Egy célzott támadás számos lépésből áll, mire eljut a végkifejletig. Nézzük át, mik ezek, és hol lehet megakadályozni a behatolók sikerét!

Bármerre is tekintünk az emberiség történelmében, szinte minden helyzetben azok a csoportok lettek sikeresek, melyek alkalmazkodtak környezetükhöz. Felismerték és kihasználták a lehetőségeket, majd ennek függvényében változtattak szokásaikon. Nincsen ez másképp az online támadások esetében sem.

Célzott támadásokkal növelhető a siker esélye

Ahhoz, hogy a lehető legnagyobb profitra tegyen szert vagy legnagyobb kárt okozhassa egy támadó (szervezet), ismernie kell a célpontot. Ennek első lépése az a kutatómunka, melynek során a nyilvánosan elérhető adatbázisokból – például közösségi hálózatokból – összegereblyézik a kinézett vállalat munkavállalói hierarchiáját, majd az e-mailcímek birtokában már nem vaktában, hanem célzottan és testre szabottan veszik fel a kapcsolatot az ott dolgozókkal.

Ennél egyszerűbb dolga van a behatolóknak, ha a darknetről beszerzett információkkal – felhasználónevekkel és jelszavakkal – rögtön belépnek valamelyik alkalmazott postafiókjába, ezáltal könnyebben tudják legitimnek álcázni üzeneteiket.

Az adatokat eltulajdonítók és felhasználók egyébként nem feltétlenül alkotnak egy csoportot, a munkamegosztás ugyanis hatékonyabbá teszi az egész folyamatot. Az előbbiek tehát a megszerzett információval gyakran nem maguk élnek vissza, hanem a darkeneten értékesítik. Az adott szervezetet célba vevő támadók ezáltal férhetnek hozzá anélkül, hogy az első feladatot el kellene végezniük.

Észrevenni és elkapni a behatolókat

A következő lépés a támadási felület elhelyezése, melynek célja, hogy ne lehessen (egyszerűen) visszakövetni az ártó szándékú tevékenységet az azt indítóig. Innen indul aztán a támadás, annak típusától függő eszközökkel. Általában fertőzött csatolmányt vagy félrevezető linket tartalmazó levelet kapnak a megcélzott alkalmazottak, de a megtámadott rendszer biztonsági hiányosságait – hiányzó Windows-frissítések, elégtelen végpontvédelem stb. – is előszeretettel aknázzák ki (exploit).

Amennyiben sikerrel veszi az első akadályt a behatoló, elhelyez egy kódot a számítógépen. Ennek segítségével tud távolról belépni, alkalmazásokat futtatni, rendszeradminisztrátori jogokat szerezni, de akár titkosíthatja is a merevlemez (a támadás ideje alatt elérhető hálózati meghajtók, pendrive-ok, külső merevlemezek, felhős tárhelyek) tartalmát, hogy aztán kriptovalutát követeljen a kódolás feloldásáért. A támadás akkor válik sikeressé, ha létrejön a visszafelé irányuló kommunikáció, vagyis a támadó eléri célját és átveszi az ellenőrzést az áldozatul esett számítógép felett.

Ennek a pontnak az eléréséig van esély nagyobb károk nélkül megállítani a rendszer épségét veszélyeztetőket. Ennek számos eszköze van – spamszűrő, sérülékenység-felismerő, viselkedésalapú behatolásvédelmi alkalmazások, tűzfalak és így tovább. A sikeres védekezés azonban elsősorban nem is a technológia meglététől, hanem annak megfelelő (fel)használásától függ.

Miben segít az Invitech?

Sajnos a közhely igaz: a leggyengébb láncszem általában az ember. Éppen ezért roppant fontos a felhasználói tudatosság növelése, az e-mailes és egyéb, felhasználói szinten észlelhető fenyegetések felismerésének képessége. Ezt segíti elő az Invitech Biztonságtudatossági képzése, melynek kialakítása hozzájárul a figyelem folyamatos fenntartásához és az eredményes oktatáshoz.

Szintén a védekezést támogatja a logmenedzsment (SIEM) szolgáltatás. A különböző naplózási források – tűzfalak, végponti védelmek, Windows logok stb. – gyűjtésével és összegzésével érzékelhetővé válnak a szokásostól eltérő, gyanús tevékenységek. A logforrások közötti korrelációk vizsgálatával veszélyesnek ítélt helyzetekben riasztást küld, melyet az Invitech elemez és pozitív eredmény esetén értesíti ügyfelét vagy elhárítja a kialakuló biztonsági problémát.

Végül pedig műszaki megoldások garmadája áll az ügyfelek rendelkezésére, melyek mind az adatok és a felhasználók védelméről gondoskodnak. Az Invitech által telepített, üzemeltetett, piacvezető teszteken a legjobb eredményeket felmutató tűzfalak, munkaállomásokon dolgozó végpontvédelmi megoldások révén nem csak a biztonsági incidensek ténye mutatható ki, hanem akár vissza is követhető az események sorozata a kiindulási pontig. Ennek elemzésével pedig könnyen azonosíthatók a rendszer esetleges gyenge, sebezhető elemei, amelyek védelmi szempontból felülvizsgálatot igényelnek, megelőzendő a további próbálkozások sikereit.