什么是高级持续威胁?

已发表: 2021-06-10

高级持续威胁是一种攻击类型,其中黑客或任何未经授权的用户强行访问系统或网络相当长的时间,并且在没有任何人注意到的情况下停留在那里。

高级持续性威胁 (APT) 异常危险,尤其是对企业而言,因为这些黑客可以始终如一地访问高度机密的公司数据。 高级持续性威胁的主要目标不是对任何本地机器或网络造成任何损害,而是与数据盗窃有关。

在这篇文章中
  • APT 的工作原理
  • 阶段是高级持续威胁 (APT) 攻击的演变
  • 如何识别高级持续性威胁
  • 高级持续威胁示例
  • APT 安全措施
  • 网络安全最佳实践

什么是高级持续威胁步骤以及它是如何工作的?

高级持续性威胁通常以分阶段的方式完成,首先是对网络进行黑客攻击,然后避免对黑客的任何检测。 此外,黑客制定了一个攻击计划,他们在其中映射公司数据以找出最容易获得比率的地方。 最后,他们收集这些敏感数据并进行虹吸。

据说这些威胁会导致许多数据泄露,从而造成巨大的财务影响。 它无法被一些传统的安全措施检测到的能力是公司的担忧点。 为了增加公司的担忧,黑客正在创造更复杂的方法来实现他们的目标,导致高级持续威胁的猖獗增加。

高级持续性威胁使用不同的方法来获得对网络的初始访问; 在某些情况下,攻击者可能会使用互联网推送恶意软件并获得访问权限。 有时它们还会诱导物理恶意软件感染或外部利用,以便它们可以进入受保护的网络。

与持续表现出相同行为的许多传统威胁(例如病毒和恶意软件)相比,高级持续性威胁每次都大不相同。 高级持续性威胁没有广泛或通用的方法。

相反,它们是经过精心策划的威胁,具有针对特定组织的明确目标。 因此,高级持续性威胁是高度定制的,并且设计得非常复杂,以逃避公司现有的安全措施。

更常见的是,黑客使用受信任的连接来获得初始入口。 这意味着黑客可以通过员工或业务合作伙伴的凭据获得访问权限,而这些凭据又可以通过网络钓鱼攻击进行访问。 使用这些凭据,攻击者可以在系统中长时间不被发现,足以绘制出组织的系统和数据,并准备攻击计划以耗尽公司数据。

从高级持续性威胁的成功的角度来看,恶意软件是一个关键组成部分。 一旦特定网络遭到破坏,恶意软件就可以轻松地从一些标准导航系统中隐藏起来,从一个系统移动到另一个系统,开始收集数据并监控网络活动。

另一个关键方面是这些黑客远程操作和远程控制这些高级持续威胁的能力。 它让黑客有机会浏览公司的网络搜索关键数据,获取信息,然后开始窃取该数据。

不断发展的高级持续攻击的五个阶段

高级持续性威胁的攻击可以分五个不同阶段进行,例如:

  • 第 1 阶段:获得访问权限

    这是黑客或黑客主义者以三种方式之一获得对网络的初始访问权限的地方。 通过基于网络的系统、网络或人类用户。 他们寻找应用程序漏洞并上传恶意文件。

  • 第二阶段:建立立足点

    一旦获得初始访问权限,黑客就会通过创建后门木马来破坏进入的系统,该后门木马被掩盖以使其看起来像合法软件。 这样他们就可以远程访问网络控制进入的系统。

  • 第 3 阶段:深化访问

    建立立足点后,攻击者会收集有关网络的更多信息。 他们试图强行攻击并找出网络中的漏洞,通过这些漏洞他们可以获得更深入的访问权限,从而控制其他系统。

  • 第 4 阶段:横向移动

    一旦他们深入网络,这些攻击者就会创建额外的后门通道,这使他们有机会在网络中横向移动并在需要时访问数据。

  • 第 5 阶段:观察、学习和保持

    一旦他们开始在网络上移动,他们就会开始收集数据并准备将其传输到系统外——这就是所谓的渗漏。 他们将以 DDoS 攻击的形式制造偏差,同时攻击者将数据吸出。 如果没有检测到 APT 攻击,那么攻击者将留在网络内并继续寻找下一次攻击的机会。

另请阅读:什么是云安全?)

如何检测高级持续性威胁?

由于其性质,高级持续性威胁不容易被发现。 事实上,这些威胁依赖于它们在执行任务时保持不被注意的能力。 但是,您的公司可以体验到一些指标,可以将其视为预警信号:

  • 深夜或员工未访问网络时的登录次数增加。
  • 当您发现大规模后门木马时。 这些通常由使用高级持续威胁的黑客使用,以确保他们可以保留对网络的访问权限。
  • 您应该寻找从内部来源到内部和外部机器的突然且大量的数据流。
  • 查看数据包。 这通常由计划高级持续性威胁的攻击者使用,因为他们在黑客将数据移出网络之前聚合网络内部的数据。
  • 识别传递哈希攻击。 这些通常针对传递哈希存储或保存密码数据的内存。 访问这将有机会创建新的身份验证会话。 尽管在所有情况下都可能不是高级持续性威胁,但已确定此类情况仍有待进一步调查。

早期被认为仅针对大型组织的目标,高级持续性威胁并未渗透到中小型公司。 由于这些黑客使用复杂的方法进行攻击,因此无论规模大小,组织都应实施强大的安全措施来解决这个问题。

有哪些高级持续性威胁示例?

像 Crowdstrike(1) 这样的网络安全公司一直在跟踪全球 150 多种此类不利情况; 这包括黑客活动家和电子犯罪分子。 他们实际上有一种使用与该地区相关的演员和动物名称的方法。

例如,BEAR 是指俄罗斯,PANDA 是指中国,KITTEN 是指伊朗,而 SPIDER 是一种不受地区限制的电子犯罪。 以下是 Crowdstrike 检测到的高级持续性威胁的一些示例。

  1. APT 27(妖精熊猫)

    这在 2013 年首次被发现,当时黑客攻击了一家在多个部门开展业务的大型科技公司的网络。

  2. APT28(花式熊)

    这种特殊的高级持续性威胁使用与合法邮件实际上相似的网站欺​​骗和网络钓鱼邮件来访问计算机和手机等设备。

  3. APT32(海洋水牛)

    这是一个来自越南的对手,自 2012 年以来一直很活跃。这种先进的持续性威胁结合了现成的工具以及通过战略网络妥协(也称为 SWC)分发恶意软件。

除了上述由 Crowstrike 检测到的威胁之外,还有其他高级持续性威胁示例,例如:

  • Ghostnet:它位于中国境外,通过包含恶意软件的网络钓鱼电子邮件计划和执行攻击。 该组织实际上针对 100 多个国家/地区的设备
  • Stuxnet:这是一种主要针对 SCADA 系统(重工业应用)的恶意软件,这从其成功渗透伊朗核计划中使用的机器中可以看出。
  • Sykipot:这是一种主要攻击智能卡的恶意软件。

APT 安全措施

很明显,高级持续性威胁是一种多方面的攻击,必须以工具和技术的形式采取多种安全措施。

  • 流量监控:这将使公司能够识别渗透、任何类型的横向移动和数据泄露。
  • 应用程序和域白名单:确保将已知且可信任的域和应用程序放入白名单。
  • 访问控制:需要建立强大的身份验证协议和用户帐户的管理。 如果有特权帐户,那么他们需要特别关注。

保护网络时采取的最佳实践措施。

关于高级持续性威胁的严酷现实是,没有单一的解决方案可以 100% 有效。 因此,我们将研究 APT 保护的一些最佳实践。

  • 安装防火墙:

    选择正确的防火墙结构作为抵御高级持续性威胁的第一层非常重要。

  • 激活 Web 应用程序防火墙:

    这很有用,因为它可以防止来自 Internet/Web 应用程序的攻击,尤其是使用 HTTP 流量的攻击。

  • 防病毒:

    拥有最新的防病毒软件,可以检测和阻止恶意软件、木马和病毒等程序。

  • 入侵防御系统:

    拥有入侵防御系统 (IPS) 非常重要,因为它们作为安全服务来监控您的网络中是否存在任何恶意代码并立即通知您。

  • 拥有沙盒环境:

    这将有助于测试任何可疑的脚本或代码,而不会对实时系统造成任何损害。

  • 设置 VPN:

    这将确保 APT 黑客无法轻松访问您的网络。

  • 设置电子邮件保护:

    由于电子邮件是最常用的应用程序之一,因此它们也很容易受到攻击。 因此,请为您的电子邮件激活垃圾邮件和恶意软件防护。

最后的想法

高级持续性威胁不断敲门,它们只需要在您的网络中打开一个小口,就可以造成大规模破坏。 是的,这些攻击无法被检测到,但如果采取适当的措施,公司可以保持警惕,避免因这些攻击而导致的任何逆境。 遵循最佳实践并设置安全措施将有效防止此类攻击。

其他有用的资源:

避免网络威胁的五个技巧和策略

防止内部威胁的 10 种方法

2021 年应对网络威胁

网络安全在企业中的重要性