujący powrócą, a przy tym zmienią swoje narzędzia, taktykę i procedury (TTPs), co spowoduje, że zespół odpowiadający na incydent będzie zmuszony zaczynać analizę od początku. Dodatkowo, aby w pełni zrozumieć i wyjaśnić przebieg zdarzeń, zespół reagujący na incydent powinien przeprowadzić tzw. triage (wstępną ocenę) lub analizę wszystkich dotkniętych atakiem systemów.

Czas odpowiedzi jest często krytyczny

Nie trudno zauważyć, że tradycyjne metody informatyki śledczej z przeciągłymi procesami analizy „od systemu do systemu” są dalekie od idealnych w reakcjach na zaawansowane incydenty bezpieczeństwa. Przeprowadzanie analiz tradycyjnymi metodami informatyki śledczej, opierającymi się na tworzeniu i analizie obrazów dysku w przypadku kilkudziesięciu systemów jest procesem niezwykle czasochłonnym.

Tymczasem w reakcji na incydenty, czas odpowiedzi jest często krytyczny ponieważ atakujący mogą aktywnie kraść dane, niszczyć systemy czy też po prostu wyznaczać termin ultimatum w żądaniach okupu. Dodatkowo poleganie wyłącznie na wynikach analizy już znanych, zaatakowanych systemów dla wskazania kolejnych systemów dotkniętych atakiem, które mają być następnie zbadane, nie jest dobrym i efektywnym sposobem na kompleksowe określenie zasięgu incydentu.

Live Response

Specjaliści Mandiant od lat z powodzeniem wykorzystują techniki tzw. „Live Response” do analizy systemów w procesach reakcji na incydenty. Techniki te pozwalają ograniczyć czas wymagany na pełne przenalizowanie systemu na potrzeby śledztwa do 4-6 godzin, a często mniej. Dodatkowo wykonywanie skanowania pod względem obecności tzw. wskaźników ataku (Indicators of Compromise – IOC), na poziomie zarówno hostów jak i sieci, wielokrotnie udowodniło swoją efektywność w kompleksowym określaniu zasięgu najbardziej zaawansowanych ataków.

Organizacje, które realnie myślą o najwyższych standardach bezpieczeństwa IT powinny działać z założeniem, że incydenty bezpieczeństwa są nieuniknione oraz przygotować się do reakcji na takie zdarzenia.

Klucz do efektywnej i sprawnej reakcji na incydenty

W ramach przygotowań powinno się planować i wdrażać techniczne możliwości skanowania hostów i sieci pod względem oznak aktywności grup cyberprzestępczych, ich szkodliwego oprogramowania, narzędzi oraz metod działania. Poprawa możliwości w zakresie wydajnego stosowania informatyki śledczej do badania hostów i sieci jest równie ważna. Po stronie hostów, rozwiązanie typu endpoint powinno pozwalać na wykrywanie i powiadamianie o wystąpieniu Indicators of Compromise, przeprowadzanie „live forensics” i pobieranie plików do analizy. Podobnie w przypadku sieci, wykorzystywane narzędzia powinny zapewniać funkcje takie jak wykrywanie IoC, pełne przechwytywanie pakietów, rejestrowanie metadanych połączeń czy logowanie na poziomie warstwy aplikacji. Solidna widoczność zdarzeń na poziomie hostów i sieci połączona z możliwościami wykonywania analizy na żądanie interesujących nas systemów i ruchu sieciowego są kluczem do efektywnej i sprawnej reakcji na incydenty.

2018-02-08T09:42:15+00:002016/10/10|
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami
  • Dane teleadresowe
  • Siedziba główna
    Media Sp. z o.o.
    ul. Piotrowicka 61,
    40-723 Katowice
  • tel.: +48 32 782 95 95
    fax: +48 32 782 95 94
    NIP: 6342341032
  • Oddział Warszawa
    Media Sp. z o.o.
    ul. Chałubińskiego 8, piętro 18,
    00-613 Warszawa
  • tel.: +48 22 719 97 00
  • -------------------------------
  • Skontaktuj się z nami