Ataki typu APT staną się znacznie groźniejsze

Celem ataku APT może obecnie zostać każda firma, organizacja czy rząd. Do niedawna sądzono, że ataki tego typu są wycelowane wyłącznie w ogromne korporacje, firmy z branży przemysłowej i istotne organizacje rządowe, jednak nowe trendy w cyberprzestępczości pokazują, że atakujący zaczynają dostrzegać także mniejsze firmy, np. podwykonawców działających na zlecenie większych przedsiębiorstw. Sieć mniejszej firmy jest w większości przypadków znacznie łatwiejsza do złamania, a z racji współpracy z dużymi kontrahentami może zawierać wiele informacji cennych dla cyberprzestępców, konkurencji lub szpiegów przemysłowych.

Zagrożenie atakami APT jest jak najbardziej realne. Aktywność tego typu należy do najbardziej wyrafinowanych działań cyberprzestępców, którzy przy odpowiedniej motywacji do pracy (najczęściej finansowej, ale czasem także ideologicznej) nie szczędzą środków na przygotowanie zaawansowanych technologii penetracji sieci ofiary. Nie można także zapominać o atakach sponsorowanych przez rządy. Tutaj motywacja jest ściśle określona: chodzi przede wszystkim o szpiegowanie organizacji lub rządów z innych państw.

Nasi eksperci obserwują ataki APT na całym świecie od długiego czasu. Z obserwacji działań cyberprzestępców na tym polu płynie niepokojący wniosek. W najbliższej przyszłości ataki APT zmienią formę i staną się znacznie groźniejsze. Będą pozostawiały jeszcze mniej śladów w systemach ofiar i ich wykrywanie stanie się znacznie trudniejsze niż kiedykolwiek wcześniej. W celu zadbania o należytą ochronę przed tego typu zagrożeniami organizacje powinny przygotować odpowiednią strategię, w tym:

• Skoncentrować się na szkoleniu personelu w zakresie cyberbezpieczeństwa, ponieważ większość ataków ma swój początek na komputerze zwykłego pracownika, który nieświadomy zagrożenia doprowadza co infekcji;

• Wdrożyć dojrzałą, wielopoziomową ochronę punktów końcowych z dodatkowymi warstwami bezpieczeństwa (np. proaktywna analiza zachowania aplikacji w firmowych systemach);

• Szybko i regularnie łatać luki w zabezpieczeniach oraz w miarę możliwości zautomatyzować ten proces;

• Zwracać uwagę na bezpieczeństwo urządzeń mobilnych i przechowywanych w nich informacji;

• Stosować szyfrowanie komunikacji i poufnych danych;

• Chronić wszystkie elementy infrastruktury IT – bramy, pocztę e-mail, serwery plików, pracy grupowej itd.

Po to, by chronić się przed najbardziej zaawansowanymi działaniami cyberprzestępców, organizacje powinny stworzyć i wdrożyć kompletną strategię bezpieczeństwa – od przewidywania możliwych zagrożeń oraz ryzyka po zapobieganie aktualnym niebezpieczeństwom. Strategia taka musi być wspomagana skutecznym wykrywaniem i sprawną reakcją na nowe i nieznane jeszcze zagrożenia. Ponadto, współczesne cyberbezpieczeństwo jest zbyt złożoną i poważną kwestią, by łączyć je z ogólnym obszarem IT. Dlatego organizacje, które poważnie myślą o ochronie przed atakami APT i innymi wyrafinowanymi technikami przestępczymi powinny rozważyć budowę wyspecjalizowanego działu odpowiedzialnego za bezpieczeństwo IT.

Adam Kurek: Dyrektor IT w Kaspersky Lab Polska