Filary CIA kluczowe dla zapewnienia bezpieczeństwa
05 sierpnia 2025

Myśl jak wywiad: 
Strategie obrony przed APT28

W poprzednim artykule weszliśmy na terytorium wroga. Poznaliśmy APT28 - adwersarza, który działa w cieniu, mistrza manipulacji i wirtuoza cyfrowych zagrań (link: Adwersarz, którego nie widać: Wywiadowcze zagrania APT28 w cyberprzestrzeni).
Poznaliśmy jego motywy, ewolucję technik i metody działania, które czynią go jednym z najgroźniejszych państwowych aktorów zagrożeń w cyberprzestrzeni.

Jednak sama wiedza o wrogu to dopiero początek. Najtrudniejsze to odpowiedzieć na pytanie: Jak się obronić?

W tym artykule przeniesiemy się na drugą stronę barykady - spojrzymy na zagrożenie oczami obrońcy. Zbadamy strategie, które pozwalają zbudować skuteczną obronę - zarówno na poziomie pojedynczej organizacji, jak i całego państwa.
W tej grze nie wystarczy reagować, aby zwyciężyć, musisz zacząć myśleć jak wywiad.

Obrona przed APT28 – jak zbudować niewidzialną tarczę?

APT28 to nie przypadkowy haker. To przeciwnik, który myśli i działa jak wyspecjalizowana jednostka wywiadowcza, z niemal nieograniczonymi zasobami i żelazną cierpliwością. Obrona przed nim wymaga daleko idącej dojrzałości organizacyjnej, nie tylko w sferze technicznej, ale przede wszystkim na poziomie ludzkim i strategicznym.
To walka, w której każda komórka organizacji musi być świadoma zagrożenia i gotowa do działania.

Kluczowe elementy Twojej fortecy (na poziomie organizacji)

Budowanie skutecznej fortecy wymaga więcej niż tylko jednego muru. Prawdziwa odporność opiera się na wielu warstwach obrony, które wspólnie tworzą solidny system. Od fundamentów ludzkiej świadomości, przez cyfrowe systemy obrony, aż po strategiczne planowanie - to filary, na których powinieneś zbudować swoją organizację.

Budowanie "ludzkiej zapory" 

Zacznij od ludzi, bo od nich często zaczyna się atak. Odpuść nudne, coroczne prezentacje, aby szkolenia były skuteczne muszą być regularne, kontekstowe i oparte na realnych przykładach.
► Wykorzystaj symulacje phishingowe, które uczą reagowania.
► Buduj kulturę "zero wstydu" przy zgłaszaniu podejrzeń - każdy podejrzany e-mail to cenna informacja.
Angażuj wszystkich liderów i menedżerów, bo jeśli oni nie będą traktowali tematu poważnie, to inni też nie będą - każdy mail i każda wątpliwość mogą zatrzymać atak wywiadowczy.

Czujne oko w cyfrowym królestwie 

Monitoring to dziś coś więcej niż tylko zbieranie logów. To sztuka wychwytywania niepokojących sygnałów.
Twoje cyfrowe zmysły to:
►  EDR (Endpoint Detection and Response) i XDR (Extended Detection and Response) - nie tylko wykrywają znane zagrożenia, ale wychwytują nietypowe zachowania – np. plik PowerShell uruchamiany w nietypowy sposób, dostęp do danych w środku nocy.
SIEM (Security Information and Event Management) zbiera i koreluje logi z całej infrastruktury, tworząc spójny obraz.
Threat hunting – to proaktywne polowanie na zagrożenia. Tu eksperci, niczym detektywi, szukają ukrytych śladów intruza, zanim automatyka go wykryje.

Twierdza w mikro-skali 

► Koncepcja Zero Trust (zasada "nie ufaj nikomu, zawsze weryfikuj") powinna stać się Twoim mottem.
► Podziel sieć na małe, odizolowane segmenty (mikro-segmentacja) - gdy atakujący dostanie się do jednej części, nie będzie mógł swobodnie poruszać się po reszcie.
► Ogranicz uprawnienia do absolutnego minimum (zasada najmniejszych uprawnień) - minimalizuje ryzyko eskalacji uprawnień.
► Stosuj uwierzytelnianie wieloskładnikowe (MFA) nie tylko dla użytkowników, ale także dla kont technicznych, dostępu zdalnego i krytycznych systemów.
Zamknij każde możliwe "okno", przez które ktoś mógłby zajrzeć.

Przewidywanie ruchów wroga

Poznaj przeciwnika, zanim on pozna Ciebie. Jeśli chcesz grać na poziomie APT28, musisz zrozumieć ich metody. Threat Intelligence to zbieranie, przetwarzanie i analizowanie informacji o zagrożeniach.
► Śledź raporty, wskaźniki kompromitacji (IoC) i bazy danych takie jak MITRE ATT&CK - one pozwalają zrozumieć taktyki, techniki i procedury (TTP).
► Modeluj adwersarzy – odtwarzaj ich metody działania, przewiduj kolejne kroki i buduj obronę "szytą na miarę".
► Regularnie ćwicz scenariusze "red/purple team" (symulacje ataku i obrony) - dzięki nim odkryjesz luki i udoskonalisz Twoje zabezpieczenia.

Bezpieczeństwo od góry

Obrona przed APT to temat strategiczny. Wiedza o zagrożeniach klasy APT musi dotrzeć na sam szczyt organizacji.

► Przygotuj Zarząd, aby rozumiał strategiczny wymiar tych zagrożeń i konsekwencje, żeby był gotowy na inwestycje nie tylko w technologię, ale także w ludzi oraz procesy.
► Włącz scenariusze ataków APT w plany ciągłości działania i komunikacji kryzysowej.
► Jasno określ kto i jakie decyzje podejmuje w sytuacji incydentu strategicznego to jest kluczowe dla szybkiej i skutecznej reakcji.
Bez tego, nawet najlepsze zabezpieczenia techniczne mogą okazać się niewystarczające.

Strategiczna Obrona Państwa przed APT28 – gigantyczna gra w cieniu

Czasem stawką jest bezpieczeństwo państwa, bo APT28 to "aktor państwowy". I choć wiele zależy od każdej organizacji z osobna, to prawdziwa odporność jest elementem szerszej, narodowej strategii.
Państwa budują swoją cyber-tarczę, angażując w to służby wywiadowcze, wojsko, organy ścigania, sektor prywatny, a nawet społeczność hakerską. To gigantyczna, wielowarstwowa gra w cieniu, w której stawką jest bezpieczeństwo narodowe.

Oczy i uszy państwa w cyberprzestrzeni

Państwa inwestują w rozwój własnych zdolności cyberwywiadowczych.
Cyberwywiad defensywny to monitorowanie, identyfikacja i analiza zagranicznych grup (takich jak APT28), aby wcześnie przewidywać i wykrywać ich działania. Wykorzystuje się w tym celu metody OSINT (open-source intelligence), HUMINT (human intelligence) czy SIGINT (signals intelligence).
Cyberwywiad ofensywny to zdolność do neutralizowania zagrożeń, a w skrajnych przypadkach - do aktywnego przeciwdziałania w sieci, zanim wróg uderzy.

Wspólna odpowiedź cywilno-wojskowa

W przypadku incydentu krytycznego (np. ataku na infrastrukturę energetyczną, sektor finansowy, wybory) czas ma znaczenie. Uruchamiane są dedykowane, wcześniej opracowane procedury odpowiedzi. Kluczowa jest tu ścisła współpraca między agencjami rządowymi, wojskiem, policją i sektorem prywatnym.
Powstają specjalne "war rooms" (centra operacji bezpieczeństwa), gdzie następuje błyskawiczna dekompromitacja systemów, a w skrajnych przypadkach - odcięcie sieci lub jej kluczowych elementów od Internetu (tzw. air-gap), aby powstrzymać rozprzestrzenianie się ataku.

Sojusznicy w cyberprzestrzeni

Żadne państwo nie jest samotną wyspą w cyberprzestrzeni. Kluczowa jest wymiana informacji o zagrożeniach i wskaźnikach kompromitacji (IoC) między sojusznikami.
Współpraca w ramach organizacji takich jak:
NATO (np. poprzez NATO Cooperative Cyber Defence Centre of Excellence),
► Unia Europejska (ENISA),
► międzynarodowe CERT-y (Computer Emergency Response Teams)
pozwala na szybką reakcję i koordynację działań w skali globalnej. Wspólne ćwiczenia cyberbezpieczeństwa symulują realne scenariusze i budują zaufanie.

Budowanie zdolności narodowych - projekty typu "cybernational defense"

To inwestycje w dedykowane, kompleksowe programy obrony cyberprzestrzeni państwa. Obejmują one:
► budowane i wzmacnianie krajowych centrów operacji bezpieczeństwa (SOC/CERT),
► powoływanie cyber-armii i specjalistycznych cyberjednostek wojskowych, które są w stanie prowadzić zarówno działania defensywne, jak i ofensywne.
Przykładami są brytyjski NCSC, francuski ANSSI, amerykański CISA czy polski CERT.PL.

Cyberbezpieczeństwo w prawie - prawno-administracyjne mechanizmy bezpieczeństwa

Regulacje prawne odgrywają kluczową rolę. Obowiązują one krytyczne podmioty (np. infrastruktura krytyczna, banki, operatorzy telekomunikacyjni, media) do stosowania zaawansowanych zabezpieczeń, raportowania incydentów i ścisłej współpracy z państwem.
Przykładem jest dyrektywa NIS2 w UE, amerykańskie Executive Orders czy polska ustawa o Krajowym Systemie Cyberbezpieczeństwa. Te ramy prawne podnoszą ogólny poziom bezpieczeństwa w sektorach kluczowych dla funkcjonowania państwa.

Bezpieczeństwo od źródła - kontrola supply chain i komponentów krytycznych

Łańcuch dostaw jest często luką wykorzystywaną przez APT. Państwa starają się kontrolować cały ten łańcuch – od sprzętu IT (hardware), przez oprogramowanie, po usługi zewnętrzne.
Wymaga to sprawdzania "czystości" sprzętu, rygorystycznej weryfikacji dostawców i wprowadzania wymagań certyfikacyjnych.
Przykłady to wykluczanie niektórych firm (jak Huawei) z budowy infrastruktury 5G w krajach zachodnich czy inwestycje w własne moduły kryptograficzne.

Odwet w cyberprzestrzeni - operacje typu "active defense" i hakowanie "w tył"

W przypadku poważnych, strategicznych zagrożeń, niektóre państwa dopuszczają operacje cyberaktywności. Mogą one obejmować:
► celowane hakowanie przeciwnika, mające na celu np. zamykanie jego infrastruktury Command & Control (C2),
► dezinformację w jego szeregach,
► zakłócanie jego operacji.
Chodzi o zwiększenie kosztów dla atakującego i odstraszanie. To obszar niezwykle delikatny, regulowany prawem międzynarodowym, ale staje się coraz bardziej realną częścią doktryn obronnych.

Programy typu "bug bounty" i "crowd sourcing": siła społeczności

Państwa i największe firmy coraz częściej angażują społeczność badaczy bezpieczeństwa (white hat hackers).
Programy:
► "bug bounty" - nagradza za zgłaszanie wykrytych luk w systemach,
► "crowd sourcing" - pozwala na wykorzystanie wiedzy i talentów z zewnątrz do wzmocnienia cyberbezpieczeństwa narodowego.
To pokazuje, że w walce z zaawansowanymi przeciwnikami każda para oczu i każdy umysł są na wagę złota.

Zaawansowane badania i rozwój (R&D): Technologiczna przewaga

Inwestycje w nowe technologie obronne są kluczowe, aby utrzymać przewagę nad ciągle ewoluującymi zagrożeniami. Obejmują:
► badania nad sztuczną inteligencją (AI),
► uczenie maszynowe (ML),
► detekcję anomalii behawioralnych,
► rozwój nowych, kwantowo-bezpiecznych metod uwierzytelniania,
► innowacyjne systemy monitorowania.
Programy takie jak DARPA w USA, narodowe ośrodki badawcze i współpraca z uczelniami oraz sektorem prywatnym napędzają ten rozwój.

Wojna informacyjna - komunikacja kryzysowa i media

Po każdym dużym cyberataku następuje fala propagandy, fake newsów, prób manipulacji opinią publiczną. Coraz więcej państw jest na to przygotowanych, ma wypracowane procedury komunikacji z mediami, społeczeństwem i sojusznikami. Szybkie, transparentne i oficjalne komunikaty, a także wspólne stanowiska sojuszników, są kluczowe do zarządzania reputacją i przeciwdziałania wrogiej propagandzie.

Nowe wyzwania i trendy na horyzoncie

Rosnąca rola ataków na łańcuch dostaw – APT28 coraz częściej korzysta z tzw. supply chain attacks, przejmując dostęp do kluczowych systemów przez mniej chronionych podwykonawców.

Deepfake i AI – wykorzystywane do zaawansowanych kampanii socjotechnicznych (podszywanie się pod liderów, generowanie przekonujących audio/wideo).

Integracja programów bug bounty do sektora publicznego, narodowe „cyber rezerwy”, automatyzacja threat sharingu i ścisła integracja ćwiczeń z rzeczywistymi scenariuszami ataków państwowych.

Dla dociekliwych:

  1. Model Zero Trust – NIST SP 800-207: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
  2. CISA – APT28 Exploits Known Vulnerability to Carry Out Reconnaissance and Deploy Malware on Cisco Routers, 18.04.2023, Alert AA23-108, https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-108
  3. NATO StratCom COE, https://stratcomcoe.org/

  4. CISA - Russian GRU Targeting Western Logistics Entities and Technology Companies, 21.05.2025, Alert Code AA25-141, https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141a

  5. The Bug Bounty Edge: Crowdsourcing for Stronger Cybersecurity, 10.02.2025, https://www.peris.ai/post/the-bug-bounty-edge-crowdsourcing-for-stronger-cybersecurity

 

Podsumowanie

Ten artykuł nie daje prostych odpowiedzi, bo APT nie gra w prostą grę.
To nie koniec opowieści, bo APT wciąż ewoluuje.
To realne wyzwanie dla każdej organizacji i państwa.

Technologia, ludzie, prawo i współpraca - nie działa w próżni. Odporność to efekt działania całego ekosystemu, który codziennie testuje swoje granice, wyciąga wnioski z incydentów i stale się doskonali.
Nawet najlepsza technologia nie zadziała bez świadomości pracowników i liderów, bez odwagi aby spojrzeć na cyberobronę jak wywiadowca – z wyprzedzeniem, czujnością, rozumieniem „drugiej strony”.

 

W świecie, w którym cyfrowe cienie prowadzą wojny - wygrywa ten, kto uczy się szybciej, myśli szerzej i aktualizuje strategie zanim będzie za późno.

 

Katarzyna Piasecka 

CSO | Liderka zespołów i strategii |Ekspertka cyberbezpieczeństwa |Autorka CyberShieldON

 

CyberShieldON – gdy wiedza spotyka decyzję.
Tutaj cyberbezpieczeństwo to nie tylko technologia, ale też konsekwencje wyborów, ryzyko systemowe i odpowiedzialność.
Łączymy doświadczenie z projektów z refleksją nad tym, jak naprawdę działa organizacja i jak ją chronić.

Dzielimy się praktyką, która wytrzymała presję, oraz pytaniami, które zmieniły kierunek działania.

Jeśli tworzysz systemy, zarządzasz bezpieczeństwem, projektujesz architekturę – znajdziesz tu wsparcie, które nie zatrzymuje się na poziomie technologicznym.

Nowe artykuły – regularnie na cybershieldon.pl

Strona www stworzona w kreatorze WebWave.