Introducere în amenințări persistente avansate (APT)

O amenințare persistentă avansată este atacuri țintite care sunt operațiuni pe termen lung efectuate de creatorii săi (hackerii) prin livrarea sarcinii utile a atacului prin metode sofisticate (de exemplu, ocolirea soluțiilor tradiționale de protecție a punctelor finale) care apoi desfășoară în secret acțiunile propuse (cum ar fi furtul de informații) fără fiind detectat.
De obicei, ținta unor astfel de atacuri este foarte atent aleasă și se realizează mai întâi o recunoaștere atentă. Ținta acestor atacuri sunt, de obicei, întreprinderi mari, organizația guvernamentală, adesea interguvernamentale creează rivale și lansează astfel de atacuri unul asupra celuilalt și informează extrem de sensibil.

Unele dintre exemple de amenințări persistente avansate sunt:

  • Ploaia de titan (2003)
  • GhostNet (2009) -Stuxnet (2010) care a preluat aproape programul nuclear al Iranului
  • hidră
  • Deep Panda (2015)

Caracteristicile și progresul amenințărilor persistente avansate

APT diferă de amenințările tradiționale în mai multe moduri diferite:

  • Utilizează metode sofisticate și complexe pentru a pătrunde în rețea.
  • Acestea rămân nedetectate pentru o durată de timp mult mai mare, în timp ce o amenințare tradițională ar putea fi doar detectată la rețea sau la nivelul de protecție al punctului final sau chiar dacă vor avea noroc și vor trece prin soluții endpoint, o verificare regulată a vulnerabilității și monitorizarea continuă vor prinde amenințare în timp ce avansul amenințări persistente doar trec pe toate straturile de securitate și își duc în sfârșit drumul către gazde și rămân acolo pentru o perioadă mai lungă de timp și își desfășoară operațiunea.
  • APT-urile sunt atacuri țintite, în timp ce atacurile tradiționale pot / nu pot fi vizate.
  • De asemenea, acestea urmăresc să se infiltreze în întreaga rețea.

Progresia amenințărilor persistente avansate

  1. Selectarea și definirea țintei - Trebuie definită o țintă, adică ce organizație ar trebui să fie victima unui atacator. Pentru aceasta, atacatorul adună mai întâi cât mai multe informații posibile prin intermediul amprentării și recunoașterii.
  2. Găsiți și organizați complomene - APT implică tehnici avansate, atât de sofisticate, care sunt utilizate pentru atac și, de cele mai multe ori, atacatorul din spatele ATP nu este singur. Deci, al doilea ar fi găsirea „partenerului în criminalitate” care deține acel nivel de abilitate pentru a dezvolta tehnici sofisticate pentru efectuarea atacurilor APT.
  3. Construiți și / sau achiziționați taxe - Pentru a efectua atacurile APT, trebuie selectate instrumentele potrivite. Instrumentele pot fi construite și pentru a crea un APT.
  4. Recunoașterea și colectarea informațiilor - Înainte de a efectua un atac APT, atacatorul încearcă să adune cât mai multe informații pe care le poate pentru a crea un model al sistemului IT existent. Exemplul de culegere de informații ar putea fi topologia rețelei, serverele DNS și DHCP, DMZ (zone), intervalele IP interne, serverele web, etc. Este demn de reținut faptul că definirea unei ținte poate dura ceva, având în vedere dimensiunea a unei organizații. Cu cât este mai mare o organizație, cu atât va dura mai mult timp pentru a pregăti un plan.
  5. Test pentru detectare - În această fază, căutăm vulnerabilități și puncte slabe și încercăm să implementăm o versiune mai mică a software-ului de recunoaștere.
  6. Punctul de intrare și desfășurare - Aici vine ziua, ziua în care suita completă este dislocată printr-un punct de intrare care a fost ales printre multe alte puncte slabe după o inspecție atentă.
  7. Intruziune inițială - Acum atacatorul se află în sfârșit în rețeaua vizată. De aici, el trebuie să decidă unde să meargă și să găsească prima țintă.
  8. Conexiune de ieșire inițiată - odată ce APT-ul va ajunge la țintă, se stabilește, încearcă apoi să creeze un tunel prin care va avea loc exfiltrarea datelor.
  9. Extinderea accesului și vânarea credențelor - în această fază, APT încearcă să se răspândească în rețea și încearcă să obțină cât mai mult acces fără să fie detectat.
  10. Consolidă Foothold - Aici încercăm să căutăm și să exploatăm alte vulnerabilități. Făcând acest lucru, un hacker crește șansa de a avea acces la alte locații cu acces ridicat. De asemenea, hackerii cresc șansa de a stabili mai mulți zombi. Un zombie este un computer de pe internet care a fost compromis de un hacker.
  11. Exfiltrarea datelor - Acesta este procesul de trimitere a datelor către baza hackerului. Hackerul încearcă, în general, să folosească resursele companiei pentru a cripta datele și apoi a le trimite la baza lor. Adesea pentru a distrage atenția, hackerii exploatează tactici de zgomot pentru a distrage echipa de securitate, astfel încât informațiile sensibile pot fi transmise fără a fi detectate.
  12. Acoperiți urmele și rămâne nedetectate - hackerii se asigură că șterge toate urmele în timpul procesului de atac și odată ce ies. Ei încearcă să rămână cât mai sustenabili.

Detectarea și prevenirea atacurilor aptei

Să încercăm mai întâi să vedem măsurile preventive:

  • Conștientizare și instruire în securitate necesară - Organizațiile sunt conștiente de faptul că majoritatea încălcărilor de securitate care se întâmplă în aceste zile se întâmplă pentru că utilizatorii au făcut ceva ce nu ar fi trebuit să fie făcut, poate au fost ademeniți sau nu au respectat securitatea corespunzătoare măsuri în timp ce faceți orice lucru la birouri, cum ar fi descărcarea de software de pe site-uri proaste, vizitarea site-urilor cu intenție rău intenționată, a devenit o victimă a phishingului și multe altele! Așadar, o organizație ar trebui să continue să desfășoare sesiuni de conștientizare în materie de securitate și să-și facă angajații cu privire la modul de a lucra într-un mediu securizat, despre riscuri și impactul încălcărilor de securitate.
  • Controale de acces (NAC și IAM) - NAC sau controalele de acces la rețea au o varietate de politici de acces care pot fi implementate pentru a bloca atacurile. Acest lucru se întâmplă pentru că dacă un dispozitiv nu reușește oricare dintre verificările de securitate, acesta va fi blocat de NAC. Administrarea identității și a accesului (IAM) poate ajuta la împiedicarea hackerilor care încearcă să ne fure parola încearcă să rupă parola.
  • Testarea penetrației - Aceasta este o modalitate excelentă de a-ți testa rețeaua împotriva penetrării. Așadar, aici organizația în sine oamenii devin hackeri care sunt adesea numiți ca hackeri etici. Ei trebuie să se gândească ca un hacker să pătrundă în rețeaua organizațională și așa fac! Expune controalele și vulnerabilitățile existente pe loc. Pe baza expunerii, organizația pune controalele de securitate necesare.
  • Controale administrative - Controalele administrative și de securitate ar trebui să fie intacte. Aceasta implică o plasare regulată a sistemelor și software-ului, având sisteme de detectare a intruziunilor însoțite de firewall-uri. IPS-ul organizației publice (cum ar fi proxy, serverele web) ar trebui plasat în DMZ (zona demilitarizată), astfel încât să fie separat de rețeaua internă. Făcând acest lucru, chiar dacă un hacker câștigă controlul unui server în DMZ, el nu va putea accesa servere interne, deoarece se află pe cealaltă parte și fac parte din rețeaua separată.

Acum, vom vorbi despre Măsuri detective

  • Monitorizarea rețelei - Centrul de comandă și control (C&C) sunt aripile pentru amenințările persistente avansate pentru a transporta și ieși sarcini utile și, respectiv, date confidențiale. Gazda infectată se bazează pe centrul de comandă și control pentru a executa următoarea serie de acțiuni și în general comunică periodic. Deci, dacă vom încerca să detectăm programele, interogările de nume de domeniu care se petrec într-un ciclu periodic, ar fi util să investigăm acele cazuri.
  • Analiza comportamentului utilizatorului - Aceasta implică utilizarea de inteligență artificială și soluții care vor păstra atenția asupra activității utilizatorului. Așteptarea este - soluția ar trebui să poată detecta orice anomalie în activitățile pe care o gazdă le desfășoară.
  • Utilizarea tehnologiei înșelăciunii - Aceasta servește ca un dublu beneficiu pentru organizație. La început, atacatorii sunt îndemnați să servească false și alte resurse, protejând astfel bunurile originale ale unei organizații. Acum, organizația folosește și aceste servere false pentru a învăța metodele pe care atacatorii le folosesc în timp ce atacă organizația, învață lanțul lor de ucidere cibernetică.

Repararea și răspunsul

De asemenea, trebuie să aflăm răspunsul și procedura de reparație în cazul în care există atacuri persistente amenințări persistente (APT). La început, APT s-ar putea prinde în faza sa inițială dacă folosim instrumentele și tehnologiile potrivite, iar în faza inițială, impactul va fi mult mai mic, deoarece motivul principal al APT este să rămână mai mult și să rămână nedetectat. După ce a fost detectat, ar trebui să încercăm să obținem cât mai multe informații din jurnalele de securitate, criminalistică și alte instrumente. Sistemul infectat trebuie reimaginat și trebuie să vă asigurați că nici o amenințare nu este eliminată din toate sistemele și rețelele infectate. Apoi, organizația ar trebui să efectueze o verificare completă a tuturor sistemelor pentru a verifica dacă a ajuns în mai multe locuri. Controlul de securitate ar trebui apoi modificat pentru a preveni astfel de atacuri sau orice fel similar care ar putea avea loc în viitor.
Acum, dacă amenințările avansate persistente (APT) au petrecut zile întregi și au fost detectate într-o etapă mult mai târzie, sistemele ar trebui să fie scoase imediat offline, separate de tot felul de rețele, orice fișier care este afectat trebuie verificat și . Apoi, trebuie făcută o reimaginare completă a gazdelor afectate, ar trebui făcută o analiză profundă pentru a dezvălui lanțul cibernetic care a fost urmat. CIRT (Cyber ​​Incident Response Team) și Cyber ​​Forensics ar trebui să se angajeze pentru a face față tuturor încălcărilor de date care s-au întâmplat.

Concluzie

În acest articol, am văzut cum funcționează un atac APT și cum putem preveni, detecta și răspunde la astfel de amenințări. Ar trebui să vă facem o idee de bază despre un lanț tipic de ucideri informatice care este implicat în spatele atacurilor APT. Sper că v-a plăcut tutorialul.

Articole recomandate

Acesta este un ghid pentru amenințări avansate persistente (APT). Aici discutăm introducerea și caracteristicile și progresul amenințărilor avansate persistente, detectarea și prevenirea atacurilor APT. Puteți parcurge și alte articole sugerate pentru a afla mai multe.

  1. Ce este WebSocket?
  2. Securitatea aplicațiilor web
  3. Provocări de securitate cibernetică
  4. Tipuri de gazduire web
  5. Dispozitive firewall

Categorie:

Dezvoltare de software