Ce este o amenințare persistentă avansată?

O amenințare persistentă avansată este un tip de atac în care un hacker sau orice utilizator neautorizat accesează forțat un sistem sau o rețea pentru o perioadă considerabilă de timp și rămâne acolo fără ca nimeni să-l observe.

Amenințările persistente avansate (APT) sunt excepțional de periculoase, în special pentru întreprinderi, deoarece acești hackeri au acces constant la datele companiei extrem de confidențiale. Obiectivul principal al amenințărilor persistente avansate nu este acela de a provoca daune oricărei mașini sau rețele locale, ci mai mult legate de furtul de date.

• Cum funcționează APT
• Etapele este evoluția atacurilor avansate de amenințare persistentă (APT).
• Cum să identifici amenințările persistente avansate
• Exemple avansate de amenințări persistente
• Măsuri de securitate APT
• Cele mai bune practici de securitate a rețelei

Care sunt pașii avansati privind amenințarea persistentă și cum funcționează?

Amenințările persistente avansate sunt de obicei realizate în etape, care începe cu piratarea rețelei, urmată de evitarea oricărei detectări a hack-ului. Mai mult, hackerii construiesc un plan de atac, în care cartografiază datele companiei pentru a afla unde rata este cel mai ușor accesibilă. În cele din urmă, ei adună aceste date sensibile și le sifonează.

S-a spus că aceste amenințări provoacă multe breșe de date, care au un impact financiar mare. Abilitatea sa de a rămâne nedetectată de unele dintre măsurile tradiționale de securitate este ceea ce este punctul îngrijorător pentru companii. Și pentru a adăuga mai mult la îngrijorările companiilor, hackerii creează metode mai sofisticate pentru a-și atinge obiectivele, provocând o creștere vertiginoasă a amenințărilor persistente avansate.

Amenințările persistente avansate folosesc diferite metode pentru a obține accesul inițial la o rețea; în unele cazuri, atacatorii pot folosi internetul pentru a împinge programe malware și pentru a obține acces. Uneori, acestea induc, de asemenea, infecția fizică cu malware sau exploatarea externă, astfel încât să poată intra într-o rețea protejată.

În comparație cu multe dintre amenințările tradiționale, cum ar fi virușii și programele malware, care prezintă același comportament în mod constant, de fiecare dată, amenințările persistente avansate sunt mult diferite. Amenințările persistente avansate nu au o abordare amplă sau generică.

Dimpotrivă, sunt amenințări planificate meticulos și atent, cu un obiectiv clar definit de a viza o anumită organizație. Astfel, amenințările persistente avansate sunt extrem de personalizate și proiectate foarte sofisticat pentru a scăpa de măsurile de securitate existente într-o companie.

Mai des, hackerii au folosit conexiuni de încredere pentru a obține intrarea inițială. Aceasta înseamnă că hackerii pot obține acces prin intermediul acreditărilor de la angajați sau parteneri de afaceri, care este din nou accesat prin atacuri de phishing. Folosind aceste acreditări, atacatorii pot rămâne nedetectați în sistem pentru o perioadă lungă de timp, suficient pentru a mapa sistemele și datele organizației și pentru a pregăti un plan de atac pentru a elimina datele companiei.

Din punctul de vedere al succesului amenințărilor persistente avansate, malware-ul este o componentă critică. Odată ce o anumită rețea este spartă, malware-ul se poate ascunde cu ușurință de unele dintre sistemele de navigație standard, se poate muta de la un sistem la altul, poate începe să colecteze date și să monitorizeze activitatea rețelei.

Un alt aspect cheie este capacitatea acestor hackeri de a opera de la distanță și de a controla aceste amenințări persistente avansate de la distanță. Le oferă hackerilor posibilitatea de a naviga prin rețeaua companiei de căutare a datelor critice, de a obține acces la informații și apoi de a începe sifonarea acelor date.

Cinci etape ale unui atac persistent avansat în evoluție

Atacul unei amenințări persistente avansate poate fi efectuat în cinci etape diferite, cum ar fi:

• Etapa 1: Obțineți acces

  Aici hackerii sau hacktiviștii obțin accesul inițial la o rețea într-unul din cele trei moduri. Fie prin sisteme bazate pe web, rețele sau utilizatori umani. Ei caută vulnerabilități ale aplicațiilor și încarcă fișiere rău intenționate.

• Etapa 2: Stabiliți un punct de sprijin

  Odată ce accesul inițial este obținut, hackerii compromit sistemul introdus prin crearea unui troian backdoor, care este mascat pentru a-l face să arate ca un software legitim. În acest fel, ei pot avea acces la rețea controlând sistemul introdus de la distanță.

• Etapa 3: Aprofundarea accesului

  După ce își stabilesc locul, atacatorii adună mai multe informații despre rețea. Ei încearcă să atace cu forță și să descopere vulnerabilități în rețea, prin care pot obține un acces mai profund și, prin urmare, pot controla sisteme suplimentare.

• Etapa 4: Deplasați-vă lateral

  Odată ce sunt adânciți în rețea, atunci acești atacatori creează canale backdoor suplimentare, ceea ce le oferă posibilitatea de a se deplasa lateral în rețea și de a accesa datele atunci când au nevoie.

• Etapa 5: Privește, învață și rămâne

  Odată ce încep să se deplaseze în rețea, vor începe să colecteze datele și să se pregătească pentru transferul lor în afara sistemului - cunoscut sub numele de exfiltrare. Ei vor crea o abatere sub forma unui atac DDoS, în timp ce atacatorii captează datele. Dacă atacul APT nu a fost detectat, atunci atacatorii vor rămâne în rețea și vor continua să caute oportunități pentru un alt atac.

( Citește și : Ce este Cloud Security? )

Cum să detectați o amenințare persistentă avansată?

Din cauza naturii lor, amenințările persistente avansate nu sunt ușor de detectat. De fapt, aceste amenințări se bazează pe capacitatea lor de a rămâne neobservate pentru a-și îndeplini sarcina. Cu toate acestea, există câțiva indicatori pe care compania dumneavoastră îi poate experimenta, care pot fi tratați ca semne de avertizare timpurie:

• O creștere a numărului de conectări noaptea târziu sau când angajații nu accesează rețeaua.

• Când observați troieni backdoor la scară largă. Acestea sunt de obicei folosite de hackeri care folosesc amenințări persistente avansate pentru a se asigura că pot păstra accesul la rețea.

• Ar trebui să căutați un flux brusc și mare de date, de la origini interne la mașini interne și externe.

• Consultați pachetele de date. Acesta este de obicei folosit de atacatorii care plănuiesc amenințări persistente avansate, deoarece agregează datele în interiorul rețelei înainte ca hackerii să mute datele în afara rețelei.

• Identificarea atacurilor de tip pass-the-hash. Acestea sunt de obicei vizate pe stocarea pass-the-hash sau pe memoria în care sunt păstrate datele parolei. Accesarea acestuia va oferi oportunitatea de a crea noi sesiuni de autentificare. Deși s-ar putea să nu fie o amenințare persistentă avansată în toate cazurile, identificarea unei astfel de afecțiuni este supusă investigațiilor suplimentare.

Ceea ce se credea anterior a fi o țintă numai pentru organizațiile mai mari, amenințările persistente avansate nu pătrund și în companiile mici și mijlocii. Deoarece acești hackeri folosesc metode sofisticate pentru a ataca, organizațiile, indiferent de dimensiunea lor, ar trebui să implementeze măsuri de securitate robuste pentru a aborda acest lucru.

Care sunt unele dintre exemplele avansate de amenințări persistente?

Companii de securitate cibernetică precum Crowdstrike(1) au urmărit peste 150 de astfel de situații adverse pe tot globul; care include activiști de hacking și eCriminals. Ei au de fapt o metodă de utilizare a numelor actorilor și animalelor care sunt asociate cu regiunea.

De exemplu, BEAR se referă la Rusia, PANDA se referă la China, KITTEN la Iran și SPIDER este o crimă electronică care nu se limitează la o regiune. Iată câteva dintre exemplele de amenințări persistente avansate care sunt detectate de Crowdstrike.

1. APT 27 (GOBLIN PANDA)

   Acest lucru a fost detectat pentru prima dată în 2013, când hackerii au atacat rețeaua unei mari companii de tehnologie care își desfășoară activitatea în mai multe sectoare.

2. APT28 (URS FANTASTIC)

   Această amenințare persistentă avansată specifică folosește falsificarea site-urilor web și mesajele de phishing care sunt de fapt similare cu cele legitime pentru a obține acces la dispozitive precum computere și telefoane mobile.

3. APT32 (Bivol oceanic)

   Acesta este un adversar din Vietnam și este activ din 2012. Această amenințare persistentă avansată folosește o combinație de instrumente standard, împreună cu distribuirea de malware prin Strategic Web Compromise, cunoscut și sub numele de SWC.

Pe lângă cele menționate mai sus, care au fost detectate de Crowstrike, există și alte exemple de amenințări persistente avansate, cum ar fi:

• Ghostnet: Acesta are sediul în China, unde atacurile au fost planificate și executate prin e-mailuri de phishing care conțineau malware. De fapt, grupul a vizat dispozitive din peste 100 de țări
• Stuxnet: Acesta este un malware care vizează în primul rând sistemele SCADA (aplicații industriale grele), ceea ce a fost evident din succesul său de a pătrunde în mașinile utilizate în programul nuclear iranian.
• Sykipot: Acesta este un tip de malware care atacă în principal cardurile inteligente.

Măsuri de securitate APT

Este clar că amenințarea persistentă avansată este un atac cu mai multe fațete și trebuie luate măsuri multiple de securitate, sub formă de instrumente și tehnici.

• Monitorizarea traficului: Acest lucru va permite companiilor să identifice pătrunderi, orice fel de mișcare laterală și exfiltrarea datelor.

• Lista albă pentru aplicații și domenii: asigurați-vă că domeniile și aplicațiile care sunt cunoscute și demne de încredere sunt incluse în lista albă.

• Controlul accesului: trebuie să configurați protocoale de autentificare puternice și gestionarea conturilor de utilizator. Dacă există conturi privilegiate, atunci acestea trebuie să aibă o atenție specială.

Măsuri de bune practici pe care trebuie să le luați atunci când vă securizați rețeaua.

Realitatea dură despre amenințările persistente avansate este că nu există o soluție unică care să fie 100% eficientă. Prin urmare, ne vom uita la unele dintre cele mai bune practici pentru protecția APT.

• Instalați un firewall:

  Este important să alegeți structura corectă de firewall care va acționa ca primul strat de apărare împotriva amenințărilor persistente avansate.

• Activați un firewall pentru aplicații web:

  Acest lucru poate fi util deoarece va preveni atacurile provenite de la internet/aplicația web, în ​​special cea care utilizează trafic HTTP.

• Antivirus:

  Aveți cel mai recent și actualizat antivirus care poate detecta și preveni programe precum malware, troieni și viruși.

• Sisteme de prevenire a intruziunilor:

  Este important să aveți sisteme de prevenire a intruziunilor (IPS), deoarece funcționează ca un serviciu de securitate care monitorizează rețeaua dumneavoastră pentru orice cod rău intenționat și vă anunță imediat.

• Aveți un mediu sandbox:

  Acest lucru va fi util pentru testarea oricăror scripturi sau coduri suspecte fără a provoca daune sistemului live.

• Configurați un VPN:

  Acest lucru va asigura că hackerii APT nu au acces ușor la rețeaua dvs.

• Configurați protecția e-mailului:

  Deoarece e-mailurile sunt una dintre cele mai frecvent utilizate aplicații, ele sunt, de asemenea, vulnerabile. Prin urmare, activați protecția împotriva spamului și a programelor malware pentru e-mailurile dvs.

Gânduri finale

Amenințările avansate persistente bat în mod constant la ușă și au nevoie doar de o mică deschidere în rețeaua dvs. pentru a crea daune la scară largă. Da, aceste atacuri nu pot fi detectate, dar cu măsuri adecvate, companiile pot fi vigilente pentru a evita orice adversitate din cauza acestor atacuri. Respectarea celor mai bune practici și stabilirea măsurilor de securitate vor avea ca rezultat prevenirea eficientă a unor astfel de atacuri.

Alte resurse utile:

Cinci sfaturi și strategii pentru a evita amenințările cibernetice

10 moduri de a preveni amenințările interne

Amenințări cibernetice de luptă în 2021

Importanța securității cibernetice în afaceri