logo

Night Dragon, Operation Aurora a další útoky na vaše data

Útoky typu Advanced Persistent Threat ukazují, že i společnosti s pokročilým zabezpečením IT infrastruktury, mohou být nabourány. Cílem průniku jsou většinou citlivá data, v některých případech i průmyslová sabotáž.

Na citlivá data byly zaměřeny útoky jako Operation Aurora, Night Dragon nebo úplně aktuální útok na společnost RSA, při kterém byla odcizena data týkající se zařízení SecurID. Ukázkovým příkladem sabotáže byl i útok vedený červem Stuxnet. Na následujícím obrázku je pět fází popisující celý útok Night Dragon, který byl zveřejněn společností McAfee.

První fáze - jen dva prstíčky

Útočníci se nejprve snaží zjistit co nejvíce informací o svém cíli. Jakákoliv informace je cenná, ať už se jedná o infrastrukturu nebo zaměstnance. Jakmile je mozaika dat dostatečná, mohou se útočníci pokoušet o otevírání prvních dvířek do systému. Pokusy mohou být čistě technické - jako např. ovládnutí jednoho z webových serverů pomocí SQL-injection nebo jiné zranitelnosti; nebo mohou zahrnovat prvky sociálního inženýrství - vytipovaným osobám je zasílán škodlivý kód, který je uveden věrohodným příběhem (věrohodným např. proto, že o dané osobě lze zjistit dostatek informací ze sociálních sítí). Jeden z vektorů útoku nakonec uspěje a útočník získá přístup, i když pravděpodobně zatím k méně zajímavým systémům.

Druhá fáze - administrátorem snadno a rychle

Jakmile jsou útočníci uvnitř sítě, začnou se dívat po důležitých strojích a přístupu na ně. Jasným cílem je získat přístupové údaje pro uživatele s co nejvyšším oprávněním. Nabízí se použít klasické nástroje, jako jsou keyloggery, ty jsou ale často nalezeny antivirovým softwarem a hlavní je se neprozradit. Legitimní nástroje pro administraci nejsou detekovány a poslouží ke sběru informací (včetně hashů hesel uživatelských účtů). Ty mohou útočníci lámat na svých strojích (a pro urychlení využít např. GPU), takže systémy oběti ani nezaznamenají pokus o brute-force útok.

Třetí fáze - já bych si s dovolením také vzal

Ve chvíli, kdy má útočník kompletní přístup k interním systémům, začne probírat data, která si chce odnést. Fáze vyhledávání a vynášení dat může být poměrně dlouhá, může být komplikována i maličkostmi, jako je webová proxy po cestě do Internetu. Útočníci se budou snažit najít přímou cestu s minimem kontrol a komplikací, skrz kterou by mohli data kopírovat na své stroje. Cílem bude určitě emailová komunikace, veškeré dokumenty, know-how (např. ve formě zdrojových kódů, výkresů, návrhů atd.)

Obrana perimetru zdaleka nestačí

První fáze bude časově pravděpodobně velmi náročná. Společnosti se soustředí hlavně na obranu perimetru a méně již na detekci a prevenci útoků uvnitř sítě. Jakmile je jednou perimetr překonán, tak se útočník může cítit jako ryba ve vodě a mapovat si topologii sítě, hledat zajímavé servery a otevírat si další zadní dvířka.

Jak dokazují i výše zmíněné Advanced Persistent Threats, nelze přistupovat k interní síti jako k bezpečnému prostředí. Naopak je nutné přísně kontrolovat jak pohyb dat, tak zabezpečení a nastavení interních systémů a komunikaci mezi nimi. Dobrým přístupem je také oddělování rolí - proč by měl mít administrátor přístup ke všem datům? Využitím šifrování zamezíme i superuživateli v přístupu ke všem dokumentů, emailům atd.; nasazením DLP zase zabráníme jejich odeslání po síti na stroje útočníků (i kdyby se jim nakonec povedlo DLP obejít, tak do té vygenerují tolik upozornění, že budou odhaleni).

Na problémy se zabezpečením a otevřená zadní vrátka upozorní Vulnerability Manager nebo Policy Auditor - software, který umí automatizovaně reportovat stav zabezpečení strojů a upozorňovat na změny vůči minulosti. Na aplikačních serverech není důvod neprovozovat Application Control, software který nedovolí spuštění cizího kódu, ani např. při útoku typu buffer-overflow a přitom je jeho nasazení otázkou minut.

Kontrola interního a odchozího provozu je přinejmenším stejně důležitá, jako kontrola toho příchozího. Webová proxy a firewall s aplikačními signaturami nám pomohou výrazně lépe identifikovat, co vlastně komunikuje z uživatelských počítačů. Vnitřní síť lze elegantně pokrýt kvalitní IPS sondou, která zamezí oblíbeným útokům a na podezřelé chování aspoň upozorní.

Další články k tématům - Aurora - DLP - Dragon - firewall - GPU - IPS - McAfee - RSA - SecurID - Stuxnet - útoky - zabezpečení

Článek ze dne 11. dubna 2011 - pondělí

Další články od COMGUARD a.s.

Lastline ochrana proti malwaru v portfoliu COMGUARD

Nejlepší a nejefektivnější řešení proti kybernetickým útokům včetně APT

Zpráva o hrozbách McAfee Labs Predictions 2017

Autorizované školicí středisko Sophos pro Čechy a Slovensko

COMGUARD je výhradním distributorem Rapid7 pro český a slovenský trh

Nová řada firewallů Sophos XG v distribuci COMGUARDu

Nová firewallová platforma sjednocuje řešení Sophos SG a Cyberoam CR

ManageEngine - řešení správy a řízení IT v distribuci COMGUARD

Konference Security & Networking Praha 2015

Ransomware - IT výpalné je podle McAfee Labs na vzestupu

Barracuda Security Suite - integrovaná platforma ochrany sítě

Poptávka po bezpečnostních i síťových řešeních roste

McAfee SIEM propojuje informace o vnějších hrozbách v reálném čase

Chytrá řešení pro bezpečnost ICT

Špičkové umístění pro tým COMGUARD a Unicorn Systems na Cyber Europe 2014

Archivace emailové komunikace s integrací pro Outlook

Predikce hrozeb v oblasti bezpečnosti pro rok 2015

Bezpečnostní řešení Secunia v distribuci COMGUARD

McAfee Endpoint Security v10 - integrované zabezpečení pro pracovní stanice a servery

COMGUARD je výhradním distributorem síťových technologií Brocade

UTM firewall Cyberoam chrání firemní síť CIDEM Hranice

Konference Security & Networking Praha 2014 představila reálné hrozby kybernetických útoků

Konference Security & Networking Praha 2014

Bezpečnostní řešení Sophos v distribuci COMGUARD

Revoluce v boji proti malwaru s McAfee Advanced Threat Defence

Rychlý nárůst malwaru v mobilnáích aplikacích

Virtuální router Brocade Vyatta vRouter

iStorage šifrované USB flash disky v distribuci COMGUARD

Autentizace vlastní cestou pomocí SecurEnvoy BYOT

Nové modely síťových McAfee IPS v distribuci COMGUARD

COMGUARD zahajuje distribuci síťových řešení Brocade Communications

Nové next-generation firewally McAfee

Investor OnyxCapital vstupuje do COMGUARD

COMGUARD detekuje, chrání a navrhne i optimální řešení

Implementace prvků síťové bezpečnosti během několika minut

COMGUARD ICT Security Training Center: školící program pro IT profesionály

Řešení McAfee pro bezpečný přístup k aplikacím v cloudu

Bezpečnostní řešení ve spolupráci Intel a McAfee

Nová řada Next Generation UTM Firewallů Cyberoam NG Series s gigabitovou propustností

Cyberoam NG Series: nejrychlejších UTM zařízení pro SOHO a SMB trh

Bezpečnostní řešení Barracuda v portfoliu COMGUARD

Novinky McAfee 2013 pro domácnosti a malé kanceláře

Bezpečnostní řešení WatchGuard v distribuci COMGUARD

Antivirové produkty McAfee dostaly jedničku od NSS Labs

UTM router: Cyberoam NetGenie vstupuje na český a slovenský trh

Mobilní bezpečnostní řešení Imation v disribuci COMGUARD

Děti tají své on-line aktivity před rodiči

Next-generation firewall Dell SonicWALL znovu certifikován ICSA Labs

Správný výběr ochrany webových aplikací

McAfee All Access 2012: bezpečnost pro všechna běžná zařízení v jednom balíku