Advanced persistent threats (APT) patří k nejnebezpečnějším současným hrozbám. S využitím propracovaného malwaru, zpravidla vytvářeného na míru pro konkrétní cíl, se skupina kvalifikovaných útočníků snaží proniknout s jasným záměrem do informačních systémů oběti. Univerzální obrana proti takovým útokům neexistuje. S použitím vhodných postupů a technologií lze však zvětšit pravděpodobnost odhalení útoku a zmenšit jeho dopad.

APT získaly popularitu kolem roku 2010, kdy cílené útoky zasáhly firmy RSA, Google, Adobe, vládní organizace a řadu dalších objektů. Známým představitelem APT se stal červ Stuxnet namířený proti iránskému jadernému programu. Obdobnou publicitu získaly malwary Duqu nebo Flame. Od té doby počet zaznamenaných incidentů prudce roste, a to i přes to, že zjistit takovéto útoky je velmi obtížné. Podle studie organizace Mandiant uplyne od napadení IT systémů takto cíleným a propracovaným malwarem ke zjištění průměrně 416 dní, tedy víc než rok. Byly zaznamenány případy, kdy byl zákeřný kód odhalen až po pěti letech. Cílem útoků už nejsou jen vládní organizace a velké firmy, ale prakticky libovolná firma, která vlastní hodnotné informace.

Na rozdíl od malwaru, který je do určité míry univerzální a je určen pro hromadné použití, je malware tohoto typu často vytvářen na míru pro konkrétní cíl a je využíván týmy organizovaných, vysoce kvalifikovaných profesionálů. S jeho pomocí se snaží trpělivě a nepozorovaně proniknout do informačních systémů oběti, získat potřebné informace nebo provést požadované operace, a pokud možno smazat stopy po své činnosti. Útoky se přitom obratně vyhýbají běžným bezpečnostním technologiím založeným na signaturách.

Anatomie útoku

Útoky obvykle procházejí několika fázemi. Útočníci se nejprve snaží získat informace, které jim umožní počáteční průnik do sítě nebo do systému. Velmi často sledují chování vytipovaných uživatelů, jimi navštěvované webové stránky, místa, která fyzicky navštěvují a připojují se z nich, jejich aktivity na sociálních sítích apod. S použitím sociálního inženýrství, cíleného phishingu, vložením malwaru na často navštěvované stránky apod., se snaží získat přístupové informace. Po získání přístupových informací pronikají na stanice nebo servery uvnitř sítě a vkládají do nich kód, který lze obvykle ovládat na dálku (přes tzv. command and control server). Přes perimetr může malware proniknout i fyzickou cestou, například pomocí nakažených USB flash pamětí šikovně podstrčených uživatelům.

Poté se malware pokouší nenápadně rozšířit uvnitř sítě, získat další přístupová oprávnění, proniknout na nové stanice a získat nad nimi trvalou kontrolu. Šíří se opatrně, napadá jen vybrané stanice a využívá málo známých zranitelností. Následně se snaží najít cíle, na kterých jsou uložena klíčová data. Pokud se podaří tato data získat, útočník je uvnitř sítě shromažďuje a připravuje pro vynesení, většinou po částech, komprimovaně, přes šifrované kanály.

Zákeřný kód se velmi obratně vyhýbá odhalení. Skrývá se v pamětech napadených počítačů, ukládá se na nich v nenápadné podobě, například imitací ovladačů hardwaru, často digitálně podepsaných kompromitovanou certifikační autoritou, aby mohl běžet v kernel módu operačního systému. Malware často rozpoznává instalované antivirové programy, důmyslně se proměňuje tak, aby zůstal co nejdéle neodhalen.

Jak se útokům bránit?

Vzhledem k povaze útoků neexistuje univerzální obrana. Přesto je možné zvýšit pravděpodobnost zjištění, zkrátit dobu do odhalení a snížit následky útoku zavedením obecně doporučovaného spojitého čtyřfázového procesu. Zaprvé musíme vědět, co se děje v síti. Bez toho jsme prakticky bez šance. Je tedy třeba sbírat a vyhodnocovat záznamy (logy) z aktivních prvků, bezpečnostních prvků, což umožní odhalit nepřátelské aktivity, nebo je alespoň zpětně dohledat. Vyhodnocování souhrnných informací o spojeních a tocích v síti může odhalit podezřelou komunikaci a neobvyklé chování stanic v síti.

Dále musíme porozumět souvislostem. Pouhá data bez porozumění příliš nepomohou. Pokud dokážeme dát posbírané záznamy do souvislosti s dalšími informacemi, jako jsou informace o aktuálních hrozbách a zranitelnostech, reputacích a rozmístění IP adres, identitě uživatelů apod., hodnota informací vzroste. SIEM nástroje, IPS nové generace nebo specializovaná řešení typu Cyber Threat Defense tuto korelaci provádějí. Pravidelné vyhodnocování komplexních informací kvalifikovanými lidmi je stále nezbytné. Odhalování APT vyžaduje hluboké porozumění, specializované nástroje a čas. Pokud potřebné znalosti a nástroje ve firmě chybí, je ke zvážení, zda odborníky pro pravidelnou analýzu nenajmout zvenku, nebo nevyužít službu renomovaného dodavatele bezpečnostních řešení.

Zatřetí musíme se umět přizpůsobit změnám prostředí. Automatizovaná aktualizace stanic, serverů i bezpečnostních prvků je nutná, ale nemusí stačit, protože čelíme doposud neznámým útokům. Pokud si vybudujeme síť pro sdílení informací a znalostí, například s organizacemi typu CSIRT, CERT nebo příbuznými firmami, budeme schopni lépe rozumět rizikům a situaci vyhodnotit. Zkušenosti ukazují, že tento nenápadný bod ve skutečnosti patří mezi klíčové.

Posledním prvkem procesu je schopnost rychle a správně reagovat, což bez určitého stupně automatizace nejde. Provozní postupy, které přetaví odhalení incidentu ve smysluplnou akci, jsou základem. Bezpečnostní systémy, jako jsou SIEM, IPS, forenzní systémy, systémy pro zálohování apod., bývají vybaveny aplikačními rozhraními, které umožňují jejich propojení a automatizaci procesů. Ta může výrazně zlepšit naši akceschopnost.

K obraně přispívají i postupy doporučované pro obranu před běžným malwarem, jako je vzdělávání uživatelů, pravidelná obměna přístupových informací, důsledné řízení přístupu zohledňující celkový kontext atd. Šifrování přenášených a uložených dat, popřípadě kompletní DLP řešení ztíží útočníkovi zcizení informací po případném proniknutí do systému.

Dále se podíváme, jak může přispět sběr sumarizovaných informací z aktivních prvků sítě k ochraně proti nenápadnému, leč velmi nebezpečnému malwaru.

NetFlow jako podklad pro odhalování útoků

Sběrem souhrnných informací ze sítě můžeme získat překvapivě hodnotné informace. Podstatnou výhodou NetFlow je, že prostřednictvím aktivních prvků (směrovačů, LAN přepínačů, bezpečnostních bran apod.) je možné zaznamenávat informace o provozu z celé plochy sítě. Tyto záznamy, vzhledem k rozumnému objemu, je možné vyhodnocovat v reálném čase, dlouhodobě je uchovávat a vracet se k nim, je-li třeba. Pokud dokážeme záznamy NetFlow chytře vyhodnotit, dát je do souvislosti s dalšími informacemi, například s identitou uživatelů, podrobnými informacemi o aplikačním provozu, informacemi o globálních reputacích a rozmístění IP adres, aktuálními informacemi o malwaru a zranitelnostech systémů, můžeme odhalit i velmi nenápadné a rafinované útoky. Informace vyhodnocuje specializovaný, velmi propracovaný software. Metody, které takový software používá, jako je analýza anomálií a chování, jsou předmětem pokročilého vědeckého výzkumu.

Nasazení řešení je ovšem poměrně jednoduché. Na aktivních prvcích se zapne monitorování komunikace, například metodami NetFlow, IPFIX apod. NetFlow monitoruje nepřetržitě toky v síti a jejich zvolené parametry. Souhrnné informace posílá k analýze specializovanému systému ve vnitřní síti nebo v cloud službě. Podle jemných charakteristik komunikace v síti, jejich odchylek od běžného stavu a rozborem chování odhaluje monitorovací systém podezřelé aktivity zmíněné výše.

Vlastnosti implementace NetFlow (popřípadě obdobné metody) v síťových prvcích jsou, vzhledem k jemnosti používaných metod, velmi důležité. Různé síťové prvky různých dodavatelů se v rozsahu získaných informací a možnostech jejich exportu liší. Například NetFlow verze 9 umožňuje velmi pružný export dat a obohacení informací o další parametry, jako je QoS, vendor-specific ID, RTT nebo o údaje o aplikacích.

NetFlow poskytuje sumarizované informace. Významná je tedy práce s celkovým kontextem a dodatečnými informacemi. Pokud má řešení k dispozici údaje o vlastnostech připojených zařízení, identitě uživatelů, jejich aktivitách, rozumí komunikaci aplikací, má přehled o aktuálních zranitelnostech IT systémů, bere v úvahu překlady adres, vyhodnocuje záznamy z tradičních bezpečnostních systémů, popřípadě další informace a dokáže je dát do souvislostí, mnohem přesněji odhalí a posoudí útok. Může například určit:

• cíl napadení, jeho vlastnosti, důležitost a případné zranitelnosti,
• rizika, která z toho vyplývají,
• k jak citlivým informacím může získat útočník přístup,
• z jakého zařízení nebo místa aktivita pochází,
• jaké další události jsou se zařízením svázané (přihlášení do sítě, výsledky preventivní prohlídky, zařízení, pravidla pro přístup apod.),
• jak situaci napravit.

Důležité je i sledování provozu ve virtualizovaném prostředí datových center. Zde jsou umístěny kritické služby. Vzhledem k tomu, jak snadné je vytvářet nové servery, přemísťovat je, pohybovat se mezi jejich časovými snímky apod., bývá toto prostředí velmi nepřehledné a plné zranitelných systémů. Může se tak stát snadnou kořistí malwaru. Komunikace probíhající uvnitř prostředí bývá často pro síťová zařízení skrytá. Je proto vhodné aktivovat Netflow i ve virtualizované infrastruktuře, pokud to jde, popřípadě vložit sem specializované softwarové sondy, které sběr informací zajistí.

Závěrem

Přestože ochrana před hrozbami typu APT je velmi obtížná, lze se i proti těmto hrozbám bránit vícevrstvou ochranou, specializovanými technologiemi a postupy naznačenými výše. Vzhledem k individuální povaze útoků však musíme být připraveni improvizovat a překročit rámec standardních postupů. To vyžaduje dovednosti a velmi dobré porozumění rizikům, globálnímu i vlastnímu prostředí.

Ivo Němeček Autor je technickým ředitelem společnosti Cisco.