Gdzie kryją się ataki ukierunkowane i po co ci wskaźniki IoA?
2019-10-11 12:01
Wykrywanie ataków © fot. mat. prasowe
Najnowszy raport Kaspersky wskazuje, że 1,26% odnotowanych w I poł. br. alertów bazujących na tzw. wskaźnikach ataków (IoA) na firmowych punktach końcowych zostało sklasyfikowanych jako incydenty naruszenia cyberbezpieczeństwa. I wprawdzie odsetek ich był stosunkowo niewielki, to jednak nie sposób nie wspomnieć, że gros tych incydentów dotyczyła zaawansowanych ataków ukierunkowanych. Wykorzystywały one techniki, które służą atakującym w celu ukrycia szkodliwej aktywności i pozorują legalną aktywność użytkownika oraz administratora.
Przeczytaj także: Cyberbezpieczeństwo coraz bardziej zagrożone w związku z luką kompetencyjną
Inaczej niż w przypadku metod wykrywania bazujących na tzw. wskaźnikach infekcji (IoC), wskaźniki ataków IoA identyfikują niebezpieczną aktywność nie na podstawie znanych już, szkodliwych plików czy innego rodzaju śladów, ale w oparciu o stosowane przez cyberprzestępców taktyki, techniki i procedury. Inaczej rzecz ujmując, na światło dzienne wydobywane są metody atakowania ofiar przez konkretne cyberugrupowania. Doświadczenie pokazuje, że to właśnie metody oparte na IoA są najbardziej skuteczne w przypadku coraz to popularniejszych ataków, przy których wykorzystywane są najbardziej zaawansowane techniki.Potwierdzeniem powyższego są również inne wyniki raportu, w którym zobrazowano wielopoziomową analizę rezultatów działania usług firmy Kaspersky, dostarczonych przez liczne organizacje z sektora finansowego, rządowego, przemysłowego, transportowego, IT oraz telekomunikacyjnego.
Incydenty naruszenia cyberbezpieczeństwa zostały zidentyfikowane w niemal wszystkich taktykach łańcucha ataku, jednak najwięcej działań wykryto na etapach uważanych za „najbardziej hałaśliwe” (gdzie prawdopodobieństwo fałszywych trafień jest stosunkowo wysokie): wykonanie (37%), unikanie wykrycia (31%), dalsze rozprzestrzenianie się w sieci (16%) oraz uderzenie (16%). Jeśli chodzi o zwalczanie opisywanych taktyk, w badaniu wykazano, że produkty ochrony punktów końcowych (EPP) stanowią skuteczne narzędzie reagowania na zagrożenia w przypadku 97% zidentyfikowanych incydentów — z czego 47% zostało sklasyfikowanych jako zagrożenie średniego poziomu, łącznie ze szkodliwym oprogramowaniem, takim jak trojany i narzędzia szyfrujące, a 50% — jako niewielkie zagrożenie, w tym niechciane programy, takie jak adware czy riskware.
Jednak w przypadku zaawansowanych lub nieznanych zagrożeń, czy też incydentów klasyfikowanych jako duże zagrożenie (3%), tradycyjne rozwiązania EPP okazują się mniej skuteczne. Tego rodzaju działania – w tym zaawansowane szkodliwe oprogramowanie i ataki ukierunkowane — wymagają dodatkowego poziomu wykrywania, ręcznego wyszukiwania zagrożeń oraz analizy.
fot. mat. prasowe
Wykrywanie ataków
Jeden z kluczowych wniosków naszego raportu, nad którym pracowaliśmy przez ostatnie sześć miesięcy, jest taki, że jeśli nie wykryłeś w swojej sieci dużej liczby zdarzeń błędnie sklasyfikowanych jako zagrożenia, prawdopodobnie oznacza to, że umknęło ci wiele istotnych incydentów naruszenia bezpieczeństwa. W takiej sytuacji powinieneś zacząć stosować na większą skalę m.in. wskaźniki IoA. Poleganie wyłącznie na klasycznych, opartych na wskaźnikach infekcji lub innych znanych metodach wykrywania, zupełnie nie sprawdzi się w przypadku stosowania przez cyberprzestępców najbardziej zaawansowanych technik. Wprawdzie alerty oparte na wskaźnikach IoA są o wiele bardziej pracochłonne, wymagają bowiem wielu badań oraz stworzenia skutecznych reguł, a następnie ręcznej analizy, są jednak najskuteczniejsze i pozwalają wykryć naprawdę krytyczne incydenty – powiedział Siergiej Sołdatow, szef centrum operacji bezpieczeństwa w firmie Kaspersky.
Przeczytaj także:
Szkoły i uczelnie wciąż są jednym z głównych celów cyberataków
oprac. : eGospodarka.pl
Więcej na ten temat:
ataki ukierunkowane, cyberbezpieczeństwo, zagrożenia w internecie, naruszenia bezpieczeństwa, IoA
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)