Η μεθοδολογία ασφάλειας που προτείνουμε ενάντια στις APT επιθέσεις χωρίζεται σε 3 επίπεδα, καθένα από τα οποία είναι ικανό να τις αντιμετωπίσει σε διαφορετικό βαθμό.
Στο πρώτο μέρος του συγκεκριμένου άρθρου αναλύσαμε τον όρο Advanced Persistent Threat (APT), ο οποίος χρησιμοποιείται για να περιγράψει επιθέσεις πολύ μεγάλου εύρους και πολύ συγκεκριμένης μεθοδολογίας, που έχουν κυρίως σαν στόχο κράτη αλλά και πολύ μεγάλες πολυεθνικές (π.χ. Google). Στο δεύτερο και τελευταίο μέρος θα δούμε γιατί τα παραδοσιακά αντίμετρα μοιάζουν να μη μπορούν να αντιμετωπίσουν τέτοιου είδους επιθέσεις και θα προτείνουμε μία πολύ συγκεκριμένη μεθοδολογία ασφάλειας, η οποία βασίζεται κυρίως σε ένα πιο ανεπτυγμένο σύνολο λύσεων.
Πρόσφατες επιτυχημένες επιθέσεις εναντίον πολυεθνικών κολοσσών (Google, Adobe) αλλά και κρατών (Ιράν) αποδεικνύουν την ανεπάρκεια των παραδοσιακών αντιμέτρων, με τον πιο εμφατικό τρόπο. Σύμφωνα με την απλουστευμένη λογική της παραδοσιακής περιμετρικής ασφάλειας, υπάρχουν ουσιαστικά δύο κατηγορίες χρηστών, οι εσωτερικοί και οι εξωτερικοί. Η πραγματικότητα όμως είναι ότι ένας εξωτερικός χρήστης μπορεί πολύ εύκολα, όπως είδαμε και στο πρώτο μέρος, να αποκτήσει τα δικαιώματα ενός εσωτερικού χρήστη και έτσι να παρακάμψει κάθε περιμετρικό αντίμετρο. Σύμφωνα με τον Alex Stamos της Isec Partners, όλες οι εταιρείες που έπεσαν θύματα APT επιθέσεων είχαν άρτια εγκατεστημένα τείχη προστασίας, anti-virus και IDPS (Intrusion Detection Prevention Systems) συστήματα. Η έκδηλη αυτή ανεπάρκεια, λοιπόν, είναι απόρροια της χρησιμοποίησης “χθεσινών” λύσεων για να αντιμετωπιστούν “σημερινές” απειλές.
Η εξέλιξη του ηλεκτρονικού εμπορίου ουσιαστικά υποχρεώνει τους Οργανισμούς να εκθέτουν τους εταιρικούς servers στο διαδίκτυο και εντέλει να “προσκαλούν” ανεπιθύμητους επισκέπτες στο εσωτερικό τους δίκτυο. Η διαδικτυακή αυτή παρουσία μεταφράζεται σε αυξημένη http και https κίνηση, η οποία οφείλεται βέβαια και στους εσωτερικούς χρήστες του δικτύου που πλέον επισκέπτονται πολύ συχνά το Internet. Τα περισσότερα τείχη προστασίας (firewalls) λοιπόν, τα οποία βασίζονται σε μία προκαθορισμένη πολιτική κανόνων, αδυνατούν να προσδιορίσουν το αν πρόκειται για επιτρεπτή ή όχι ροή δεδομένων – και κατά συνέπεια δεν μπορούν να εκπληρώσουν το σκοπό τους που είναι η προστασία του εσωτερικού δικτύου από εξωτερικές απειλές. Επιπρόσθετα, τα anti-malware και IDPS (Intrusion Detection and Prevention Systems) προϊόντα, η πλειονότητα των οποίων βασίζεται σε αρχεία υπογραφών, μοιάζουν και αυτά να μη μπορούν να βοηθήσουν στην αντιμετώπιση των APT επιθέσεων. Η ανικανότητα αυτή εστιάζεται στο γεγονός ότι οι δράστες πίσω από τις τόσο καλά οργανωμένες εισβολές, μπορούν να εντοπίζουν συνεχώς καινούριες ευπάθειες λογισμικού και κατά συνέπεια να παράγουν zero-day exploits, για τα οποία δεν υπάρχει κάποια υπογραφή στις βάσεις δεδομένων των anti-virus εταιρειών.
Κατευθυντήριες Οδηγίες
Η μεθοδολογία ασφάλειας που προτείνουμε ενάντια στις APT επιθέσεις χωρίζεται σε 3 επίπεδα, καθένα από τα οποία είναι ικανό να τις αντιμετωπίσει σε διαφορετικό βαθμό. Στο πρώτο επίπεδο παρουσιάζονται βασικές οδηγίες και θεμελιώδεις πτυχές ασφάλειας, οι οποίες μπορούν να εφαρμοστούν χωρίς καμία μεγάλη διαδικαστική ή τεχνική αλλαγή στο περιβάλλον ενός Οργανισμού. Στο επόμενο επίπεδο παρουσιάζεται ένα σύνολο πιο ανεπτυγμένων λύσεων ασφάλειας, οι οποίες μπορούν να ελαττώσουν σε πολύ μεγαλύτερο βαθμό το ρίσκο και τον κίνδυνο που τίθενται από τους δράστες των APT επιθέσεων. Τέλος, το τρίτο επίπεδο της προτεινόμενής μας μεθοδολογίας, επικεντρώνεται στην άθροιση και το συσχετισμό των ενδείξεων που θα έχουν ως πηγή τις προαναφερόμενες λύσεις ασφάλειας. Ο συσχετισμός μιας αλληλουχίας APT ενδείξεων μπορεί τελικά να οδηγήσει στον εντοπισμό μιας τόσο εξελιγμένης επίθεσης, καθώς και στην καταγραφή της συγκεκριμένης μεθοδολογίας έτσι ώστε να αποφευχθούν παρόμοιες επιθέσεις στο μέλλον.
Επίπεδο 0
Είναι πολύ σημαντικό για μία εταιρεία να εγκαθιδρύσει πρώτα μια σειρά από απλούς κανόνες λειτουργικής ασφάλειας και αφού το επιτύχει να προσπαθήσει να εξελιχθεί πέρα από αυτό το επίπεδο.
System Security
Αρχικά πρέπει να αναφέρουμε πόσο κρίσιμη είναι η ασφαλής διαχείριση των εταιρικών συστημάτων, καθώς όπως έχει αποδειχθεί, οι δράστες πίσω από τις APT επιθέσεις τείνουν να εκμεταλλεύονται ευπαθή συστήματα με σκοπό να αποκτήσουν πρόσβαση στο εσωτερικό ενός δικτύου. Η βασική ευπάθεια εντοπίζεται στο γεγονός ότι πολλοί διαχειριστές, κυρίως για λόγους ευκολίας, αποφεύγουν να αλλάξουν τις προεπιλεγμένες ρυθμίσεις κάθε συστήματος, αλλά και στο ότι πολύ συχνά στα συστήματα αυτά τρέχουν πλεονάζουσες υπηρεσίες, οι οποίες δεν είναι απαραίτητες για την απρόσκοπτη λειτουργία τους. Συνεπώς, κάθε διαχειριστής οφείλει αρχικά να φροντίσει για την αλλαγή των default ρυθμίσεων αλλά και να προσαρμόσει τις υπηρεσίες που τρέχουν σε κάθε σύστημα, ανάλογα με το σκοπό που αυτό εκπληρώνει στο εταιρικό δίκτυο. Βέβαια, οι επιτιθέμενοι τείνουν να εκμεταλλεύονται και πολλαπλές ευπάθειες οι οποίες παρατηρούνται στο software που χρησιμοποιείται από κάθε Οργανισμό. Χαρακτηριστικό παράδειγμα αποτελεί ένας ευάλωτος web browser μέσα από τον οποίο θα μπορούσε να διεισδύσει αρχικά στο δίκτυο ο επιτιθέμενος, όπως συνέβη και στην επιχείρηση Aurora εναντίον της Google και άλλων πολύ μεγάλων εταιρειών. Συνεπώς, είναι απολύτως αναγκαίο για την ασφάλεια μιας εταιρείας να υπάρξει καταγραφή των υπαρχόντων συστημάτων αλλά και εγκατεστημένων προγραμμάτων και να φροντιστεί έτσι ώστε να πληρούν κάποιες βασικές προδιαγραφές ασφάλειας. Αυτό βέβαια θα πρέπει συμβαίνει και με κάθε νέο σύστημα ή λογισμικό που θα προστίθεται στο εταιρικό δίκτυο.
Εκτός από τη διαχείριση των εταιρικών συστημάτων είναι απαραίτητη και η σωστή διαχείριση και αποθήκευση των logs που δημιουργούνται από κάθε σύστημα μέσα στο εταιρικό δίκτυο, καθώς είναι ένα πολύ βασικό κομμάτι της εταιρικής ασφάλειας που συχνά παραβλέπεται. Η σωστή, ενδελεχής και αυτοματοποιημένη ανάλυση των logs αλλά και ο συσχετισμός αυτών, μπορεί να οδηγήσει στον εντοπισμό μιας επίθεσης που σε άλλη περίπτωση δεν θα γινόταν αντιληπτή.
Operational Security
Οι έλεγχοι στην εταιρική ασφάλεια ορίζονται κυρίως από το ρόλο που έχει ο κάθε υπάλληλος μέσα στην εταιρεία. Κάθε εργαζόμενος έχει συγκεκριμένα δικαιώματα αλλά και ευθύνες και ο σαφής προσδιορισμός αυτών των δύο μπορεί τελικά να οδηγήσει στην αποτελεσματικότερη αντιμετώπιση των διαδικτυακών απειλών. Αυτό αντικατοπτρίζεται στην ύπαρξη ενός πολύ καλά δομημένου και αναλυτικού σχεδίου αντιμετώπισης περιστατικών (incident response plan) το οποίο θα πρέπει να εφαρμοστεί κατά γράμμα όταν χρειαστεί, κάτω από την καθοδήγηση του υπεύθυνου ασφάλειας ( information security officer) κάθε εταιρείας.
Ο ρόλος κάθε υπαλλήλου σε έναν Οργανισμό απαιτεί και πρόσβαση σε πολύ συγκεκριμένα εταιρικά δεδομένα. Παρόλα ταύτα, σε πολλές περιπτώσεις εταιρικών δικτύων παρουσιάζεται το ατυχές φαινόμενο οι εσωτερικοί χρήστες να έχουν πρόσβαση σε όλα τα αρχεία τα οποία βρίσκονται αποθηκευμένα σ’ αυτά. Γεγονός που αποτελεί ένα πολύ σημαντικό διαχειριστικό και διαδικαστικό λάθος, το οποίο θα μπορούσε πολύ εύκολα να εκμεταλλευτεί κάθε επιτιθέμενος που έχει ήδη αποκτήσει πρόσβαση στο εσωτερικό του εταιρικού δικτύου. Συνεπώς είναι πολύ σημαντικό για κάθε εταιρεία, ο εσωτερικός χρήστης να έχει πρόσβαση μόνο σε ό,τι του είναι απολύτως απαραίτητο. Για να επιτευχθεί ένας τέτοιος έλεγχος, πρέπει να κατηγοριοποιηθούν και να αξιολογηθούν όλα τα δεδομένα που ανήκουν σε μία εταιρεία και ανάλογα να αποφασίζεται ποιος μπορεί να έχει πρόσβαση σε αυτά και ποιος όχι.
Παράλληλα, σύμφωνα με έρευνες η κατάχρηση των διαχειριστικών δικαιωμάτων (administrative privileges) είναι μία από τις πιο κοινές ευπάθειες που εκμεταλλεύονται οι επιτιθέμενοι προκειμένου να επεκτείνουν την κυριαρχία τους σε ένα εταιρικό δίκτυο. Κατά συνέπεια, τόσο ισχυροί λογαριασμοί, όπως για παράδειγμα αυτός του local admin ή του domain admin, θα πρέπει να χρησιμοποιούνται με πολύ μεγάλη προσοχή και για πολύ συγκεκριμένους λόγους. Λέγεται ότι η επίθεση εναντίον της Google θα είχε αποτύχει εάν οι τελικοί χρήστες δεν πραγματοποιούσαν την περιήγησή τους στο διαδίκτυο, κατέχοντας διαχειριστικά δικαιώματα (administrative privileges) ενώ αυτά δεν ήταν απαραίτητα.
Τέλος, θα πρέπει να αναφέρουμε την κρισιμότητα της εκπαίδευσης των τελικών χρηστών σε ό,τι αφορά στην εταιρική ασφάλεια – και πιο συγκεκριμένα στη μεθοδολογία των APT επιθέσεων. Ένας άρτια ενημερωμένος χρήστης είναι πιο πιθανό να εντοπίσει ενδείξεις μιας πολύ καλά οργανωμένης επίθεσης – που σε άλλη περίπτωση ίσως να περνούσαν απαρατήρητες – ενώ παράλληλα θα μπορεί να αποφεύγει ενέργειες που πιθανότατα να θέτουν σε κίνδυνο την εταιρική ασφάλεια.
Host and Network Security
Παρότι τα συμβατικά anti-malware δεν μπορούν να αποτρέψουν τις APT επιθέσεις, η ύπαρξη αλλά και η συνεχής αναβάθμισή τους, είναι απαραίτητη στο εταιρικό δίκτυο αλλά και σε κάθε τερματικό μέσα στην εταιρεία, έτσι ώστε να μπορούν να αποτραπούν διαδικτυακές επιθέσεις που δεν βασίζονται σε τόσο προηγμένες μεθόδους, όπως αυτές που έχουμε ήδη περιγράψει.
Καθώς τα σύνορα μεταξύ εσωτερικού και εξωτερικού δικτύου μοιάζουν να είναι πιο θολά από ποτέ αυτές τις μέρες, η αρχιτεκτονική ενός εταιρικού δικτύου οφείλει να κλίνει προς ένα πολυ-επίπεδο περιμετρικό πρότυπο, διαχωρίζοντας έτσι δίκτυα με διαφορετικά επίπεδα κινδύνου, διαφορετικού τύπου τελικούς χρήστες αλλά και διαφορετικά επίπεδα ελέγχου. Αυτό μπορεί να επιτευχθεί με τη χρήση τειχών προστασίας (firewalls), αποστρατικοποιημένων ζωνών (Demilitarized Zones) αλλά και IDPS συστημάτων. Στο σχήμα 1 παρουσιάζεται η προτεινόμενη αρχιτεκτονική ενός πολυ-επίπεδου εταιρικού δικτύου, το οποίο διαχωρίζει το εσωτερικό δίκτυο, την αποστρατικοποιημένη ζώνη και το εξωτερικό δίκτυο (Internet).
Όπως είναι εμφανές, το εσωτερικό δίκτυο είναι χωρισμένο σε διαφορετικά τμήματα έτσι ώστε ο κάθε εσωτερικός χρήστης να έχει πρόσβαση μόνο σε ό,τι του είναι απολύτως απαραίτητο. Παράλληλα παρατηρούμε ότι τα συστήματα τα οποία πρέπει να επικοινωνούν με το εσωτερικό αλλά και με το εξωτερικό δίκτυο (Internet) είναι τοποθετημένα στην αποστρατικοποιημένη ζώνη, η οποία έχει δημιουργηθεί με τη χρήση ενός εσωτερικού και ενός εξωτερικού τείχους προστασίας. Επίσης βλέπουμε ότι έχουν τοποθετηθεί IDPS συστήματα σε καίρια σημεία του δικτύου, με σκοπό να ανιχνευθεί κάποια παρεκκλίνουσα συμπεριφορά στη ροή δεδομένων από και προς το εσωτερικό δίκτυο.
Για να μπορεί βέβαια μια εταιρεία να αξιολογεί την αποτελεσματικότητα των παραπάνω συμβατικών αντιμέτρων, είναι απαραίτητο να αναθέτει ανά τακτά χρονικά διαστήματα σε εξωτερικές ομάδες τη διενέργεια penetration tests. Αυτές οι ομάδες – που συνήθως απαρτίζονται από πολύ ικανούς επαγγελματίες – προσομοιώνουν τη μεθοδολογία των δραστών που βρίσκονται πίσω από τις APT επιθέσεις, με σκοπό να εντοπίσουν πιθανές ευπάθειες και να προσδιορίσουν σε ποιο βαθμό μπορεί να εισβάλει ο επιτιθέμενος στο εταιρικό δίκτυο.
Επίπεδο 1
Σε αντίθεση με την πλειονότητα των διαδικτυακών επιθέσεων που συνήθως έχουν σχετικά μικρή διάρκεια και επιβαρύνουν αισθητά το δίκτυο του θύματος, οι APT επιθέσεις είναι μακράν πιο “διακριτικές” και κατά συνέπεια δύσκολο να ανιχνευθούν. Είναι απαραίτητη λοιπόν η χρήση πιο εξελιγμένων λύσεων ασφάλειας, οι οποίες θα μπορούν να εντοπίσουν και ίσως να συσχετίσουν μια σειρά από APT ενδείξεις.
Secure Web Gateway
Αρχικά, είναι απαραίτητη η χρήση ενός πιο εξελιγμένου SWG (Secure Web Gateway) προϊόντος, το οποίο θα μπορεί να εφαρμόσει ελέγχους αλλά και αποτελεσματικές πολιτικές ροής δεδομένων από και προς το διαδίκτυο, ακόμα και αν τα δεδομένα αυτά είναι κρυπτογραφημένα (https). Επιπρόσθετα, μια τέτοια λύση δίνει τη δυνατότητα για content scanning σε πραγματικό χρόνο, χάρη σε sand-boxing μηχανισμούς. Μέσα από ένα sand-box μηχανισμό παρέχεται ένα στενά ελεγχόμενο αλλά και απομονωμένο σύνολο πόρων σε ένα άγνωστο και ίσως επικίνδυνο πρόγραμμα, με σκοπό να προσομοιώσει τις λειτουργίες του πριν αυτό όντως εκτελεστεί και επιφέρει μόνιμες αλλαγές στο λειτουργικό σύστημα του θύματος. Αν εντοπιστεί πως πρόκειται για κάποιο κακόβουλο πρόγραμμα, τότε αυτόματα ενημερώνεται ο χρήστης και ουσιαστικά μπλοκάρεται οποιαδήποτε ενέργεια πριν καν εκτελεστεί. Μια τέτοια λειτουργία θα μπορούσε να αποτρέψει πολλές επιθέσεις συσχετισμένες με το διαδίκτυο, εντοπίζοντας επιβλαβή κομμάτια κώδικα, όπως κακόβουλα javascripts. Κατά την επιχείρηση Aurora οι επιτιθέμενοι δελέασαν τους χρήστες να επισκεφθούν κάποια συγκεκριμένη μολυσμένη ιστοσελίδα, ο κώδικας της οποίας εκμεταλλευόταν μία άγνωστη μέχρι τότε ευπάθεια στον Internet Explorer. Μία εξελιγμένη SWG λύση θα μπορούσε να εντοπίσει τις προθέσεις του κακόβουλου κώδικα πριν αυτός εκτελεστεί στο τερματικό του θύματος.
Next Generation Firewalls
Τα τείχη προστασίας (firewalls) πρώτης γενιάς, όπως προαναφέρθηκε αδυνατούν να αντιμετωπίσουν τις σημερινές διαδικτυακές απειλές και κατά συνέπεια τείνουν να εξελίσσονται σε τείχη προστασίας επόμενης γενιάς (next generation firewalls) τα οποία βασίζονται κυρίως στη deep packet inspection μεθοδολογία. Η άνθιση των Web 2.0 εφαρμογών οδήγησε στην κυκλοφορία πολύ μεγαλύτερου όγκου δεδομένων μέσα από λιγότερες θύρες, με συνέπεια τα συμβατικά τείχη προστασίας να μη μπορούν να επιβάλουν πολιτικές βασισμένες στο κλασικό πρότυπο πρωτόκολλο/ θύρα. Τη λύση σε αυτό το πρόβλημα φαίνεται να δίνουν τα τείχη προστασίας επόμενης γενιάς, τα οποία έχουν τη δυνατότητα να αναγνωρίζουν τις εφαρμογές που τρέχουν πάνω από το http πρωτόκολλο και τελικά να εφαρμόζουν δικτυακή ασφάλεια (network security) στο επίπεδο εφαρμογής (application level) και χρηστών. Οι δυνατότητες ενός τέτοιου τείχους προστασίας όμως, δεν σταματούν εδώ, μιας και χάρη σε αυτό ο διαχειριστής του εταιρικού δικτύου μπορεί να εφαρμόσει δικτυακές πολιτικές για συγκεκριμένους χρήστες ή τερματικά, αλλά και να παρακολουθήσει στενότερα κάθε διαδικτυακή τους δραστηριότητα. Συνεπώς, ασυνήθιστες δικτυακές κινήσεις βάσει του προφίλ ενός χρήστη θα μπορούσαν να αποτελέσουν ένδειξη για APT επίθεση και να αναλυθούν περαιτέρω. Αν για παράδειγμα ένας συγκεκριμένος χρήστης στείλει ασυνήθιστα μεγάλο όγκο δεδομένων σε κάποιον άγνωστο προς την εταιρεία server στην Κίνα, τότε αυτό θα μπορούσε να ανιχνευθεί και τελικά να οδηγήσει στον εντοπισμό μιας πολύ καλά οργανωμένης APT επίθεσης.
File Integrity Monitor
Είναι γεγονός ότι οι περιμετρικές λύσεις ασφάλειας, ακόμα και οι πιο ανεπτυγμένες, δεν είναι επαρκείς ώστε να αντιμετωπίσουν τις APT επιθέσεις. Το πάτημα ενός πλήκτρου αποτελεί πλέον τη μοναδική διαφορά ανάμεσα σε έναν εσωτερικό και έναν εξωτερικό χρήστη. Αυτό σημαίνει ότι η εταιρική ασφάλεια οφείλει να στραφεί σε πιο ανεπτυγμένες λύσεις ασφάλειας τερματικών. Μία File Integrity Monitor (FIM) λύση θα μπορούσε να αποτελέσει μία διέξοδο προς αυτήν την κατεύθυνση.
Οι δράστες πίσω από τις δικτυακές επιθέσεις, τείνουν να εκμεταλλεύονται τα ελλιπώς ρυθμισμένα συστήματα για να αποκτήσουν πρόσβαση στο εσωτερικό δίκτυο του θύματος, όπως αναφέραμε και προηγουμένως. Μία FIM λύση είναι ικανή να εντοπίσει ανεπιθύμητες αλλαγές στα αρχεία διαχείρισης των συστημάτων και να τις διορθώσει όταν εντοπισθεί κάποια παρέκκλιση από τη φυσιολογική τους κατάσταση. Επίσης έχει τη δυνατότητα να εντοπίζει αλλαγές σε φακέλους, αρχεία και κλειδιά της registry, με στρατηγική σημασία για το σύστημα. Μία από τις τεχνικές που χρησιμοποιούν οι διαχειριστές του Zeus Trojan, για παράδειγμα, είναι να προσθέτουν ένα κλειδί στη registry του λειτουργικού των εταιρικών servers, το οποίο επιτρέπει στο malware να επανεκκινείται μαζί με το λειτουργικό σύστημα του server. Κάτι τέτοιο θα μπορούσε να ανιχνευθεί από μία FIM λύση και να αποτελέσει ένδειξη για APT επίθεση.
Data Leakage Prevention
Πολλές εταιρείες συνειδητοποιώντας την τωρινή κατάσταση επενδύουν ορθά σε πιο δεδομενο-κεντρικές (data-centric) λύσεις ασφάλειας. Ο αντικειμενικός σκοπός των δραστών πίσω από τις APT επιθέσεις είναι να υποκλέψουν δεδομένα. Όταν όμως αυτό καταστεί ανέφικτο, παύει να υπάρχει πια σημαντικός λόγος για να εισβάλουν στο εσωτερικό δίκτυο του θύματος. Κάτι τέτοιο μπορεί να επιτευχθεί με την εφαρμογή Data Leakage Prevention (DLP) λύσεων. Ο όρος DLP αναφέρεται σε λύσεις οι οποίες μπορούν να εντοπίσουν, να παρακολουθήσουν και να προστατέψουν τα εταιρικά δεδομένα είτε αυτά βρίσκονται σε κάποιο server, στο δίκτυο ή στους τερματικούς σταθμούς εργασίας. Μια τέτοια λύση δίνει τη δυνατότητα στο διαχειριστή του συστήματος να κατηγοριοποιεί τα εταιρικά δεδομένα βάσει της κρισιμότητάς τους και με γνώμονα αυτήν την ταξινόμηση να τα προφυλάσσει ανάλογα, επιβάλλοντας συγκεκριμένες πολιτικές ασφάλειας. Για παράδειγμα, ένα κατηγοριοποιημένο αρχείο δεν μπορεί να εκτυπωθεί σε άγνωστους προς την επιχείρηση εκτυπωτές, όπως και δεν μπορεί να αντιγραφεί σε μέσα αποθήκευσης που δεν έχουν οριστεί προηγουμένως από την εταιρεία ως ασφαλή. Συνεπώς, όταν ανιχνευθεί κάποια πράξη σαν και αυτές που αναφέραμε και η οποία φαίνεται να ενέχει μεγάλο κίνδυνο, τότε αντιμετωπίζεται αυτόματα. Αυτή η αντιμετώπιση, ανάλογα με την περίσταση περιλαμβάνει την απλή προειδοποίηση του χρήστη, την ενημέρωση του ιδιοκτήτη των δεδομένων που βρίσκονται σε κίνδυνο, την κρυπτογράφηση των δεδομένων ή τελικά, ακόμα και τον ολοκληρωτικό φραγμό της οποιασδήποτε κακόβουλης πράξης.
Password Management
Σύμφωνα με τη Mandiant οι APT δράστες αποκτούν πρόσβαση στην πλειονότητα των συστημάτων του θύματος χρησιμοποιώντας έγκυρα συνθηματικά. Το γεγονός αυτό καταδεικνύει την ανάγκη για καλύτερη διαχείριση των κωδικών που αντιστοιχούν στα εταιρικά συστήματα (servers, δικτυακές συσκευές), στις εταιρικές εφαρμογές αλλά και στους τοπικούς administrative λογαριασμούς. Αν για παράδειγμα σε ένα δίκτυο παραβιαστεί ο λογαριασμός του Domain Controller, τότε οι κωδικοί όλων των υπολοίπων χρηστών που ανήκουν στο domain μπορούν πολύ εύκολα να ανακτηθούν από τους επιτιθέμενους.
Η έμφυτη αυτή ευπάθεια των συστημάτων και των εφαρμογών που έχει να κάνει με τα συνθηματικά, μπορεί να αντιμετωπιστεί μέσα από μία πλατφόρμα διαχείρισης κωδικών (Password Management). Μια τέτοια λύση ουσιαστικά επιβάλλει τη χρήση αληθινά σύνθετων κωδικών οι οποίοι αλλάζουν αυτόματα και τακτικά, ενώ σε περιπτώσεις πολύ ισχυρών λογαριασμών υπάρχει η δυνατότητα να αλλάζουν κάθε φορά που ο χρήστης συνδέεται (κωδικοί μιας χρήσης). Επίσης είναι πολύ σημαντικό ότι μία τέτοια λύση δίνει τη δυνατότητα στο διαχειριστή του συστήματος να παρακολουθεί στενά το ποιος χρησιμοποιεί κάθε κωδικό οποιαδήποτε στιγμή, με αποτέλεσμα να μπορεί κάθε ενέργεια να συσχετιστεί με συγκεκριμένο χρήστη μέσα στο εταιρικό δίκτυο.
Επίπεδο 2
Η εφαρμογή των παραπάνω λύσεων ασφαλείας σε ένα εταιρικό δίκτυο αποτελεί ένα πολύ μεγάλο βήμα προς την αντιμετώπιση των APT επιθέσεων, αλλά απαιτείται ακόμα ένα, το οποίο είναι ο συσχετισμός των APT ενδείξεων.
Παρότι η διαχείριση των logs θεωρείτο μια χρονοβόρος διαδικασία, πλέον φαντάζει ως ο μόνος ρεαλιστικός τρόπος αντιμετώπισης τόσο εξελιγμένων επιθέσεων. Σε ένα εταιρικό δίκτυο κάθε συσκευή και εφαρμογή παράγει logs, συνεπώς η ασφαλής αποθήκευσή και ταξινόμησή τους αποτελεί μια πολύ απαιτητική διαδικασία, την οποία όπως φαίνεται μπορούν να διεκπεραιώσουν επιτυχημένα, συγκεκριμένες λύσεις με το όνομα Security Information and Event Management (SIEM). Μία SIEM μηχανή έχει τη δυνατότητα να απομονώνει όλα τα γεγονότα και τα logs που παράγονται μέσα σ’ ένα δίκτυο και να τα μετουσιώνει σε πολύτιμες πληροφορίες, οι οποίες μπορούν στη συνέχεια να συσχετιστούν σε πραγματικό χρόνο. Όταν μέσα από αυτόν το συσχετισμό ανιχνευθεί μία APT επίθεση, τότε η SIEM λύση θα αντιδράσει είτε με το να ενημερώσει μέσω mail ή μηνύματος το διαχειριστή είτε ενεργώντας πιο δραστικά, ανάλογα με τις προκαθορισμένες ρυθμίσεις.
Παράδειγμα της λειτουργίας μιας SIEM λύσης αποτελεί το παρακάτω σενάριο. Μία FIM λύση όπως αυτή που περιγράψαμε στο επίπεδο 1, εντοπίζει αλλαγές στο κλειδί Run της registry ενός εταιρικού server. Λίγη ώρα πριν, η SWG λύση εντόπισε ότι κάποιο τερματικό που ανήκει σε συγκεκριμένο χρήστη μέσα από την εταιρεία, επισκέφθηκε ιστοσελίδα που περιείχε ύποπτο Javascript κώδικα. Την ίδια νύχτα η SIEM λύση εντοπίζει ότι ο συγκεκριμένος χρήστης συνδέθηκε σε ώρες που δεν συνάδουν με το εταιρικό προφίλ που έχει δημιουργηθεί για αυτόν. (Μία SIEM λύση εκτός από τις δυνατότητες διαχείρισης και συσχετισμού των logs έχει τη δυνατότητα να δημιουργεί προφίλ για κάθε χρήστη και στη συνέχεια να ενημερώνει για οποιαδήποτε ύποπτη παρεκτροπή από αυτό το προφίλ). Ο συσχετισμός, αυτών των φαινομενικά ασύνδετων γεγονότων οδήγησε στο ασφαλές συμπέρασμα ότι το εταιρικό δίκτυο είχε δεχθεί επίθεση. Αυτό είχε σαν αποτέλεσμα η SIEM λύση να ειδοποιήσει το διαχειριστή του συστήματος μέσω mail και sms για το γεγονός αυτό και παράλληλα να αλλάξει το vlan του συγκεκριμένου τερματικού αλλά και του server, με σκοπό να επιτύχει τη δικτυακή απομόνωσή τους (σχήμα 2).
Το κλειδί, όπως όλα δείχνουν, για τον εντοπισμό των APT επιθέσεων είναι η παρατήρηση πολλαπλών ενδείξεων μέσα σε ένα ευρύ φάσμα χρόνου και τελικά η αντίδραση όταν οι φαινομενικά αυτές ασύνδετες μεταξύ τους ενδείξεις συσχετιστούν, αυξάνοντας παράλληλα το επίπεδο του ρίσκου μέσα στο εταιρικό δίκτυο. Είναι βέβαια απαραίτητο έναν τέτοιο πολυσύνθετο μηχανισμό να το διαχειρίζονται άτομα με υπόβαθρο στην ασφάλεια πληροφοριακών συστημάτων, τα οποία θα μπορέσουν μέρα με τη μέρα να τον εξελίξουν και να τον προσαρμόσουν στις ανάγκες του εκάστοτε δικτύου (σχήμα 3).
Μέσα από αυτό το άρθρο, το πρώτο κομμάτι του οποίου θα βρείτε στο προηγούμενο τεύχος, προσπαθήσαμε αρχικά να παρουσιάσουμε και να αναλύσουμε μια νέα μορφή διαδικτυακών επιθέσεων με το όνομα Advanced Persistent Threat. Πρόκειται για επιθέσεις πολύ μεγάλου εύρους, που όπως φαίνεται δεν είναι εφικτό να αντιμετωπιστούν από τα παραδοσιακά αντίμετρα ασφάλειας και αυτό έχει σαν αποτέλεσμα πολύ μεγάλες εταιρείες (Google, Adobe) αλλά και κράτη (Ιράν) να πέσουν θύματα πολύ καλά οργανωμένων επιχειρήσεων εναντίον τους. Αφού αναλύσαμε τα βήματα αυτού του είδους των επιθέσεων, παρουσιάσαμε τη δική μας μεθοδολογία ασφάλειας απέναντι στις APT επιθέσεις, η οποία βασίζεται κυρίως σε λύσεις επόμενης γενιάς αλλά και στη βέλτιστη διαχείριση των εταιρικών logs, με απώτερο σκοπό το συσχετισμό ενδείξεων από κάθε συσκευή μέσα στο δίκτυο.
Συμπερασματικά, θα μπορούσαμε να πούμε πως η προτεινόμενη μεθοδολογία δεν μπορεί να αποτρέψει το 100% των APT επιθέσεων, μιας και οι δράστες πίσω από αυτές βρίσκουν συνεχώς καινούριες μεθόδους για να πετύχουν το σκοπό τους. Είναι όμως μία πρόταση η οποία δείχνει το δρόμο προς ακόμα μία πιο δεδομενο-κεντρική φιλοσοφία ασφάλειας, η οποία φαντάζει ως η μοναδική λύση απέναντι στη νέα γενιά διαδικτυακών εγκληματιών.
Σοφοκλής Κότσαρης
Information Security Consultant
Δημήτρης Δόριζας
Encode Senior Security Architect