APT (ang. Advanced Persistent Threat) to termin, który warto znać, choćby z uwagi na praktycznie codzienne informacje o wyciekach danych i atakach hakerskich na firmy, instytucje, a nawet struktury państwa. Warto go znać, gdyż odnosi się (w licznych dostępnych raportach na ten temat), do tych którzy atakują. Nie są to już zatem „hakerzy”, a „aktorzy APT”.
Zazwyczaj posiadają oni bardzo wyrafinowane narzędzia, rozwinięte metody ataku i potężne budżety na swoje operacje. Posiadają również coś, co ma wartość zbliżoną do informacji, na które polują – to czas, którego jako ofiary najczęściej nie mamy. Często bywa, że nie mamy czasu dobrze się przygotować na atak, nie mamy czasu, aby poprawnie zareagować, i co gorsze, zazwyczaj nie mamy pojęcia, kiedy do ataku doszło. Znamy zwykle tylko jego skutki.
Tak jak w świecie biznesu – czas to pieniądz, tak w świecie cyberzagrożeń, czas jest kwestią sukcesu lub porażki.
I choć klasyczny aktor APT ma cele zapewniające mu duże zyski lub wpływy, nie znaczy to, że Twoja firma nie może być środkiem do tego celu, skutecznym narzędziem dostępu (przykładem jest włamanie do systemu płatności amerykańskiej firmy Target), czy też zostać zaatakowaną zupełnie przypadkiem (tak jak firma A.P. Møller-Maersk przez malware notPetya). Świadomość naszej roli w łańcuchu połączonych usług jest dzisiaj podstawą skutecznej strategii obronnej oraz praktyką niezbędną w celu zapewnienia odporności biznesu na zakłócenia.
Sporządzenie listy partnerów biznesowych jest więc teraz tak samo ważne jak policzenie urządzeń firmowych, a określenie warunków wymiany danych i ich zabezpieczeń jest tożsame z ochroną sieci firmy. Taka lista to pierwszy sukces, ale i nie lada wyzwanie. Warta jest jednak wysiłku, gdyż zrobiona i używana z głową pomaga ochronić biznes przed atakami podszywania się pod dostawcę i ich skutkiem – utratą środków, danych i reputacji.
Przykładowo wśród elementów takiego zestawienia powinny się znaleźć: lista kontaktów, lista kont do płatności, lista kont dostępu do aplikacji, typowe zobowiązania i ich podstawy. Zmiany na liście powinny być zatwierdzane przez inną osobę niż ta, która je wprowadziła, a jeśli to nie jest możliwe, to przynajmniej powinny być one potwierdzone przez beneficjenta z użyciem metody kontaktu innej niż użyta do zażądania zmiany. Np. zmiana numeru rachunku bankowego przesłana e-mailem powinna być potwierdzona np. rozmową telefoniczną, najlepiej z innym pracownikiem niż adresat e-maila dotyczącego zmiany rachunku. Należy zawsze zakładać, że taka zmiana może nie być autoryzowana i może wynikać np. z kradzieży danych dostępowych do konta pocztowego i ich złośliwego użycia lub nielojalności pracownika firmy trzeciej. Bez uważności w zakresie relacji z partnerami biznesowymi stajemy się łatwym łupem mniejszych, ale równie cierpliwych przestępców (przykłady scenariuszy ataków na firmy).
Dzisiaj APT jako zjawisko nabiera dużo szerszego znaczenia niż pierwotnie (kilka lat temu) mu przypisywano. Stało się istotne z punktu widzenia każdego użytkownika internetu, a szczególnie przedsiębiorcy, małego i średniego również. Tym stale obecnym zagrożeniem nie muszą być wcale wyspecjalizowane jednostki pracujące dla rządów innych krajów czy zorganizowana, międzynarodowa grupa przestępcza. To może być amator wykupujący usługę ataku odmowy usługi (np. DDos) czy okupu kryptograficznego (ransomware). To może być nawet początkujący przestępca, który używając dostępnych narzędzi do badania bezpieczeństwa usług w internecie, znajdzie podatny serwer i przejmie nad nim kontrolę, używając publicznie dostępnych narzędzi przełamywania zabezpieczeń.
Jak sobie poradzić z APT?
Propozycją Inicjatywy Kultury Bezpieczeństwa jest stworzenie okazji do ciągłego usprawniania bezpiecznej postawy zarówno swojego biznesu, jak i jego pracowników, zaczynając od siebie. Ta metoda to: Advanced Security Awareness Presence (ASAP), co oznacza ciągły i podręczny dostęp do sprawdzonych i zaufanych praktyk zabezpieczeń informacji.
W praktyce może to oznaczać:
- utworzenie procesu, którego celem jest identyfikacja słabości używanych technologii, ludzi i procesów,
- określenie tego, jak mogą zaszkodzić naszym interesom,
- ustalenie jak ten wpływ zmniejszyć.
Ten proces to nic innego jak zarządzanie ryzykiem. Kluczem podejścia ASAP jest uświadomienie celu i korzyści, jak również wyników wszystkim pracownikom zaangażowanym w dany proces biznesowy oraz zachowanie transparentności w komunikacji z klientami biznesowymi. Ukrywanie podatności, tworzenie iluzji bezpieczeństwa i opowiadanie bajek, choć krótkoterminowo może wyglądać na opłacalną kosztowo strategię, docelowo naraża nie tylko na kary związane z regulatorami rynku (jak np. UODO), ale też prowadzi do drastycznego obniżenia wartości, jaką stanowi marka firmy (#deleteFacebook) .
Podsumowanie
Zarządzać ryzykiem można samodzielnie, w oparciu o normy i standardy, warto wejść jednak w sojusz z kimś, kto ma doświadczenie w tym zakresie. Przy braku czasu jest to inwestycja na lata rozwoju własnego biznesu. Warto jednak pamiętać, że to jest proces, a nie jednorazowa czynność i na stałe musi znaleźć swoją rubrykę w budżecie.
Podsumowując, dbanie o bezpieczeństwo powierzonych i wytworzonych informacji poprzez transparentne zarządzanie ryzykiem nie jest wyłącznie kosztem prowadzenia firmy w sieci. Jest przede wszystkim okazją do zadbania i poprawienia odporności tego biznesu na zakłócenia i ochronę jego wartości w oczach partnerów i klientów.
