Το φάσμα κυβερνοαπειλών που καλούνται να αντιμετωπίσουν οι επιχειρήσεις σήμερα δεν περιλαμβάνει μόνο το ηλεκτρονικό έγκλημα το οποίο γιγαντώνεται χρόνο με το χρόνο, αλλά και επιθέσεις που σχετίζονται με Advanced Persistent Threats (APTs). Οι επιθέσεις που οργανώνονται από APTs έχουν ως κύριο γνώρισμά τους την αξιοποίηση προηγμένων τεχνικών επίθεσης, προκειμένου να επιτευχθεί η όσο το δυνατόν πιο “αθόρυβη” απόκτηση και διατήρηση πρόσβασης του επιτιθέμενου στο εσωτερικό δίκτυο μιας εταιρείας. Τυπικά, οι επιτιθέμενοι που ανήκουν στην κατηγορία των Advanced Persistent Threats, αξιοποιούν την πρόσβαση που έχουν εξασφαλίσει προκειμένου να αποσπάσουν ή/και να αλλοιώσουν δεδομένα σε βάθος χρόνου, παραμένοντας “κρυμμένοι” στο δίκτυο του θύματος για μήνες ή και χρόνια. Οι επιθέσεις αυτές καταλήγουν συχνά σε ποινικές διώξεις, πρόστιμα από ρυθμιστικές αρχές, απώλεια πνευματικής ιδιοκτησίας, ενώ συνιστούν πλήγμα στην εικόνα του οργανισμού που έχει επηρεαστεί με ό,τι αυτό συνεπάγεται για τα έσοδά του κτλ.

Οι επιθέσεις που οργανώνονται από APTs είναι συνήθως εξατομικευμένες. Το γεγονός αυτό τις καθιστά δύσκολα ανιχνεύσιμες από συστήματα τα οποία τυπικά βοηθούν στην ανίχνευση και αναχαίτιση κυβερνοεπιθέσεων κλίμακας (π.χ IPS, antivirus). Ως αποτέλεσμα αυτού, τα τελευταία χρόνια οι οργανισμοί καλούνται να υιοθετήσουν μια διαφορετική προσέγγιση στο πώς διαμορφώνουν στρατηγικές αντιμετώπισης κυβερνοεπιθεσεων. Η νέα αυτή προσέγγιση είναι πολυδιάστατη και στηρίζεται σε τέσσερις πυλώνες: εξειδικευμένα συστήματα επεξεργασίας δεδομένων, αυτοματοποίηση, τεχνογνωσία και έμπειρους επαγγελματίες στην ανίχνευση και ανταπόκριση κυβερνοεπιθέσεων.

Η ομάδα μας, έχοντας υιοθετήσει αυτή την νέα προσέγγιση, καλείται συχνά να υποστηρίξει οργανισμούς οι οποίοι βρίσκονται αντιμέτωποι με τέτοιου τύπου προηγμένες επιθέσεις. Πιο κάτω παραθέτουμε τα γεγονότα από ένα πρόσφατο περιστατικό κατά το οποίο η ομάδα μας υποστήριξε έναν οργανισμό, ώστε να εντοπίσει και να αντιμετωπίσει μια επίθεση APT μέσα σε 7 μόλις λεπτά.

Το περιστατικό

Όλα αρχίζουν τη στιγμή που ένας εργαζόμενος στην εταιρεία λαμβάνει ένα εξατομικευμένο κακόβουλο email με συνημμένο ένα αρχείο Word. Ο εργαζόμενος “κατεβάζει” και ανοίγει το αρχείο και την ίδια στιγμή εντοπίζεται πιθανή παραβίαση, χάρη στα συστήματα, τους δείκτες παραβίασης και τα εξειδικευμένα μοντέλα ανάλυσής μας.

11:28 – Εντοπισμός: Μια ύποπτη συμπεριφορά ανιχνεύεται από ένα μοντέλο ανάλυσης (use case/ analytic) και μια σειρά από ενδελεχείς ελέγχους οι οποίοι γίνονται αυτοματοποιημένα παρέχει επιπλέον πληροφορίες επιτρέποντας την ορθή αξιολόγηση του περιστατικού και ενημερώνοντας παράλληλα κάποιον αναλυτή μας.

11:32 – Διερεύνηση: Μόλις ο αναλυτής λάβει την ειδοποίηση ξεκινά άμεσα τη διερεύνηση του περιστατικού προκειμένου να αναγνωρίσει σε ποιο στάδιο βρίσκεται η επίθεση αξιοποιώντας τα δεδομένα και τις πληροφορίες που έχει στη διάθεσή του.

11:35 – Περιορισμός: O αναλυτής αφού επιβεβαιώσει την εγκυρότητα της απειλής, ειδοποιεί την ομάδα ασφάλειας συστημάτων του πελάτη. Παράλληλα, διασφαλίζει την απομόνωση των τερματικών που έχουν επηρεαστεί και προβαίνει σε ανάλυση των βασικών αιτιών του περιστατικού αλλά και στη δημιουργία νέων δεικτών παραβίασης για την παρακολούθηση περαιτέρω ύποπτης δραστηριότητας.

12:17 – Έλεγχος εμβέλειας: Μέσα από την έρευνα και την παρακολούθηση εντοπίζεται και δεύτερος υπολογιστής ο οποίος έχει πρόσβαση σε ένα κακόβουλο αρχείο Word. Ο υπολογιστής απομονώνεται αμέσως από το δίκτυο.

12:33 – Έρευνα: Όλα τα αρχεία και οι πληροφορίες που αφορούν στην κυβερνοεπίθεση διαβιβάζονται στην ομάδα διερεύνησης μας, η οποία ερευνά σε μεγαλύτερο βάθος την επίθεση και καθορίζει ακόμα περισσότερους δείκτες παραβίασης προς ενίσχυση της προσπάθειας παρακολούθησης και αποκλεισμού μελλοντικών εκφάνσεων της.

13:54 – Αποκατάσταση: Μέσα από συνεχή συντονισμό με την ομάδα ασφαλείας του πελάτη σε πραγματικό χρόνο, επιτυγχάνεται η πλήρης αποκατάσταση των συστημάτων, χωρίς ενδείξεις απώλειας δεδομένων ή περαιτέρω ζημιών.

Για την επιτυχή αντιμετώπιση ενός περιστατικού κυβερνοεπίθεσης μέσα σε τόσο σύντομο χρονικό διάστημα, η συμβολή των αυτοματοποιημένων συστημάτων τα οποία αναβαθμίζονται συνεχώς είναι καθοριστικής σημασίας. Στο συγκεκριμένο παράδειγμα, τα συστήματα αυτά ήταν σε θέση να διαχειριστούν και να αξιολογήσουν άλλες 85 ειδοποιήσεις και να αποκλείσουν  50 επιπλέον ειδοποιήσεις ως “false positives” μέσα στο διάστημα των προηγούμενων 24 ωρών. Ως εκ τούτου, οι αναλυτές μας, απαλλαγμένοι από την επιβάρυνση της διαχείρισης μεγάλου όγκου ειδοποιήσεων, μπορούν να επικεντρωθούν σε περιστατικά που απαιτούν εξειδικευμένη παρέμβαση.

Η ταχεία ανίχνευση περιστατικών ασφάλειας μέσω της προηγμένης τεχνολογίας και της υψηλής τεχνογνωσίας αποτελεί το κλειδί για την έγκαιρη ανίχνευση κυβερνοεπιθέσεων κατά των συστημάτων και δικτύων αλλά και για την επιτυχή αντιμετώπισή τους – μετριάζοντας τον αντίκτυπό τους και εμποδίζοντας την εξέλιξή τους.

Άρθρο – γνώμης του Τάσου Προκοπίου, Συνέταιρος, PwC Κύπρου και της Ελένης Φιλίππου, Senior Associate, PwC Κύπρου, Συμβουλευτικές Υπηρεσίες.

 

Ακολουθήστε μας στο Facebook, Instagram και Twitter