Az új APT támadás detekciós eszközök sem fognak meg minden támadást
Az APT (Advanced Persistent Threat) kifejezést olyan támadói csoportokra használjuk, akik erőforrásokban gazdagok, sokszor valamilyen állam által támogatott támadók, s akik fejlett és célzott kibertámadások kivitelezésére képesek, melyeknek gyakori eszköze valamilyen új, korábban még nem használt kártékony kód (malware). Az elmúlt években megnövekedett a nyilvánosságra került APT támadások száma. Ilyen volt például a Stuxnet (2010), a Duqu (2011), a Flame (2012), a MiniDuke (2013), a Red October (2013), és az Uroburos/Turla (2014) kampány. Ezeket a támadásokat a hagyományos anti-vírus eszközök általában nem detektálják, ezért megjelentek a piacon olyan új eszközök, melyeket kifejezetten APT támadások detekciójára fejlesztettek. Ilyen például a Cisco SourceFire, Checkpoint, Damballa, Fidelis XPS, FireEye, Fortinet, LastLine, Palo Alto WildFire, Trend Micro Deep Discovery, és a Websense.
A BME Villamosmérnöki és Informatikai Karán működő CrySyS Lab (www.crysys.hu) munkatársai arra voltak kíváncsiak, vajon mennyire hatékonyak ezek az új eszközök. Ezért az MRG Effitas cég munkatársaival közösen fejlesztettek 4 speciális tesztprogramot, melyek hasonló viselkedést mutatnak mint az APT támadásokban használt fejlett kártevők, és 5 APT támadás detekciós eszközt teszteltek ezekkel a programokkal 2014 harmadik negyedévében. Elvileg mind az 5 eszköznek detektálnia kellett volna mind a 4 tesztprogramot, de az eredmény ennél sokkal rosszabb lett:
- az egyik tesztprogram mind az 5 eszközön átjutott,
- egy másik tesztprogram 3 eszközön jutott át,
- csak a két legegyszerűbb tesztprogramot detektálták az eszközök, és több esetben ekkor sem jeleztek komolyabb problémát ("low severity" jelzéseket adtak).
A tesztről és eredményeiről a CrySyS Lab és az MRG Effitas közös blog bejegyzést publikált (blog.crysys.hu) és kiadtak egy részletesebb riportot is, mely a blogról elérhető. Az eredmények publikálásának célja az, hogy felhívják a figyelmet arra, hogy ezek az új APT támadás detekciós eszközök sem fognak meg minden támadást. A szerzők kiemelik annak fontosságát, hogy a gyártók minél több független tesztben résztvegyenek, és segítsék a felhasználóikat abban, hogy termékeik valódi képességeit megismerjék. A CrySyS Lab azt is tervezi, hogy a mind az 5 eszközön átjutó tesztprogramot is nyilvánosságra hozza, ezzel arra ösztönözve a gyártókat, hogy javítsák termékeik képességeit, és ezáltal nehezítsék a támadók dolgát.