Co to jest zaawansowane trwałe zagrożenie?

Opublikowany: 2021-06-10

Zaawansowane trwałe zagrożenie to rodzaj ataku, w którym haker lub dowolny nieautoryzowany użytkownik wymusza dostęp do systemu lub sieci przez dłuższy czas i pozostaje tam bez zauważenia tego przez nikogo.

Zaawansowane trwałe zagrożenia (APT) są wyjątkowo niebezpieczne, szczególnie dla przedsiębiorstw, ponieważ hakerzy ci mają stały dostęp do wysoce poufnych danych firmowych. Podstawowym celem zaawansowanych trwałych zagrożeń nie jest powodowanie jakichkolwiek szkód na lokalnych maszynach lub sieciach, ale bardziej związane z kradzieżą danych.

W tym artykule
  • Jak działa APT
  • Etapy to ewolucja ataków zaawansowanego trwałego zagrożenia (APT)
  • Jak rozpoznać zaawansowane trwałe zagrożenia?
  • Przykłady zaawansowanych uporczywych zagrożeń
  • Środki bezpieczeństwa APT
  • Najlepsze praktyki w zakresie bezpieczeństwa sieci

Jakie są zaawansowane etapy trwałego zagrożenia i jak to działa?

Zaawansowane trwałe zagrożenia są zwykle realizowane w sposób etapowy, który rozpoczyna się od włamania do sieci, po którym następuje uniknięcie wykrycia włamania. Ponadto hakerzy opracowują plan ataku, w którym mapują dane firmy, aby dowiedzieć się, gdzie rata jest najłatwiej dostępna. Wreszcie zbierają te wrażliwe dane i wysysają je.

Mówi się, że te zagrożenia powodują wiele naruszeń danych, co ma duży wpływ finansowy. Jego zdolność do pozostawania niewykrytym przez niektóre tradycyjne środki bezpieczeństwa jest niepokojącym punktem dla firm. Aby zwiększyć zmartwienia firm, hakerzy tworzą bardziej wyrafinowane metody osiągania swoich celów, powodując gwałtowny wzrost zaawansowanych trwałych zagrożeń.

Zaawansowane trwałe zagrożenia wykorzystują różne metody uzyskiwania początkowego dostępu do sieci; w niektórych przypadkach osoby atakujące mogą wykorzystywać Internet do rozpowszechniania złośliwego oprogramowania i uzyskiwania do niego dostępu. Czasami powodują one również fizyczną infekcję złośliwym oprogramowaniem lub zewnętrzne wykorzystywanie, aby mogły wejść do chronionej sieci.

W porównaniu z wieloma tradycyjnymi zagrożeniami, takimi jak wirusy i złośliwe oprogramowanie, które konsekwentnie prezentują to samo zachowanie, za każdym razem zaawansowane, trwałe zagrożenia są zupełnie inne. Zaawansowane trwałe zagrożenia nie mają szerokiego ani ogólnego podejścia.

Wręcz przeciwnie, są to skrupulatnie i starannie zaplanowane zagrożenia, z jasno sprecyzowanym celem dotarcia do konkretnej organizacji. W związku z tym zaawansowane, trwałe zagrożenia są niezwykle dostosowane i bardzo wyrafinowane, aby uniknąć istniejących w firmie środków bezpieczeństwa.

Częściej hakerzy wykorzystywali zaufane połączenia, aby uzyskać wstępny wpis. Oznacza to, że hakerzy mogą uzyskać dostęp za pomocą danych uwierzytelniających od pracowników lub partnerów biznesowych, do których ponownie uzyskują dostęp za pomocą ataków phishingowych. Wykorzystując te dane uwierzytelniające, osoby atakujące mogą pozostać niewykryte w systemie przez długi czas, wystarczająco długo, aby zmapować systemy i dane organizacji oraz przygotować plan ataku, aby wyssać dane firmy.

Z punktu widzenia sukcesu zaawansowanych trwałych zagrożeń, złośliwe oprogramowanie jest elementem krytycznym. Po naruszeniu określonej sieci złośliwe oprogramowanie może łatwo ukryć się przed niektórymi standardowymi systemami nawigacji, przejść z jednego systemu do drugiego, zacząć zbierać dane i monitorować aktywność sieciową.

Innym kluczowym aspektem jest zdolność tych hakerów do zdalnego działania i zdalnego kontrolowania tych zaawansowanych trwałych zagrożeń. Daje to hakerom możliwość poruszania się po sieci firmy w poszukiwaniu krytycznych danych, uzyskania dostępu do informacji, a następnie rozpoczęcia pobierania tych danych.

Pięć etapów ewoluującego zaawansowanego trwałego ataku

Atak zaawansowanego trwałego zagrożenia można przeprowadzić w pięciu różnych etapach, takich jak:

  • Etap 1: Uzyskaj dostęp

    To tutaj hakerzy lub haktywiści uzyskują wstępny dostęp do sieci na jeden z trzech sposobów. Albo za pośrednictwem systemów internetowych, sieci lub użytkowników. Szukają luk w aplikacjach i przesyłają złośliwe pliki.

  • Etap 2: Zbuduj przyczółek

    Po uzyskaniu początkowego dostępu hakerzy atakują wprowadzony system, tworząc trojana typu backdoor, który jest zamaskowany, aby wyglądał jak legalne oprogramowanie. W ten sposób mogą uzyskać dostęp do sieci zdalnie sterować wprowadzonym systemem.

  • Etap 3: Pogłębienie dostępu

    Po zdobyciu przyczółka atakujący zbierają więcej informacji o sieci. Próbują zaatakować siłą i znaleźć luki w sieci, dzięki którym mogą uzyskać głębszy dostęp i tym samym kontrolować dodatkowe systemy.

  • Etap 4: Poruszaj się na boki

    Gdy znajdą się głęboko w sieci, osoby atakujące tworzą dodatkowe kanały backdoora, co daje im możliwość poruszania się w poprzek sieci i uzyskiwania dostępu do danych w razie potrzeby.

  • Etap 5: Spójrz, ucz się i pozostań

    Gdy zaczną poruszać się po sieci, zaczną zbierać dane i przygotowywać się do przeniesienia ich poza system – znane jako eksfiltracja. Będą tworzyć odchylenie w postaci ataku DDoS, podczas gdy atakujący wysysają dane. Jeśli atak APT nie zostanie wykryty, napastnicy pozostaną w sieci i będą nadal szukać okazji do kolejnego ataku.

( Przeczytaj także : Co to jest bezpieczeństwo w chmurze? )

Jak wykryć zaawansowane uporczywe zagrożenie?

Ze względu na swój charakter, zaawansowane trwałe zagrożenia nie są łatwe do wykrycia. W rzeczywistości zagrożenia te polegają na ich zdolności do pozostania niezauważonym w celu wykonania swojego zadania. Istnieje jednak kilka wskaźników, których może doświadczyć Twoja firma, które można traktować jako wczesne sygnały ostrzegawcze:

  • Wzrost liczby logowań późno w nocy lub gdy pracownicy nie mają dostępu do sieci.
  • Gdy zauważysz trojany typu backdoor na dużą skalę. Są one zwykle używane przez hakerów, którzy wykorzystują zaawansowane trwałe zagrożenia, aby zapewnić sobie możliwość zachowania dostępu do sieci.
  • Powinieneś szukać nagłego i dużego przepływu danych, od źródeł wewnętrznych do maszyn wewnętrznych i zewnętrznych.
  • Sprawdź pakiety danych. Jest to zwykle używane przez atakujących, którzy planują zaawansowane trwałe zagrożenia, ponieważ agregują dane w sieci, zanim hakerzy przeniosą dane poza sieć.
  • Identyfikowanie ataków typu pass-the-hash. Są one zwykle ukierunkowane na pamięć typu pass-the-hash lub pamięć, w której przechowywane są dane dotyczące haseł. Dostęp do tego da możliwość tworzenia nowych sesji uwierzytelniania. Chociaż może to nie być zaawansowane trwałe zagrożenie, we wszystkich przypadkach, w których zidentyfikowano taki stan, będzie to przedmiotem dalszego dochodzenia.

To, co wcześniej uważano za cel tylko dla większych organizacji, zaawansowane trwałe zagrożenia nie przenikają również do mniejszych i średnich firm. Ponieważ hakerzy ci używają wyrafinowanych metod do atakowania, organizacje, niezależnie od ich wielkości, powinny wdrożyć solidne środki bezpieczeństwa, aby temu zaradzić.

Jakie są niektóre przykłady zaawansowanych uporczywych zagrożeń?

Firmy zajmujące się cyberbezpieczeństwem, takie jak Crowdstrike(1), śledzą ponad 150 takich niekorzystnych sytuacji na całym świecie; obejmuje to aktywistów hakerskich i e-przestępców. W rzeczywistości mają metodę używania nazw aktorów i zwierząt, które są związane z regionem.

Na przykład NIEDŹWIEDŹ odnosi się do Rosji, PANDA do Chin, KITTEN do Iranu, a SPIDER to e-przestępczość, która nie ogranicza się do regionu. Oto kilka przykładów zaawansowanych trwałych zagrożeń wykrywanych przez Crowdstrike.

  1. APT 27 (GOBLIN PANDA)

    Po raz pierwszy wykryto to w 2013 r., kiedy hakerzy zaatakowali sieć dużej firmy technologicznej prowadzącej działalność w wielu sektorach.

  2. APT28 (FANTASTYCZNY MIŚ)

    To szczególne zaawansowane trwałe zagrożenie wykorzystuje fałszywe strony internetowe i wiadomości phishingowe, które są w rzeczywistości podobne do legalnych, aby uzyskać dostęp do urządzeń takich jak komputery i telefony komórkowe.

  3. APT32 (oceaniczny bawół)

    Jest to przeciwnik z Wietnamu, który jest aktywny od 2012 roku. To zaawansowane, trwałe zagrożenie wykorzystuje kombinację gotowych narzędzi wraz z dystrybucją złośliwego oprogramowania za pośrednictwem strategicznego ataku na sieć Web, znanego również jako SWC.

Oprócz wyżej wymienionych, które zostały wykryte przez Crowstrike, istnieją inne przykłady zaawansowanych trwałych zagrożeń, takich jak:

  • Ghostnet: ma siedzibę w Chinach, gdzie ataki były planowane i przeprowadzane za pomocą wiadomości phishingowych zawierających złośliwe oprogramowanie. Grupa faktycznie atakowała urządzenia w ponad 100 krajach
  • Stuxnet: Jest to złośliwe oprogramowanie, które atakuje głównie systemy SCADA (ciężkie aplikacje przemysłowe), co było widoczne po jego sukcesie w penetracji maszyn wykorzystywanych w irańskim programie nuklearnym.
  • Sykipot: Jest to rodzaj złośliwego oprogramowania, które głównie atakuje karty inteligentne.

Środki bezpieczeństwa APT

Oczywiste jest, że zaawansowane trwałe zagrożenie jest atakiem wielopłaszczyznowym i konieczne jest zastosowanie wielu środków bezpieczeństwa w postaci narzędzi i technik.

  • Monitorowanie ruchu: pozwoli to firmom identyfikować penetracje, wszelkiego rodzaju ruchy boczne i eksfiltrację danych.
  • Biała lista aplikacji i domen: Upewnij się, że domeny i aplikacje, które są znane i godne zaufania, znajdują się na białej liście.
  • Kontrola dostępu: trzeba skonfigurować silne protokoły uwierzytelniania i zarządzanie kontami użytkowników. Jeśli istnieją konta uprzywilejowane, należy na nie zwrócić szczególną uwagę.

Najlepsze praktyki, które należy zastosować podczas zabezpieczania sieci.

Surowa rzeczywistość dotycząca zaawansowanych trwałych zagrożeń jest taka, że ​​nie ma jednego rozwiązania, które byłoby w 100% skuteczne. Dlatego przyjrzymy się niektórym z najlepszych praktyk ochrony APT.

  • Zainstaluj zaporę:

    Ważne jest, aby wybrać odpowiednią strukturę zapory, która będzie stanowić pierwszą warstwę ochrony przed zaawansowanymi trwałymi zagrożeniami.

  • Aktywuj zaporę aplikacji internetowej:

    Może to być przydatne, ponieważ zapobiegnie atakom pochodzącym z aplikacji internetowych/sieciowych, w szczególności korzystających z ruchu HTTP.

  • Antywirus:

    Korzystaj z najnowszego i aktualnego programu antywirusowego, który wykrywa i zapobiega programom, takim jak złośliwe oprogramowanie, trojany i wirusy.

  • Systemy zapobiegania włamaniom:

    Ważne jest, aby mieć systemy zapobiegania włamaniom (IPS), ponieważ działają one jako usługa bezpieczeństwa monitorująca sieć pod kątem złośliwego kodu i natychmiast powiadamiająca.

  • Miej środowisko piaskownicy:

    Będzie to przydatne do testowania wszelkich podejrzanych skryptów lub kodów bez powodowania jakichkolwiek uszkodzeń w systemie live.

  • Skonfiguruj VPN:

    Zapewni to, że hakerzy APT nie uzyskają łatwego dostępu do Twojej sieci.

  • Skonfiguruj ochronę poczty e-mail:

    Ponieważ wiadomości e-mail są jedną z najczęściej używanych aplikacji, są również podatne na ataki. Dlatego aktywuj ochronę przed spamem i złośliwym oprogramowaniem dla swoich e-maili.

Końcowe przemyślenia

Zaawansowane uporczywe zagrożenia nieustannie pukają do drzwi i potrzebują tylko jednego małego wejścia do sieci, aby spowodować szkody na dużą skalę. Tak, tych ataków nie można wykryć, ale dzięki odpowiednim środkom firmy mogą zachować czujność, aby uniknąć wszelkich przeciwności związanych z tymi atakami. Postępowanie zgodnie z najlepszymi praktykami i ustanowienie środków bezpieczeństwa zaowocuje skutecznym zapobieganiem takim atakom.

Inne przydatne zasoby:

Pięć wskazówek i strategii, jak uniknąć cyberzagrożeń

10 sposobów na zapobieganie zagrożeniom wewnętrznym

Cyberzagrożenia do walki w 2021 r.

Znaczenie cyberbezpieczeństwa w biznesie