Idén az informatikai biztonság - a már hagyományosan sok problémát okozó kártékony programok mellett - elsősorban a mobileszközök által jelentett kockázatokról, a cloud computing kapcsán felmerülő védelmi nehézségekről és az internetes fenyegetettségekről szólt. Eközben azonban egy jól megfigyelhető trend bontakozott ki, amely szerint a kiberbűnözés sok esetben már nem vaktában lövöldöz, hanem célzott támadásokat hajt végre. Méghozzá olyan módon, hogy azok a kiszemelt szervezetek védelmi infrastruktúráját a lehető legtöbb szinten próbára tegyék. A célzott támadások elszaporodása némileg hasonlít a vírusok világában elmúlt években tapasztalható fejleményekhez. Napjainkban ugyanis a kártékony programok terjesztőinek már többnyire nem az a céljuk, hogy globális, a saját hírnevüket növelő fertőzésekhez járuljanak hozzá, hanem az, hogy kisebb területeken terjedő, sok variánsból álló víruscsaládokat hozzanak létre. Ezek révén a lehető legtovább tudnak észrevétlenek maradni mind az antivírus cégek, mind a felhasználók előtt. Céljuk pedig egyértelműen az anyagi haszonszerzés és az adatlopás. Nagyon hasonló a helyzet a fejlett támadások kapcsán is.

Az elmúlt évek során egyre többször lehetett találkozni az APT (Advanced Persistent Threat) rövidítéssel, amely napjainkban kezd olyan felkapott kifejezéssé válni, mint például a virtualizáció vagy a cloud computing. Azonban ez esetben olyan problémáról van szó, amelyet minden szervezetnek nagyon komolyan kell vennie. Kétségtelen, hogy a biztonsági cégek az APT-t is egyre többször említik meg marketingkampányaikban, azonban - mint látni fogjuk - most nem egy termékről, szolgáltatásról vagy egy hype-olt technológiáról beszélünk, hanem olyan fenyegetettségről, amely ellen csak összetett, többszintű védelem kialakításával lehet felvenni a küzdelmet, és a siker még ekkor sem garantált.

Mi is az az APT?
Az APT (Advanced Persistent Threat) a fejlett, perzisztens fenyegetettségek összefoglaló neve, rövidítése. Rögtön adódik a kérdés, hogy a „fejlett", a „perzisztens" és a „fenyegetettség" kifejezések ezúttal pontosan mit is takarnak.

Fejlett: a támadók számos eszközt használnak fel céljuk eléréséhez. Vagy rendelkeznek azokkal az erőforrásokkal, amelyek révén nulladik napi sebezhetőségek kihasználására alkalmas exploitokat tudnak készíteni, vagy a feketepiacon vásárolnak ilyen kódokat, illetve azokat magukban foglaló kártékony programokat. Céljuk, hogy elkerüljék a célkeresztbe állított rendszert körülölelő vagy az abban működő védelmi eszközöket. A NIST (National Institute of Standards and Technology) mindezt így fogalmazta meg: a támadók alkalmazkodnak a védők erőfeszítéseihez annak érdekében, hogy azokkal szembeszállhassanak.

Perzisztens: a támadók egy jól meghatározott céllal tevékenykednek, és többnyire nem véletlenszerűen, találgatás útján próbálnak rájönni, hogy milyen sebezhetőségeket tudnak kihasználni, hanem már felkészülten, alapos felderítőmunka után lépnek akcióba. Ameddig el nem érik a céljukat (például meg nem találják az általuk keresett bizalmas adatokat), addig nem hagyják el a rendszert. Gondoskodnak arról, hogy a hozzáférésük fenntartható legyen. Sok esetben több hozzáférési pontot is kialakítanak, hogy a jelenlétüket huzamosabb ideig biztosítani tudják.

Fenyegetés: a támadók általában nem egyszerű port szkenneléseket, SQL injection támadásokat stb. hajtanak végre, és legtöbbször nem alkalmaznak automatizált károkozásra alkalmas programokat sem. Nyilván ezek is megjelenhetnek az eszköztárukban, azonban ez esetben célzott, irányított és komplex akciókról beszélünk, amelyek komoly fenyegetést jelenthetnek az informatikai rendszerekre és az adatokra. Ennek megfelelően a védekezés sem kivitelezhető hatékonyan csupán hagyományos biztonsági eszközök bevetésével.

Az APT-támadások felépítése
Az APT-támadásokat általában három vagy négy szakaszra bonthatjuk, de a lényeg minden esetben ugyanaz. Az első vagy nulladik fázisként a támadó pontosan feltérképezi a célpontot, és olyan személyeket, alkalmazottakat keres, akiket social engineering trükkök révén rászedhet. Ezzel pedig el is érkeztünk az APT-k talán legfontosabb jellemzőjéhez, amely nem más, mint az emberi tényezőkre, tulajdonságokra épülő károkozások megjelenése a fejlett fenyegetettségekben. Mint arról még később szó lesz, a védelmet ez alapvetően befolyásolja.

Második lépésként a megtévesztett felhasználónak le kell futtatnia egy kódot, akár úgy, hogy megnyit egy e-mailben lévő ártalmas állományt, vagy megtekint egy kártékony weboldalt. Egy - általában nulladik napi - sérülékenység kihasználásával a támadó egy hátsó kaput tud felépíteni, amelyen keresztül hozzáfér a szervezet belső informatikai infrastruktúrájához. Az ilyen módon megfertőzött számítógép tehát nem a végső célpont, az csak egy „ugrópont" a hálózat és más rendszerek alapos feltérképezéséhez. Amennyiben az elkövető ráakad a számára fontos szerverre, adatbázisra, akkor harmadik lépésként megpróbál ahhoz is hozzáférést szerezni, majd az értékes adatokat különböző módokon, de általában titkosított és tömörített formában interneten keresztül továbbítja saját magának, miközben gondoskodik arról, hogy a rendszerben a jelenléte folyamatosan, huzamosabb időn keresztül biztosított legyen.

Izzasztó védekezés
Ahogy azt az előbbiekben már említettük, az APT-k egyik kulcstényezője a social engineering, amelynek esetében csupán technológiai védelemmel nem lehet megfelelő mértékben csökkenteni a kockázatokat. Az APT-k további fontos összetevői a nulladik napi sebezhetőségek kihasználására alkalmas, sokszor egyedi exploitok is feladják a leckét, nem beszélve az adatszivárgások felismeréséről. Mindebből az is következik, hogy a fejlett fenyegetettségek ellen csak többszintű, mélyreható védelmi infrastruktúra felállításával és gondos üzemeltetésével lehet védekezni.

A védelemben a biztonsági eszközök és az emberi tényezők kezelésének is kulcsfontosságú szerepet kell betöltenie. Azonban csak akkor lehet hatékony intézkedéseket hozni, ha egy szervezet tisztában van azzal, hogy pontosan mit is kell megvédenie a támadóktól, és normál működés esetén milyen események következhetnek be. Ez utóbbi azért fontos, mert az APT-k során felmerülő anomáliákat csak ezek ismeretében lehet kiszűrni.

A biztonsági eszközök szintjén a vírusvédelmi megoldások, tűzfalak, behatolásdetektáló és megelőző rendszerek nyilvánvalóan fontosak, de korántsem elégségesek. Szükség van olyan monitorozó, naplózó és eseménykezelő rendszerek bevezetésére, amelyek a nemkívánatos történéseket a kliensek, a szerverek és a hálózati adatforgalom figyelésével ki tudják szűrni, és gyanús tevékenység esetén gyors riasztást, illetve incidensreagálást biztosítanak. Az APT-k esetében ugyanis a korai felismerés kulcsfontosságú a károk megelőzése, illetve csökkentése érdekében. Mindezek mellett nem szabad megfeledkezni a patch menedzsmentet támogató eszközök, valamint az adatszivárgás-megelőzésre alkalmas megoldások használatáról sem.

Mint az oly sokszor elhangzik, a védelem leggyengébb láncszemét maguk az emberek jelentik, amit az APT-k esetében a támadók könyörtelenül ki is használnak. Ezért a technológiai védelem mellett a biztonságtudatosság fokozására is komoly hangsúlyt kell helyezni. A felhasználók oktatása, rendszeres képzése elengedhetetlen ahhoz, hogy már a kezdetek kezdetén megállíthatók legyenek a fejlett támadások. Nyilvánvalóan arról is gondoskodni kell, hogy minden felhasználó csak olyan rendszerekhez és annyi adathoz férhessen hozzá, amennyi a munkájához feltétlenül szükséges.

Gavin Reid, a Cisco Security Incident Response Team vezetője úgy látja, hogy az APT-k detektálása nem könnyű feladat, ugyanis azok ellen nincsenek olyan megoldások, mint például a vírusvédelemben a szignatúra-adatbázisok, amelyekkel fel lehetne azokat ismerni egy hálózatban. A szakember szerint a szervezeteknek az APT-fenyegetettségek ellen több fronton kell felvenniük a küzdelmet. Így például fontosak a mélyreható csomagvizsgálatokra épülő hálózati ellenőrzések, valamint a naplózó rendszerek használata. „Attól, hogy egy szervezet még nem észlelt APT-támadást, korántsem biztos, hogy nem került célkeresztbe, vagy a védelme tökéletesen működik" - nyilatkozta a szakember, aki szerint sok múlik azon is, hogy az ilyen támadások felismerésére rendelkezésre állnak-e a megfelelő eszközök, illetve intézkedések. Majd hozzátette: „Ha valaki azt állítja, hogy az ön cége számára olyan hardvert vagy szoftvert ad el, amely megoldást jelent az APT-kre, akkor az vagy nem érti az APT-k lényegét, vagy nem tudja, hogy valójában hogyan működnek a számítógépek." Reid ezzel igyekezett érzékeltetni, hogy az APT-k elleni védekezést egyetlen eszközzel nem lehet megoldani.

Mit hoz a jövő?
A fejlett támadások az idő előrehaladtával még kifinomultabbakká fognak válni, és egyelőre semmiféle jel nem látszik, amely az APT-k visszaszorulását mutatná. Sőt, a jövőben a célzott támadások számának további növekedésével kell számolni, ami egyben az összetett, többszintű és mélyreható védekezési feladatok fontosságára hívja fel a figyelmet. Az ugyan kétségtelen, hogy a fejlett támadásokkal szemben nem könnyű felvenni a küzdelmet, de a kockázatok kezelésére nagy szükség van.

Válogatás a legjelentősebb APT-támadásokból
Operation Aurora - 2010. január 12.
A támadássorozat valójában 2009 közepén kezdődött, de annak részleteit a Google csak 2010 elején hozta nyilvánosságra. Ekkor kiderült, hogy a Google mellett célkeresztben voltak olyan vállalatok is, mint például az Adobe és a Juniper. Az akció legalább egy tucat nagyvállalatot érintett, de sok cég nem erősítette meg hivatalosan, hogy az Aurora számukra is gondokat okozott. A Google a támadások kapcsán Kínát okolta, de Kína cáfolta, hogy bármilyen köze lenne a történtekhez. A károkozások alapjául egy nulladik napi Internet Explorer sérülékenység szolgált, amelyet az elkövetők e-mailekben vagy azonnali üzenetküldőkön keresztül célzottan terjesztett JavaScriptek segítségével igyekeztek kihasználni hátsó kapuk létesítéséhez. Később az F-Secure arról számolt be, hogy a támadásokban egy Adobe Reader sebezhetőség, valamint kártékony PDF-állományok is szerephez juthattak.

RSA - 2011. március 18.
Az RSA egy olyan APT-támadás bekövetkezését ismerte el, amely bizalmas SecurID információk jogosulatlan kezekbe kerüléséhez vezetett, és a SecurID-alapú többfaktoros hitelesítés kapcsán kockázatokat vetett fel.

Oak Ridge National Laboratory - 2011. április 21.
Április elején az Oak Ridge laboratórium számítógépes rendszere ellen APT-támadás indult. Április 21-én az illetékesek elismerték, hogy az elkövetők bizalmas adatokhoz fértek hozzá az Internet Explorer egyik nulladik napi biztonsági résének kihasználásával. A támadóknak több mint 50 számítógépet sikerült az irányításuk alá vonni, és több mint egy gigabájtnyi titkos adatot tulajdonítottak el.

A hír megjelenését a Biztonságportál támogatta.