Road

28_Cybercriminals.jpg
Forrás: ITB
Összezárják soraikat a kiberbűnözők

Folyamatos a vadászati szezon a vállalatok ellen

A kiberbűnözők idén egyre jobban összezárják soraikat, szakosodottan, szervezetten, tervezetten és főleg feltűnés nélkül végzik munkájukat. Ellenük megfelelő IT-biztonsággal, naplózás-elemzéssel és a biztonságtudatossági szint növelésével védekezhetünk.

Advanced Persistent Threat vagyis APT, magyarul fejlett, folyamatos fenyegetés. Így nevezi a szakirodalom és -sajtó azokat a csoportokat, amelyek szervezetten foglalkoznak a kiberbűnözéssel. Az iparágakra szakosodott csoportok kedvenc eszközeikkel viszik véghez a támadásokat. A kiszolgált ügyfelek szerint is szakosodás látható: vannak, akik további bűnözőknek adják el a belépési jelszavakat (B2B-modell), illetve vannak azok a szereplők, akik bérelt, vásárolt eszközök segítségével visznek véghez egy támadást (B2B netán B2C modell).

Ezek a csoportok figyelnek támadásaik minőségére és mennyiségére. Céljaiknak megfelelően gondolják át és időzítik azokat. Többnyire célzottan és kitartóan támadják célpontjaikat. Lassan, rejtetten, alaposan dolgoznak. Céljuk az, hogy bejussanak a kiszemelt hálózatba vagy hálózatokba, ahol minél több időt tudnak tölteni, annál több értékes információt tudnak szerezni, majd ezen információk birtokában rejtve pénzhez jutnak.

Ezek az APT-csoportok a bizalomvesztés miatt egyre szorosabbra működnek együtt, állítja az Accenture Security 2019-es Cyber Threatscape jelentése.  Az elmúlt két évben jelentősen megnőtt a célzott támadások száma, melyet a kiberbűnözők maguk között nagy vadászati játéknak neveznek.

 

A gyenge láncszem – gyenge

Az Accenture tanulmánya kiemeli, hogy a nagyvállalatok növekvő biztonságtudatossága miatt hatékonyabb az ellátási lánc gyengébb tagjait támadni: frissítetlen szoftverek, hardverek, alacsonyabb szintű felhős technológiák. A biztonsági auditnak ki kell terjedni minden egyes partnerre, aki hozzáfér a gazda cég hálózatához.

Védekezzünk az APT-támadások ellen

Az APT-támadásoknak azonban vannak előjelei, például a megnövekedett login-aktivitás gyanús. A bűnözők „brute force” támadások segítségével próbálják kitalálni a jelszavakat. Árulkodó jel, ha növekszik a sikertelen belépési próbálkozások aránya, főleg éjjel.

Érdemes elemezni az antivírus-szolgáltatás naplóját is: az APT-csoportok kártevők segítségével is próbálkozhatnak bejutni a hálózatba. Ha a naplófájlokból az látszik, hogy szokatlan arányban megnövekedett az elfogott vírusok aránya, akkor elképzelhető, hogy cégünk összehangolt támadás célpontja.

A bűnözők a vállalat erőforrásait is használják támadásaikhoz. Egy aktív kártevő a végponton lévő számítógép számítási kapacitását és memóriáját használja tevékenységéhez. A hirtelen megnövekedett hálózati forgalom is árulkodó jel: az adatokat interneten keresztül szivárogtatják ki.

Aktívan elemezzük tehát a naplófájlokat, futtassuk rendszeresen a biztonsági teszteket. Használjunk proaktív, prediktív biztonsági megoldásokat. Emellett rendszeresen frissítsük alkalmazásainkat, telepítsük a legújabb biztonsági javításokat. Tartsunk rendszeres képzéseket, növeljük kollégáink biztonságtudatosságát, mert nagyon sok esetben egyszerű társadalmi, pszichológiai trükkökkel (magyarul: klasszikus átveréssel…) szerzik meg a belépési adatokat.