Zero-Day védelem

Zero-Day védelem – APT (Advanced Persistent Threat)

Manapság egyre többet beszélünk a Zero-Day támadásokról, vagy más néven APT-kről (Advanced Persistent Threat), megszülettek az első mérvadó teszt is a gyártók teljesítményéről, de tudjuk, hogy mit jelent pontosan ez a mozaik szó?

Az APT, mint fogalom már 2006-ban megjelent, de gyakori használata és elterjedése 2011-re tehető. Az APT-k azonban sokkal régebb óta jelen vannak. Első nevesített változata a Stuxnet számítógépes féreg volt, ami az iráni nukleáris program rendszerét veszélyeztette. A hírek szerint legutoljára felfedezett APT-t Careto névre keresztelték, amely hivatali és államtitkok gyűjtésére ill. a célszemélyek megfigyelésére lett kifejlesztve. De ne higgyük, hogy az APT-k csak a nagyvállalatokat veszélyeztetik. Mindenkire, kezdve a kis és középvállalkozásoktól, a hírességeket vagy államok szervezeteit is egyaránt érintheti.

A, mint Advanced: a támadás kivitelezése olyan fejlett technikákat alkalmaznak, ami nem egyetlen támadási formával valósul meg, hanem tipikusan 2-3, vagy több részlépésből, külön technikai megoldásokból is állhat. Az egyes lépések kivitelezéséhez fejlett módszereket használnak, ami által felfedezésük és későbbi kivizsgálásuk meglehetősen nehéz feladat. A támadás sikerességének összessége az egyes lépésekből tevődik össze, azok egymásra épülnek, ill. az egyes lépések alatt szerzett információkat a többi lépésben aktívan használják.

P, mint Persistent: a támadási forma folyamatosan jelen van, több különböző forrásból gyűjtik az információt, amit a tervezési szakaszban használnak. Ez lehet spammelés, telefonos megkeresés, de akár a célszemély személyes hulladékából történő gazdálkodás is. A támadók egészen addig – lassan de biztosan – végzik az adatgyűjtést, amíg elegendő információt nem gyűjtöttek a következő lépés kivitelezéséhez.

T, mint Threat: veszélyt jelentenek, mert a támadók célirányosan, meghatározott háttérrel – általában pénzszerzés céljából – végzik el az információ, adat és személyiség lopásokat, amivel az áldozatokat hatalmas károk érhetik.

A felmérések szerint az APT-k terjedése – habár nehéz számszerűsíteni – a technikák fejlődésével egyetemben rohamosan növekszik. Azt csak találgatni lehet, hogy hány fajta és mire szakosodott APT van napjainkban is jelen…

A tradícionális védelmi technikák itt már sajnos nem rúgnak labdába. Felmérések szerint az újonnan megjelenő kártékony kódok 80%-a valamely már meglévő vírus modifikációjával állítódik elő, ami – heurisztikus és viselkedés vizsgálati módszerek hiányában – szignatúra alapon nem detektálható.