Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Wykrywanie ataków na infrastrukturę IT w firmie

Data publikacji: 24-01-2018 Autor: Ireneusz Tarnowski
ARCHITEKTURA I ZALETY...

Z roku na rok popełniane są coraz bardziej wyrafinowane cyberprzestępstwa, a skala tych zdarzeń rośnie zarówno w wymiarze ilościowym, jak i jakościowym. Kradzione są coraz większe kwoty pieniężne, pozyskuje się coraz więcej poufnych informacji, a skutki pojedynczych ataków stają się coraz poważniejsze. W artykule odpowiadamy na pytanie, jak najlepiej przygotować organizację na tego typu zagrożenia.

Zagrożenie atakiem na systemy informatyczne może dotknąć każdą organizację. Atakowani są wszyscy, bez wyjątku: banki, dostawcy usług IT, firmy transportowe, przemysłowe, operatorzy telekomunikacyjni, sklepy internetowe oraz zwykli ludzie. Dla osób zarządzających, a przede wszystkim dla zespołów bezpieczeństwa niezwykle istotne stało się więc dziś pytanie: „Skąd mam wiedzieć, że jestem atakowany?”. Cyberprzestępcy coraz lepiej przygotowują się do ataków, znają mechanizmy kontrolne stosowane w firmach, wiedzą, jak budowane są zabezpieczenia i jak je omijać. Z tego powodu istotne dla cyberbezpieczeństwa jest zbudowanie potencjału do wykrywania ataków. W dużej mierze polega to na utworzeniu skutecznego systemu monitorowania zdarzeń bezpieczeństwa w infrastrukturze organizacji. Dodatkowo konieczne jest posiadanie wiedzy o technikach, taktykach i procedurach atakujących, by wiedzieć, na jakie zdarzenia w systemach organizacji należy zwracać uwagę.

Trzeba poznać wskaźniki ataku (IoA – Indicator of Attack) oraz umieć określać cechy naruszenia bezpieczeństwa (IoC – Indicator of Compromise). Nawet z pozoru nieistotne zdarzenia mogą być elementem bardziej skomplikowanej kampanii lub włamania. Pojawienie się i właściwe rozpoznanie wskaźników ataku pozwala go wykryć, jednoznacznie określić cel oraz ustalić etap, na jakim znajduje się dany atak. Wiedza ta pozwoli podjąć właściwe kroki, by przeciwdziałać osiągnięciu celu przez przestępców.

> Modelowy przebieg ataku komputerowego

Jeden z popularniejszych i bardziej utrwalonych modeli ataków to tzw. łańcuch śmierci ataku komputerowego (Intrusion Kill Chain). Przypomnijmy – w modelu tym wyróżnione zostały następujące fazy:

 

  1. Rozpoznanie, rekonesans (reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad);
  2. Uzbrojenie (weaponization) – przygotowanie narzędzi ataku, takich jak konie trojańskie czy eksploity wraz z danymi. Zazwyczaj jest to zbiór aplikacji automatyzujących uzbrojenie, czyli umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu ofiara będzie używała (np. pliki PDF lub Microsoft Office);
  3. Dostarczenie (delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-maila, stronę WWW czy nośnik mediów USB);
  4. Włamanie, eksploitacja (exploitation) – po dostarczeniu „narzędzi ataku” do komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego komputera. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika;
  5.  Instalacja (installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku;
  6. Kontrola (command and control) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj komputer, nad którym intruz przejął kontrolę, łączy się na zewnątrz z kontrolującym go komputerem (Command and Control (C2)) poprzez specjalnie utworzony kanał komunikacyjny;
  7. Akcja (actions on objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Typowo jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać skompromitowany komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.


Niemal w każdej z tych faz atak może zostać wykryty i przerwany. I nie jest istotne, czy odbędzie się to bardzo wcześnie z punktu widzenia faz modelu. Ważniejsze jest, że takie wykrycie może nastąpić w każdej fazie ataku, począwszy od prowadzonych przez atakującego działań rozpoznawczych, kończąc na realizacji działań, które oznaczono jako „akcja”.

> Jak wykryć trwający atak

W środowiskach informatycznych każda anomalia ma swoje przyczyny. Mogą to być czynniki związane z wydajnością systemu, z jego architekturą i ułomnościami projektowymi, ale bardzo często są one śladami wskazującymi na przeprowadzany atak komputerowy.

By zauważyć trwający atak komputerowy, należy regularnie monitorować wybrane parametry systemu oraz raportować sytuacje niespodziewane. Takie spoglądanie w system powinno być codziennym, stałym elementem procesu bezpieczeństwa komputerowego. Określenie „środowisko informatyczne” ma podkreślić rozległość obszaru obserwacji, gdyż atak nie musi dotyczyć jednego urządzenia, stacji roboczej czy aplikacji. Często na pozór nieznaczące sygnały pochodzące z różnych systemów, po ich skorelowaniu, mogą wskazać na obecność intruza w naszych systemach.
 
[...]

Ekspert bezpieczeństwa informacji, wieloletni administrator systemów IT, włącznie z systemem pocztowym jednego z komercyjnych dostawców tej usługi. Miłośnik defensywnego podejścia do cyberbezpieczeństwa. Niezależny konsultant i analityk cyberbezpieczeństwa w ramach inicjatywy Blue Cyberspace.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"