Что такое продвинутая постоянная угроза?

Опубликовано: 2021-06-10

Усовершенствованная постоянная угроза — это тип атаки, при котором хакер или любой неавторизованный пользователь принудительно получает доступ к системе или сети в течение значительного времени и остается там, и никто этого не замечает.

Усовершенствованные постоянные угрозы (APT) исключительно опасны, особенно для предприятий, поскольку эти хакеры имеют постоянный доступ к строго конфиденциальным данным компании. Основная цель сложных постоянных угроз не в том, чтобы нанести какой-либо ущерб каким-либо локальным компьютерам или сети, а в большей степени связана с кражей данных.

В этой статье
  • Как работает АПТ
  • Этапы — это эволюция атак Advanced Persistent Threat (APT)
  • Как определить сложные постоянные угрозы
  • Примеры продвинутых постоянных угроз
  • Меры безопасности APT
  • Рекомендации по сетевой безопасности

Каковы этапы расширенной постоянной угрозы и как они работают?

Расширенные постоянные угрозы обычно реализуются поэтапно, начиная со взлома сети, за которым следует предотвращение любого обнаружения взлома. Кроме того, хакеры составляют план атаки, в котором они сопоставляют данные компании, чтобы выяснить, где рата наиболее легкодоступна. Наконец, они собирают эти конфиденциальные данные и перекачивают их.

Говорят, что эти угрозы вызывают множество утечек данных, что приводит к большим финансовым последствиям. Его способность оставаться незамеченной некоторыми традиционными мерами безопасности вызывает беспокойство у компаний. И чтобы добавить беспокойства компаний, хакеры создают более изощренные методы для достижения своих целей, вызывая безудержный рост продвинутых постоянных угроз.

Усовершенствованные постоянные угрозы используют различные методы для получения начального доступа к сети; в некоторых случаях злоумышленники могут использовать Интернет для распространения вредоносных программ и получения доступа. Иногда они также вызывают физическое заражение вредоносным ПО или внешнюю эксплуатацию, чтобы они могли проникнуть в защищенную сеть.

По сравнению со многими традиционными угрозами, такими как вирусы и вредоносное ПО, которые постоянно демонстрируют одно и то же поведение, продвинутые постоянные угрозы каждый раз сильно отличаются. Расширенные постоянные угрозы не имеют широкого или общего подхода.

Наоборот, это тщательно и тщательно спланированные угрозы с четко определенной целью, нацеленной на конкретную организацию. Таким образом, продвинутые постоянные угрозы чрезвычайно индивидуализированы и очень изощренно разработаны, чтобы обойти существующие меры безопасности в компании.

Чаще всего хакеры использовали доверенные соединения для получения первоначального входа. Это означает, что хакеры могут получить доступ через учетные данные сотрудников или деловых партнеров, к которым снова получают доступ посредством фишинговых атак. Используя эти учетные данные, злоумышленники могут оставаться незамеченными в системе в течение длительного времени, достаточного для того, чтобы составить карту систем и данных организации и подготовить план атаки для кражи данных компании.

С точки зрения успеха сложных постоянных угроз вредоносные программы являются критическим компонентом. После взлома конкретной сети вредоносное ПО может легко скрыться от некоторых стандартных навигационных систем, перейти из одной системы в другую, начать сбор данных и отслеживать сетевую активность.

Другим ключевым аспектом является способность этих хакеров работать удаленно и удаленно контролировать эти сложные постоянные угрозы. Это дает хакерам возможность перемещаться по сети компании в поисках важных данных, получать доступ к информации, а затем начинать перекачку этих данных.

Пять стадий развития продвинутой персистентной атаки

Атака продвинутой постоянной угрозы может быть проведена в пять различных этапов, таких как:

  • Этап 1: Получите доступ

    Именно здесь хакеры или хактивисты получают первоначальный доступ к сети одним из трех способов. Либо через веб-системы, сети или пользователей. Они ищут уязвимости приложений и загружают вредоносные файлы.

  • Этап 2: Закрепить точку опоры

    Как только первоначальный доступ получен, хакеры компрометируют введенную систему, создавая троян-бэкдор, который маскируется, чтобы он выглядел как законное программное обеспечение. Таким образом, они могут получить доступ к сети для удаленного управления введенной системой.

  • Этап 3: Углубление доступа

    Закрепившись, злоумышленники собирают дополнительную информацию о сети. Они пытаются атаковать силовыми методами и обнаруживают уязвимости в сети, через которые они могут получить более глубокий доступ и тем самым контролировать дополнительные системы.

  • Этап 4: Двигайтесь вбок

    Оказавшись глубоко внутри сети, злоумышленники создают дополнительные бэкдор-каналы, что дает им возможность перемещаться по сети в горизонтальном направлении и получать доступ к данным по мере необходимости.

  • Этап 5: Смотри, учись и оставайся

    Как только они начнут перемещаться по сети, они начнут собирать данные и готовиться к их передаче за пределы системы, что называется эксфильтрацией. Они создадут отклонение в виде DDoS-атаки, а злоумышленники будут выкачивать данные. Если APT-атака не была обнаружена, злоумышленники останутся в сети и будут искать возможности для новой атаки.

( Также читайте : Что такое облачная безопасность? )

Как обнаружить расширенную постоянную угрозу?

Из-за своей природы сложные постоянные угрозы нелегко обнаружить. На самом деле, эти угрозы полагаются на их способность оставаться незамеченными для выполнения своей задачи. Однако есть некоторые индикаторы, с которыми может столкнуться ваша компания, и которые можно рассматривать как ранние предупреждающие знаки:

  • Увеличение количества входов в систему поздно ночью или когда сотрудники не имеют доступа к сети.
  • Когда вы замечаете крупномасштабные трояны с бэкдором. Обычно они используются хакерами, которые используют сложные постоянные угрозы, чтобы гарантировать, что они могут сохранить доступ к сети.
  • Вы должны искать внезапный и большой поток данных от внутренних источников к внутренним и внешним машинам.
  • Проверьте пакеты данных. Это обычно используется злоумышленниками, которые планируют сложные постоянные угрозы, поскольку они собирают данные внутри сети, прежде чем хакеры переместят данные за пределы сети.
  • Выявление pass-the-hash-атак. Обычно они нацелены на хранилище pass-the-hash или память, в которой хранятся данные паролей. Доступ к этому даст возможность создавать новые сеансы аутентификации. Хотя это может быть не серьезная постоянная угроза, во всех случаях выявление такого состояния подлежит дальнейшему расследованию.

То, что ранее считалось целью только для крупных организаций, современные постоянные угрозы также не проникают в малые и средние компании. Поскольку эти хакеры используют сложные методы для атак, организации, независимо от их размера, должны принять надежные меры безопасности для решения этой проблемы.

Каковы некоторые из примеров сложных постоянных угроз?

Компании по кибербезопасности, такие как Crowdstrike(1), отслеживают более 150 таких неблагоприятных ситуаций по всему миру; включая хакерских активистов и электронных преступников. На самом деле у них есть способ использовать имена актеров и животных, которые связаны с регионом.

Например, BEAR относится к России, PANDA — к Китаю, KITTEN — к Ирану, а SPIDER — к электронному преступлению, не ограниченному регионом. Вот несколько примеров сложных постоянных угроз, обнаруженных Crowdstrike.

  1. КВАРТИРА 27 (ГОБЛИН ПАНДА)

    Впервые это было обнаружено в 2013 году, когда хакеры атаковали сеть крупной технологической компании, имеющей бизнес-операции в нескольких секторах.

  2. APT28 (МЯГКИЙ МЕДВЕДЬ)

    Эта конкретная продвинутая постоянная угроза использует подделки веб-сайтов и фишинговые сообщения, которые на самом деле похожи на законные, для получения доступа к таким устройствам, как компьютеры и мобильные телефоны.

  3. APT32 (Океанский буйвол)

    Это злоумышленник, базирующийся во Вьетнаме и активный с 2012 года. Эта продвинутая постоянная угроза использует комбинацию готовых инструментов, а также распространение вредоносного ПО через Strategic Web Compromise, также известное как SWC.

Помимо упомянутых выше, которые были обнаружены Crowstrike, есть и другие примеры сложных постоянных угроз, таких как:

  • Ghostnet: базируется в Китае, где атаки планировались и осуществлялись с помощью фишинговых электронных писем, содержащих вредоносное ПО. На самом деле группа нацелена на устройства в более чем 100 странах.
  • Stuxnet: это вредоносное ПО, которое в первую очередь нацелено на системы SCADA (тяжелые промышленные приложения), о чем свидетельствует его успешное проникновение в машины, используемые в иранской ядерной программе.
  • Sykipot: это тип вредоносного ПО, которое в основном атакует смарт-карты.

Меры безопасности АПП

Понятно, что продвинутая постоянная угроза — это многогранная атака, и для ее защиты необходимо применять несколько мер безопасности в виде инструментов и методов.

  • Мониторинг трафика: это позволит компаниям выявлять проникновения, любые боковые движения и утечку данных.
  • Внесение в белый список приложений и доменов: убедитесь, что домены и приложения, которые известны и заслуживают доверия, включены в белый список.
  • Контроль доступа: необходимо настроить надежные протоколы аутентификации и управление учетными записями пользователей. Если есть привилегированные учетные записи, то им нужно уделять особое внимание.

Лучшие практические меры, которые необходимо предпринять для защиты вашей сети.

Суровая реальность сложных постоянных угроз заключается в том, что не существует единого решения, которое было бы на 100% эффективным. Поэтому мы рассмотрим некоторые из лучших практик защиты от APT.

  • Установите брандмауэр:

    Важно выбрать правильную структуру брандмауэра, которая будет выступать в качестве первого уровня защиты от сложных постоянных угроз.

  • Активируйте брандмауэр веб-приложения:

    Это может быть полезно, поскольку предотвратит атаки, исходящие из Интернета/веб-приложений, особенно использующих HTTP-трафик.

  • Антивирус:

    Установите новейший антивирус, способный обнаруживать и предотвращать такие программы, как вредоносные программы, трояны и вирусы.

  • Системы предотвращения вторжений:

    Важно иметь системы предотвращения вторжений (IPS), поскольку они работают как служба безопасности, отслеживая вашу сеть на наличие любого вредоносного кода и немедленно уведомляя вас.

  • Создайте среду песочницы:

    Это будет полезно для проверки любых подозрительных скриптов или кодов, не нанося ущерба работающей системе.

  • Настройте VPN:

    Это гарантирует, что хакеры APT не получат легкий доступ к вашей сети.

  • Настройте защиту электронной почты:

    Поскольку электронная почта является одним из наиболее часто используемых приложений, она также уязвима. Следовательно, активируйте защиту от спама и вредоносных программ для ваших электронных писем.

Последние мысли

Усовершенствованные постоянные угрозы постоянно стучатся в дверь, и им достаточно одного небольшого открытия в вашей сети, чтобы нанести крупномасштабный ущерб. Да, эти атаки невозможно обнаружить, но при наличии надлежащих мер компании могут проявлять бдительность, чтобы избежать любых неприятностей, связанных с этими атаками. Следование лучшим практикам и настройка мер безопасности приведут к эффективному предотвращению таких атак.

Другие полезные ресурсы:

Пять советов и стратегий по предотвращению киберугроз

10 способов предотвратить внутренние угрозы

Киберугрозы, с которыми нужно бороться в 2021 году

Важность кибербезопасности в бизнесе