Neuplynul ještě ani měsíc a máme tady další generaci toho nejhoršího malwaru, jenž spatřil světlo tohoto světa.

Spousta bezpečnostních expertů je přesvědčena, že je jejich IDS/IPS, UTM/XTM, NGFW zařízení spolu s AV ochranou na stanicích ochrání před APT, jejichž cílem je získání cenných informací, jež útočníkovi umožní získat konkurenční výhodu na trhu. Neochrání, neboť malware se stává stále sofistikovanějším a techniky sociálního inženýrství, byly, jsou a nadále i budou úspěšně využívány k jeho distribuci, a to i ve společnostech, kde mají zavedenou vícevrstvou ochranu, používají host based i network based řešení, mají aktualizované systémy a věnují se osvětě na poli informační bezpečnosti.

Tyto hrozby jsou realizovány prostřednictvím malware, který se dostává na zařízení obětí obdobným způsobem jako jakýkoliv jiný škodlivý kód.

To znamená, že stejně jako ostatní APT využívá technik sociálního inženýrství, nezáplatovaných systémů, a samozřejmě i zero day zranitelností. Ovšem oproti klasickému malwaru tohoto typu, který pouze skenuje lokální a síťové disky a hledá na nich cenné informace, které následně šifruje a přenáší na nějaký kompromitovaný server kdesi na internetu, je tento malware mnohem sofistikovanější a je tak velice obtížné ho odhalit, protože ho nedetekují ani nástroje na behaviorální analýzu sítě (Network Behavior Analysis, zkr. NBA).

Ať už je APT jen další buzzword či nikoliv, tak s cílenými útoky se budeme setkávat stále častěji.

Tradiční antimalware a IDS/IPS systémy, či UTM/XTM zařízení založené na signaturách vás však v takovém případě neochrání. Vy potřebujete řešení, které bude analyzovat chování veškerého kódu, který se na daném zařízení spouští. Jedině tak lze odhalit útoky, zneužívající např. zranitelností nultého dne. Takové řešení by mělo být nasazeno nejen na zařízení uživatele (host-based), ale i na perimetru (network-based), protože nikdy nevíte, kdo, kdy, kde a jaké zařízení do sítě připojí.

Přetrvávající pokročilé hrozby (Advanced Persistent Threat, zkr. APT) nejsou nic jiného než přesně cílené útoky proti konkrétní osobě nebo organizaci.

Je zřejmé, že útočník je v takovém případě nejen vysoce motivován, ale disponuje i potřebnými zdroji a má schopnosti takový útok realizovat. Rozdíl mezi běžnými a pokročilými útoky se na svém webu pokusil popsat i Bruce Schneier, který v podstatě říká, že jestliže u tradičních útoků je útočníkovi jedno, kdo se stane jeho obětí, tak u pokročilých útoků je cílem útočníka konkrétní osoba nebo firma. Je tomu skutečně tak, a APT není nic jiného než cílený útok. Proč však advanced a persistent?