Pridružite se poslovnoj zajednici od 20000 najuspešnijih i čitajte nas prvi

    sajber napad, Kaspersky
    IT/Tech
    autor

    Zašto je blagovremena reakcija na sajber napade ključna i kako je osigurati?

    Autor: Srđan Radosavljević, Security Solution Architect kompanije Kaspersky i predavač na eSecurity konferenciji

    Napredne sajber pretnje (APT) nastavljaju da testiraju odbrambenu snagu organizacija zloupotrebom novih ranjivosti, organizovanjem velikih incidenata u lancu snabdevanja i ciljanim napadima na određene industrije. Prema jednoj studiji, 84 odsto kompanija širom sveta priznaje da su sajber napadi postali sofisticiraniji. Kompanije su zabrinute zbog sopstvene ranjivosti, različitih platformi napada, taktike sajber pretnji, malvera, bezbednost mobilnih uređaja i korišćenje korisničkih cloud usluga od strane zaposlenih.

    Srećom, postoje mnogi alati, izvori informacija i smernica (poput NIST, SANS ili MITRE D3FEND grafikon znanja) koji pomažu u detaljnom prilagođavanju odgovora na sofisticirane napade i pružaju jasan uvid kako pratiti pretnje i sanirati IT sisteme. Jedan od osnovnih koraka je odrediti kada je pravi trenutak da se, sa faze istrage, pređe na fazu reagovanja.

    Zašto ne treba odmah samo da blokirate napad

    Prema izveštaju Kaspersky Incident Response, prosečan, iznenadni napad traje jedan i po dan, što je prilično kratko vreme. Ako je napadač toliko iskusan, bezbednosni tim mora brzo da reaguje. Ipak, blagovremena reakcija ne znači da zlonamerne radnje treba odmah blokirati.

    Važno je razumeti kada je pravi trenutak za početak faza zaustavljanja, iskorenjivanja i sanacije posledica napada. Ako se reaguje u pogrešnom trenutku, napadačima se šalje signal da njihovo delovanje više nije tajno. Na primer, ukoliko bezbednosni tim reaguje čim se otkriju pretnje i blokira maliciozni softver kao i maliciozne URL ili IP adrese, napadači mogu da se „sakriju“ unutar mreže ili da promene taktiku napada. To bi zahtevalo da se faza istrage ponovo pokrene, a napadači mogu toliko dobro i dugo da se sakrivaju, da bi njihovo otkrivanje bilo skoro nemoguće sve dok se ponovo ne aktiviraju.

    APT koriste tehnike „bočnog“ kretanja kako bi danima, mesecima ili čak godinama, ostali neprimećeni dok traže ključne mete u okruženju. Na primer, u jednom Lazarus napadu, napadači su uspeli da izbegnu segmentaciju mreže i dopru do dela sistema koji sadrzi visokie privilegije (restricted network) zahvaljujući bočnom kretanju i inficiranju administrativnog uređaja koji je povezivao korporativne i segmente mreže sa visokim privilegijama. Analiza APT kampanje, koju je objavila kompanija TunnelSnake 2020. godine, otkrila je slučaj u Južnoj Aziji gde se uljez krio unutar mreže još od 2018.

    Još jedan problem sa preranom reakcijom je u tome što, tokom faze iskorenjivanja, fragmenti malicioznog softvera mogu ostati neprimećeni, jer ih bezbednosni tim nije primetio ili povezao sa napadom tokom faze istrage.

    Štaviše, može ostati nejasno gde je bila ulazna tačka (entry point) napada. To može biti neka ranjivost, nezaštićeni endpoint ili drugi vektor. U ovim situacijama, čak i kada je napad zaustavljen i maliciozni elementi obrisani, još uvek postoji rizik da napadači ponovo koriste iste ulaze, ali nove taktike, tehnike i procedure napada.

    Postoji nekoliko koraka koje bi trebalo preduzeti da se izbegnu ovakve situacije:

    1. Pronađite lanac (kill chain) napada:

    Kada IT bezbednosni tim otkrije da je njihova kompanija ugrožena i da se sa druge strane nalazi čovek, a ne samo malver, treba da prate i pronađu što više tragova napada. Delovanje napadača treba da se prati na celoj mreži, a ne samo u neposrednom okruženju. Što „dublje“ stiže, napad ostavlja sve više tragova, pa lovci na pretnje analizom tih tragova, a uz pomoc Threat Intellegance platformi mogu da zaključe da li se radi o nekoj poznatoj APT grupi ili da pretpostave krajnju metu napada, kako bi što efektnije otklonili pretnje. Veoma je važno pronaći ulaznu tačku napada, kako bi se izbegli potencijalni incidenti u budućnosti.

    Postoji teorija prema kojoj je faza istrage krucijalna za blagovremenu reakciju na napad. Tvorci teorije su Džejson T. Lutgens, Metju Pepe i Kevin Mandia: Krajnji cilj reagovanja na incident se ostvaruje kroz dve aktivnosti – istragom i sanacijom. Istraga podrazumeva određivanje vektora napada, alata, pogođenih sistema, oštećenja, vremenskih okvira upada itd. Drugim rečima, sveobuhvatna analiza je neophodna pre početka sanacije. Pristupi obaveštajnim podacima o pretnjama i proceni napada, kao što je MITRE ATT&CK, su ključni u ovoj fazi.

    Najvažniji korak je nadgledanje mreže i poznavanje njene strukture

    Najvažniji korak je nadgledanje mreže i poznavanje njene strukture

    1. Znati kada zaustaviti napad

    Naravno, važno je da je tim i dalje u stanju da zaustavi napadaca pre nego što dođe do važnih poslovnih  podataka, usluga ili pređe na drugu organizaciju sa kojom je kompanija povezana. Ovde se ističu sposobnosti bezbednosnog tima – prikupljanje maksimalne količine podataka o napadu kako bi se efikasno planiralo reagovanje, istovremeno onemogućavajući napdaca da  utiče na poslovanje.

    Ovo nas dovodi do sledećeg – i verovatno najvažnijeg – koraka.

    1. Dobro naučite strukturu i nadgledajte mrežu

    Bezbednosni IT timovi treba da imaju jasnu sliku čitave mreže svoje kompanije, uključujući i eksterne uređaje, endpoint-e, segmente mreže i povezanu opremu. Ovo se postiže redovnim nadgledanjem mreže, revizijama, skeniranjem konekcija itd. Velike kompanije sa brojnim entitetima, lancima snabdevanja i podružnicama, apsolutno moraju ovo da sprovode.

    Sprovođenje mrežnih revizija i nadgledanja, zajedno sa merama kao što su politike i segmentacija mreže, pomaže u smanjenju broja potencijalnih ulaznih tačaka.

    Pored toga, poznavanje mreže je ključno za razumevanje kada treba zaustaviti i iskoreniti napad, pre nego što stigne do kritičnih poslovnih operacija. U fazama iskorenjivanja i sanacije, svi alati i tragovi zlonamernog softvera treba da budu uklonjeni sa svih endpointa, a svi kompromitovani sistemi ponovo instalirani i resetovani. Ukoliko se previdi bilo koji deo malvera u bekendu mreže, to može rezultirati još jednim ciklusom napada u budućnosti.

    Srećom, što se više vremena provede u reagovanju na napade, to više znamo o sajber kriminalcima. Obaveštajni podaci o pretnjama i specifični alati su dizajnirani da pomognu kompanijama da  pravovremeno otkriju zlonamerne radnje. Ipak, najefikasniji način zaštite od napada i ponovnih upada je  razvijena interna ili eksterna ekspertiza – da poboljšaju planove za reagovanje na incidente, znaju kada da reaguju i budu sposobni da sav malver blagovremeno odstrane iz svojih mreza.

    Ovogodišnja e-Security konferencija, koja prati najaktuelnije trendove iz oblasti sajber bezbednosti, održaće se od 27. – 29. septembra u Hotelu Mona Plaza Beograd. Ove godine konferencije će biti organizovana po panelima.

    Izvor: BIZLife

    Foto: Kaspersky

    APT napadi/Cyber beybednost/cyber napadi/kaspersky/odbrana od sajber napada/sajber bezbednost

    What's your reaction?

    AGON by AOC
    0
    Aleksa Stanić
    0
    auto
    0
    automobil
    0
    beograd
    0
    bitno
    0
    branislav tiodorović
    0
    čipovi
    0
    digitalni marketing
    0
    E-commerce Asocijacija Srbije
    0
    elektricni
    0
    enterijer
    0
    fashion and friends
    0
    fijat
    0
    Fleg fudbal
    0
    Fond za razvoj
    0
    Forma Ideale
    0
    gejming
    0
    Google prevodilac
    0
    Google translate
    0
    Grand Kopaonik
    0
    Honor magicbook 14
    0
    HTEC
    0
    institu za majku i dete
    0
    koronavirus
    0
    lutka
    0
    Michelin vodič
    0
    migranti
    0
    minimum
    0
    miran san
    0
    MK Group
    0
    monitori
    0
    na proleće
    0
    nagrada
    0
    Nemačka
    0
    nestašica
    0
    One&Only Portonovi
    0
    parking
    0
    populacija
    0
    preminuo
    0
    primanje četvrte doze
    0
    restorani
    0
    sabic
    0
    SoMo Borac
    0
    spavanje
    0
    srbija
    0
    Stada
    0
    subvencije za preduzetnike
    0
    superdry
    0
    svet
    0
    tehnika
    0
    tinejdžer
    0
    troskovi
    0
    važno
    0
    vozac
    0
    weCAN
    0
    XIAOMI
    0
    zalihe
    0

    Ostavite komentar

    Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *

    developed by Premium Factory. | Copyright © 2020 bizlife.rs | Sva prava zadržana.

    MAGAZINE ONLINE