什麼是高級持續威脅?

已發表: 2021-06-10

高級持續威脅是一種攻擊類型,其中黑客或任何未經授權的用戶強行訪問系統或網絡相當長的時間,並且在沒有任何人注意到的情況下停留在那裡。

高級持續性威脅 (APT) 異常危險,尤其是對企業而言,因為這些黑客可以始終如一地訪問高度機密的公司數據。 高級持續性威脅的主要目標不是對任何本地機器或網絡造成任何損害,而是與數據盜竊有關。

在這篇文章中
  • APT 的工作原理
  • 階段是高級持續威脅 (APT) 攻擊的演變
  • 如何識別高級持續性威脅
  • 高級持續威脅示例
  • APT 安全措施
  • 網絡安全最佳實踐

什麼是高級持續威脅步驟以及它是如何工作的?

高級持續性威脅通常以分階段的方式完成,首先是對網絡進行黑客攻擊,然後避免對黑客的任何檢測。 此外,黑客制定了一個攻擊計劃,他們在其中映射公司數據以找出最容易獲得比率的地方。 最後,他們收集這些敏感數據並進行虹吸。

據說這些威脅會導致許多數據洩露,從而造成巨大的財務影響。 它無法被一些傳統的安全措施檢測到的能力是公司的擔憂點。 為了增加公司的擔憂,黑客正在創造更複雜的方法來實現他們的目標,導致高級持續威脅的猖獗增加。

高級持續性威脅使用不同的方法來獲得對網絡的初始訪問; 在某些情況下,攻擊者可能會使用互聯網推送惡意軟件並獲得訪問權限。 有時它們還會誘導物理惡意軟件感染或外部利用,以便它們可以進入受保護的網絡。

與持續表現出相同行為的許多傳統威脅(例如病毒和惡意軟件)相比,高級持續性威脅每次都大不相同。 高級持續性威脅沒有廣泛或通用的方法。

相反,它們是經過精心策劃的威脅,具有針對特定組織的明確目標。 因此,高級持續性威脅是高度定制的,並且設計得非常複雜,以逃避公司現有的安全措施。

更常見的是,黑客使用受信任的連接來獲得初始入口。 這意味著黑客可以通過員工或業務合作夥伴的憑據獲得訪問權限,而這些憑據又可以通過網絡釣魚攻擊進行訪問。 使用這些憑據,攻擊者可以在系統中長時間不被發現,足以繪製出組織的系統和數據,並準備攻擊計劃以耗盡公司數據。

從高級持續性威脅的成功的角度來看,惡意軟件是一個關鍵組成部分。 一旦特定網絡遭到破壞,惡意軟件就可以輕鬆地從一些標準導航系統中隱藏起來,從一個系統移動到另一個系統,開始收集數據並監控網絡活動。

另一個關鍵方面是這些黑客遠程操作和遠程控制這些高級持續威脅的能力。 它讓黑客有機會瀏覽公司的網絡搜索關鍵數據,獲取信息,然後開始竊取該數據。

不斷發展的高級持續攻擊的五個階段

高級持續性威脅的攻擊可以分五個不同階段進行,例如:

  • 第 1 階段:獲得訪問權限

    這是黑客或黑客主義者以三種方式之一獲得對網絡的初始訪問權限的地方。 通過基於網絡的系統、網絡或人類用戶。 他們尋找應用程序漏洞並上傳惡意文件。

  • 第二階段:建立立足點

    一旦獲得初始訪問權限,黑客就會通過創建後門木馬來破壞進入的系統,該後門木馬被掩蓋以使其看起來像合法軟件。 這樣他們就可以遠程訪問網絡控制進入的系統。

  • 第 3 階段:深化訪問

    建立立足點後,攻擊者會收集有關網絡的更多信息。 他們試圖強行攻擊並找出網絡中的漏洞,通過這些漏洞他們可以獲得更深入的訪問權限,從而控制其他系統。

  • 第 4 階段:橫向移動

    一旦他們深入網絡,這些攻擊者就會創建額外的後門通道,這使他們有機會在網絡中橫向移動並在需要時訪問數據。

  • 第 5 階段:觀察、學習和保持

    一旦他們開始在網絡上移動,他們就會開始收集數據並準備將其傳輸到系統外——這就是所謂的滲漏。 他們將以 DDoS 攻擊的形式製造偏差,同時攻擊者將數據吸出。 如果沒有檢測到 APT 攻擊,那麼攻擊者將留在網絡內並繼續尋找下一次攻擊的機會。

另請閱讀:什麼是雲安全?)

如何檢測高級持續性威脅?

由於其性質,高級持續性威脅不容易被發現。 事實上,這些威脅依賴於它們在執行任務時保持不被注意的能力。 但是,您的公司可以體驗到一些指標,可以將其視為預警信號:

  • 深夜或員工未訪問網絡時的登錄次數增加。
  • 當您發現大規模後門木馬時。 這些通常由使用高級持續威脅的黑客使用,以確保他們可以保留對網絡的訪問權限。
  • 您應該尋找從內部來源到內部和外部機器的突然且大量的數據流。
  • 查看數據包。 這通常由計劃高級持續性威脅的攻擊者使用,因為他們在黑客將數據移出網絡之前聚合網絡內部的數據。
  • 識別傳遞哈希攻擊。 這些通常針對傳遞哈希存儲或保存密碼數據的內存。 訪問這將有機會創建新的身份驗證會話。 儘管在所有情況下都可能不是高級持續性威脅,但已確定此類情況仍有待進一步調查。

早期被認為僅針對大型組織的目標,高級持續性威脅並未滲透到中小型公司。 由於這些黑客使用複雜的方法進行攻擊,因此無論規模大小,組織都應實施強大的安全措施來解決這個問題。

有哪些高級持續性威脅示例?

像 Crowdstrike(1) 這樣的網絡安全公司一直在跟踪全球 150 多種此類不利情況; 這包括黑客活動家和電子犯罪分子。 他們實際上有一種使用與該地區相關的演員和動物名稱的方法。

例如,BEAR 是指俄羅斯,PANDA 是指中國,KITTEN 是指伊朗,而 SPIDER 是一種不受地區限制的電子犯罪。 以下是 Crowdstrike 檢測到的高級持續性威脅的一些示例。

  1. APT 27(妖精熊貓)

    這在 2013 年首次被發現,當時黑客攻擊了一家在多個部門開展業務的大型科技公司的網絡。

  2. APT28(花式熊)

    這種特殊的高級持續性威脅使用與合法郵件實際上相似的網站欺騙和網絡釣魚郵件來訪問計算機和手機等設備。

  3. APT32(海洋水牛)

    這是一個來自越南的對手,自 2012 年以來一直很活躍。這種先進的持續性威脅結合了現成的工具以及通過戰略網絡妥協(也稱為 SWC)分發惡意軟件。

除了上述由 Crowstrike 檢測到的威脅之外,還有其他高級持續性威脅示例,例如:

  • Ghostnet:它位於中國境外,通過包含惡意軟件​​的網絡釣魚電子郵件計劃和執行攻擊。 該組織實際上針對 100 多個國家/地區的設備
  • Stuxnet:這是一種主要針對 SCADA 系統(重工業應用)的​​惡意軟件,這從其成功滲透伊朗核計劃中使用的機器中可以看出。
  • Sykipot:這是一種主要攻擊智能卡的惡意軟件。

APT 安全措施

很明顯,高級持續性威脅是一種多方面的攻擊,必須以工具和技術的形式採取多種安全措施。

  • 流量監控:這將使公司能夠識別滲透、任何類型的橫向移動和數據洩露。
  • 應用程序和域白名單:確保將已知且可信任的域和應用程序放入白名單。
  • 訪問控制:需要建立強大的身份驗證協議和用戶帳戶的管理。 如果有特權帳戶,那麼他們需要特別關注。

保護網絡時採取的最佳實踐措施。

關於高級持續性威脅的嚴酷現實是,沒有單一的解決方案可以 100% 有效。 因此,我們將研究 APT 保護的一些最佳實踐。

  • 安裝防火牆:

    選擇正確的防火牆結構作為抵禦高級持續性威脅的第一層非常重要。

  • 激活 Web 應用程序防火牆:

    這很有用,因為它可以防止來自 Internet/Web 應用程序的攻擊,尤其是使用 HTTP 流量的攻擊。

  • 防病毒:

    擁有最新的防病毒軟件,可以檢測和阻止惡意軟件、木馬和病毒等程序。

  • 入侵防禦系統:

    擁有入侵防禦系統 (IPS) 非常重要,因為它們作為安全服務來監控您的網絡中是否存在任何惡意代碼並立即通知您。

  • 擁有沙盒環境:

    這將有助於測試任何可疑的腳本或代碼,而不會對實時系統造成任何損害。

  • 設置 VPN:

    這將確保 APT 黑客無法輕鬆訪問您的網絡。

  • 設置電子郵件保護:

    由於電子郵件是最常用的應用程序之一,因此它們也很容易受到攻擊。 因此,請為您的電子郵件激活垃圾郵件和惡意軟件防護。

最後的想法

高級持續性威脅不斷敲門,它們只需要在您的網絡中打開一個小口,就可以造成大規模破壞。 是的,這些攻擊無法被檢測到,但通過適當的措施,公司可以保持警惕,避免因這些攻擊而造成的任何逆境。 遵循最佳實踐並設置安全措施將有效防止此類攻擊。

其他有用的資源:

避免網絡威脅的五個技巧和策略

防止內部威脅的 10 種方法

2021 年應對網絡威脅

網絡安全在企業中的重要性