Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX
18.04.2019

Technologie wideo

Avaya IX Collaboration Unit
18.04.2019

Krótki rzut

Optoma W318STe i X318STe
18.04.2019

Do mobilnej pracy

Jabra Evolve 65e

Wykrywanie ataków na infrastrukturę IT w firmie

Data publikacji: 24-01-2018 Autor: Ireneusz Tarnowski
ARCHITEKTURA I ZALETY...

Z roku na rok popełniane są coraz bardziej wyrafinowane cyberprzestępstwa, a skala tych zdarzeń rośnie zarówno w wymiarze ilościowym, jak i jakościowym. Kradzione są coraz większe kwoty pieniężne, pozyskuje się coraz więcej poufnych informacji, a skutki pojedynczych ataków stają się coraz poważniejsze. W artykule odpowiadamy na pytanie, jak najlepiej przygotować organizację na tego typu zagrożenia.

Zagrożenie atakiem na systemy informatyczne może dotknąć każdą organizację. Atakowani są wszyscy, bez wyjątku: banki, dostawcy usług IT, firmy transportowe, przemysłowe, operatorzy telekomunikacyjni, sklepy internetowe oraz zwykli ludzie. Dla osób zarządzających, a przede wszystkim dla zespołów bezpieczeństwa niezwykle istotne stało się więc dziś pytanie: „Skąd mam wiedzieć, że jestem atakowany?”. Cyberprzestępcy coraz lepiej przygotowują się do ataków, znają mechanizmy kontrolne stosowane w firmach, wiedzą, jak budowane są zabezpieczenia i jak je omijać. Z tego powodu istotne dla cyberbezpieczeństwa jest zbudowanie potencjału do wykrywania ataków. W dużej mierze polega to na utworzeniu skutecznego systemu monitorowania zdarzeń bezpieczeństwa w infrastrukturze organizacji. Dodatkowo konieczne jest posiadanie wiedzy o technikach, taktykach i procedurach atakujących, by wiedzieć, na jakie zdarzenia w systemach organizacji należy zwracać uwagę.

Trzeba poznać wskaźniki ataku (IoA – Indicator of Attack) oraz umieć określać cechy naruszenia bezpieczeństwa (IoC – Indicator of Compromise). Nawet z pozoru nieistotne zdarzenia mogą być elementem bardziej skomplikowanej kampanii lub włamania. Pojawienie się i właściwe rozpoznanie wskaźników ataku pozwala go wykryć, jednoznacznie określić cel oraz ustalić etap, na jakim znajduje się dany atak. Wiedza ta pozwoli podjąć właściwe kroki, by przeciwdziałać osiągnięciu celu przez przestępców.

> Modelowy przebieg ataku komputerowego

Jeden z popularniejszych i bardziej utrwalonych modeli ataków to tzw. łańcuch śmierci ataku komputerowego (Intrusion Kill Chain). Przypomnijmy – w modelu tym wyróżnione zostały następujące fazy:

 

  1. Rozpoznanie, rekonesans (reconnaissance) – odnalezienie, identyfikacja oraz wybranie celu, często realizowane przez skanowanie internetu, serwisów WWW, grup dyskusyjnych, mediów społecznościowych lub dostępnych informacji (tzw. biały wywiad);
  2. Uzbrojenie (weaponization) – przygotowanie narzędzi ataku, takich jak konie trojańskie czy eksploity wraz z danymi. Zazwyczaj jest to zbiór aplikacji automatyzujących uzbrojenie, czyli umieszczenie przygotowanych narzędzi w zainfekowanych plikach, których po dostarczeniu ofiara będzie używała (np. pliki PDF lub Microsoft Office);
  3. Dostarczenie (delivery) – przesłanie przygotowanych „narzędzi ataku” do atakowanego środowiska poprzez przygotowany wcześniej wektor ataku (np. załącznik e-maila, stronę WWW czy nośnik mediów USB);
  4. Włamanie, eksploitacja (exploitation) – po dostarczeniu „narzędzi ataku” do komputera następuje wykonanie kodu w atakowanym środowisku. Najczęściej w eksploitacji wykorzystywane są podatności w aplikacjach lub w systemie operacyjnym atakowanego komputera. Zdarzają się znacznie prostsze włamania wykorzystujące błędy w konfiguracji lub nieświadomość użytkownika;
  5.  Instalacja (installation) – instalacja konia trojańskiego lub tzw. tylnych drzwi (backdoor) w systemie ofiary pozwalających na trwałe istnienie w zaatakowanym środowisku;
  6. Kontrola (command and control) – przejęcie kontroli nad zainfekowanym urządzeniem. Zazwyczaj komputer, nad którym intruz przejął kontrolę, łączy się na zewnątrz z kontrolującym go komputerem (Command and Control (C2)) poprzez specjalnie utworzony kanał komunikacyjny;
  7. Akcja (actions on objective) – dopiero w tym momencie następuje właściwa akcja, mająca na celu osiągnięcie (zdobycie) zaplanowanych celów. Typowo jest to penetracja, analiza, zebranie i skopiowanie danych. Alternatywnie włamywacz może wykorzystać skompromitowany komputer tylko jako punkt wyjściowy do dalszych ataków i miejsce, z którego penetrowana jest zaufana sieć ofiary.


Niemal w każdej z tych faz atak może zostać wykryty i przerwany. I nie jest istotne, czy odbędzie się to bardzo wcześnie z punktu widzenia faz modelu. Ważniejsze jest, że takie wykrycie może nastąpić w każdej fazie ataku, począwszy od prowadzonych przez atakującego działań rozpoznawczych, kończąc na realizacji działań, które oznaczono jako „akcja”.

> Jak wykryć trwający atak

W środowiskach informatycznych każda anomalia ma swoje przyczyny. Mogą to być czynniki związane z wydajnością systemu, z jego architekturą i ułomnościami projektowymi, ale bardzo często są one śladami wskazującymi na przeprowadzany atak komputerowy.

By zauważyć trwający atak komputerowy, należy regularnie monitorować wybrane parametry systemu oraz raportować sytuacje niespodziewane. Takie spoglądanie w system powinno być codziennym, stałym elementem procesu bezpieczeństwa komputerowego. Określenie „środowisko informatyczne” ma podkreślić rozległość obszaru obserwacji, gdyż atak nie musi dotyczyć jednego urządzenia, stacji roboczej czy aplikacji. Często na pozór nieznaczące sygnały pochodzące z różnych systemów, po ich skorelowaniu, mogą wskazać na obecność intruza w naszych systemach.
 
[...]

Ekspert bezpieczeństwa informacji, wieloletni administrator systemów IT, włącznie z systemem pocztowym jednego z komercyjnych dostawców tej usługi. Miłośnik defensywnego podejścia do cyberbezpieczeństwa. Niezależny konsultant i analityk cyberbezpieczeństwa w ramach inicjatywy Blue Cyberspace.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"