Podle společnosti Accenture, poskytující odborné služby v oblasti podnikových strategií a digitálních technologií, se strůjci APT organizují do skupin, které jim umožňují sdílet taktiku a nástroje pro provádění útoků ve větším měřítku. Například ruská kyberkriminální skupina Silence APT se aktivně zaměřuje na finanční instituce, přičemž se jí podařilo úspěšně ukrást miliony dolarů z různých bank po celém světě.

Ale i menší společnosti musejí být ostražité. APT skupiny používají automatizované nástroje a botnety, aby získaly přístup k sítím, a při uplatňování svých taktik nedbají na velikost či hodnotu firmy, nebo na oblast, ve které společnost podniká. Jakákoliv zranitelná infrastruktura může být napadena. Proto je důležité, aby společnosti rozuměly tomu, jak APT fungují, a aby implementovaly nezbytná bezpečnostní opatření, kterými omezí či zmírní případné napadení.

Na co se zaměřit, jak hrozby odhalit?

APT fungují skrytě, takže nemusíte o napadení vědět, dokud se skutečně nezačne dít něco podezřelého. Například americká společnost InfoTrax Systems přišla na to, že byla dlouhá léta obětí útoku, až ve chvíli, kdy dosáhla maximální kapacity na svých úložištích. IT týmy musejí hledat indicie a náznaky, aby odhalily APT skrývající se ve firemní síti. Mezi známé indikátory patří:

Nutnost opakovaného přihlašování

Nedaří se vám opakovaně zalogovat, i když jste dříve s daným účtem neměli problémy? APT skupiny se obvykle spoléhají na kompromitované přístupové údaje, aby získaly přístup k sítím. Buď se pokouší kombinovat různá přihlašovací jména a hesla, nebo zadávají legitimní přihlašovací údaje, které vám byly odcizeny pomocí phishingu či dalších podvodných technik sociálního inženýrství. Nadměrné nebo podezřelé přihlašovací aktivity, zejména v neobvyklých hodinách, lze často připisovat APT.

Rozšíření malwaru

Pokročilé hrozby se často opírají o různé malwary, díky kterým je provádění hacků úspěšné. Pokud vaše antivirové nástroje často detekují a odstraňují malware, je možné, že vám APT ustavičně podsouvá trojské koně a nástroje pro vzdálený přístup do sítě.

Zvýšené zatížení výpočetního výkonu zařízení

APT hrozby svými hacky zaměstnávají sítě a další zdroje. Aktivní malware se nerozpakuje využívat výpočetní výkon a paměť zařízení svých obětí. Hackeři dočasně ukládají ukradená data na servery a uvolňování velkého objemu dat by se projevilo jako nadměrný odchozí provoz.

Zesílení monitorovacích hlídek

Objevit zmíněné znaky není jednoduché, proto musí IT oddělení tyto ukazatele napadení aktivně hledat. Naštěstí jsou k dispozici moderní bezpečnostní řešení, která poskytují funkce pro sledování potenciální přítomnosti APT a souvisejících aktivit.

Analýza logů

Logy dovedou přesně zaznamenávat a ukazovat různé aktivity, události a úkoly, které se projevily v zařízeních, systémech a aplikacích. Prochází logů, které jsou často v neformátovaném prostém textu, může být únavné. K ulehčení této práce, aby týmy mohly třídit dostupné informace, slouží pokročilé nástroje pro analýzu logů. Ty nyní obsahují algoritmy, které dokáží vyhledávat vzory napříč IT infrastrukturou. Díky umělé inteligenci takové nástroje identifikují neobvyklé vzorce včetně těch, které poukazují na bezpečnostní riziko.

Informace, jako je využití šířky pásma, přihlašovací relace nebo geografické rozložení síťového provozu, můžete vytěžit k odhalení přítomnosti hrozeb. Všechna data lze vizualizovat – pro snazší prezentaci a kontrolu. Díky těmto informacím může platforma pohotově upozornit IT oddělení na potenciální útoky, aby mohlo podniknout okamžitá opatření.

Simulace útoků a narušení bezpečnosti

Platformy Breach and Attack Simulation (BAS) provádí rutinní testy, které napodobují skutečné kybernetické útoky. Tím kontrolují, zda bezpečnostní opatření fungují podle plánu. Platformy slouží jako alternativy k tradičnímu penetračnímu testování, jehož rutinní provádění je náročnější.

BAS platformy nabízí širokou škálu testů, které pokrývají různé útoky na infrastrukturu. Mohou testovat slabiny webových bran i webových aplikací. Nasaďte falešný malware do koncových zařízení a zkontrolujte, zda antivirový či antimalwarový program detekuje škodlivé soubory a procesy. Pomocí platforem lze také simulovat phishingové útoky; tím odhalíte, kteří uživatelé jsou náchylnější k útokům sociálního inženýrství.

Jak se bránit (a ubránit)?

Silnější vylepšená obrana

Monitorování a včasná detekce jsou klíčem k udržení bezpečnosti. Organizace musí správně zvolit potřebné kroky a integrovat je do svých širších bezpečnostních strategií.

Buďte ostražití

Aktivní analýza logů a provádění rutinních testů může informovat IT experty o potenciální přítomnosti APT – umožní jim vypořádat se s těmito hrozbami co nejdříve.

Podnikové zabezpečení

Organizace by měly volit dobrá bezpečnostní řešení. Malware používaný APT může obsahovat polymorfní kód, který snadno překoná levné nebo bezplatné antimalwarové programy.

Updatujte své systémy a aplikace

APT využívají pro své cíle a taktiky zranitelnosti zařízení a systémů. Vývojáři pravidelně vydávají opravy a patche, které zacelují kritické zranitelnosti. Společnosti však musí implementovat aktualizace hned, jakmile jsou k dispozici.

Školení zaměstnanců

APT hrozby se s pomocí sociálního inženýrství mnohdy pokouší zneužít lidské chyby. V zájmu firem je proto školit své zaměstnance o osvědčených bezpečnostních postupech. Měli by být schopni identifikovat phishingové e-maily a pokusy o zcizení dat. Neméně důležité je poukázat na nutnost vytvářet silná přístupová hesla či fráze a na rizika související s opětovným používáním starých hesel.

„Bezpečná investice“

Je třeba si uvědomit, že v dnešním prostředí je bezpečnost jednou ze zásadních investic. APT mohou společnostem způsobit nenapravitelné škody, nemluvě o ukončení podnikání či narušení důvěry zákazníků.

Společnosti by měly přijmout taková bezpečnostní opatření, aby byly schopné hrozby detekovat a zmírňovat je natolik, aby nezpůsobily významné škody. Připravte se – nastal čas investovat do zajištění bezpečnosti více zdrojů, času i financí.