Wprowadzenie do zaawansowanych uporczywych zagrożeń (APT)

Zaawansowane trwałe zagrożenia to ukierunkowane ataki, które są długoterminowymi operacjami przeprowadzanymi przez jego twórców (hakerów) poprzez dostarczanie ładunku ataku za pomocą wyrafinowanych metod (tj. Omijając tradycyjne rozwiązania ochrony punktów końcowych), które następnie potajemnie realizują zamierzone działania (takie jak kradzież informacji) bez być wykrywanym.
Zazwyczaj cel takich ataków jest bardzo starannie wybierany, a najpierw przeprowadzany jest dokładny rozpoznanie. Celem takich ataków są zwykle duże przedsiębiorstwa, organizacje rządowe, często międzyrządowe tworzą rywali i przeprowadzają takie ataki na siebie nawzajem i wydobywają bardzo wrażliwe informacje.

Niektóre przykłady zaawansowanych trwałych zagrożeń to:

  • Titan Rain (2003)
  • GhostNet (2009) -Stuxnet (2010), który prawie zniszczył program nuklearny Iranu
  • Hydra
  • Deep Panda (2015)

Charakterystyka i postęp zaawansowanych uporczywych zagrożeń

APT różnią się od tradycyjnych zagrożeń na wiele różnych sposobów:

  • Wykorzystują wyrafinowane i złożone metody penetracji sieci.
  • Pozostają one niewykryte przez znacznie dłuższy czas, podczas gdy tradycyjne zagrożenie może zostać wykryte w sieci lub na poziomie ochrony punktu końcowego, a nawet jeśli uda się im przejść przez rozwiązania punktu końcowego, regularne sprawdzanie podatności i ciągłe monitorowanie złapie zagrożenie, podczas gdy zaawansowane uporczywe zagrożenia przechodzą przez wszystkie warstwy bezpieczeństwa i wreszcie docierają do hostów, którzy pozostają tam przez dłuższy czas i realizują swoje operacje.
  • APT to ataki ukierunkowane, podczas gdy ataki tradycyjne mogą / nie mogą być celem.
  • Mają także na celu infiltrację całej sieci.

Postęp zaawansowanych uporczywych zagrożeń

  1. Wybieranie i definiowanie celu - należy zdefiniować cel, tj. Która organizacja powinna być ofiarą atakującego. W tym celu atakujący najpierw gromadzi jak najwięcej informacji poprzez odcisk stopy i rozpoznanie.
  2. Znajdź i uporządkuj wspólników - APT wykorzystuje zaawansowane, wyrafinowane techniki, które są wykorzystywane do ataku i przez większość czasu atakujący za ATP nie jest sam. Tak więc drugim byłoby znalezienie „partnera w zbrodni”, który posiada ten poziom umiejętności do opracowania wyrafinowanych technik przeprowadzania ataków APT.
  3. Buduj i / lub zdobywaj opłaty drogowe - Aby przeprowadzić ataki APT, musisz wybrać odpowiednie narzędzia. Narzędzia można również zbudować, aby utworzyć APT.
  4. Rozpoznanie i zbieranie informacji - przed przeprowadzeniem ataku APT osoba atakująca próbuje zebrać jak najwięcej informacji, aby stworzyć plan istniejącego systemu informatycznego. Przykładem gromadzenia informacji może być topologia sieci, serwerów DNS i DHCP, DMZ (strefy), wewnętrzne zakresy adresów IP, serwery sieciowe itp. Warto zauważyć, że określenie celu może zająć trochę czasu, biorąc pod uwagę rozmiar organizacji. Im większa organizacja, tym więcej czasu zajmie przygotowanie projektu.
  5. Test na wykrycie - W tej fazie szukamy luk i słabych punktów oraz próbujemy wdrożyć mniejszą wersję oprogramowania rozpoznawczego.
  6. Punkt wejścia i rozmieszczenia - nadchodzi dzień, w którym pełny pakiet jest wdrażany przez punkt wejścia, który został wybrany spośród wielu innych słabych punktów po dokładnej kontroli.
  7. Wstępna ingerencja - teraz atakujący znajduje się w docelowej sieci. Odtąd musi zdecydować, gdzie iść i znaleźć pierwszy cel.
  8. Inicjowane połączenie wychodzące - gdy APT trafi do celu, ustali się, następnie spróbuje utworzyć tunel, przez który nastąpi eksfiltracja danych.
  9. Rozszerzenie dostępu i polowanie na poświadczenia - W tej fazie APT próbuje rozprzestrzeniać się w sieci i próbuje uzyskać jak najwięcej dostępu bez wykrycia.
  10. Wzmocnij przyczółek - tutaj staramy się szukać i wykorzystywać inne luki w zabezpieczeniach. W ten sposób haker zwiększa szansę na uzyskanie dostępu do innych lokalizacji o podwyższonym dostępie. Hakerzy zwiększają również szansę na ustanowienie większej liczby zombie. Zombie to komputer w Internecie, który został złamany przez hakera.
  11. Ekfiltracja danych - jest to proces wysyłania danych do bazy hakera. Hacker zazwyczaj próbuje wykorzystać zasoby firmy do szyfrowania danych, a następnie przesyła je do swojej bazy. Często, aby odwrócić uwagę, hakerzy wykorzystują taktykę hałasu, aby odwrócić uwagę zespołu bezpieczeństwa, aby wrażliwe informacje mogły zostać usunięte bez wykrycia.
  12. Zakryj ślady i pozostań niewykryty - hakerzy usuwają wszystkie ślady podczas procesu ataku i po ich wyjściu. Starają się pozostać jak najspokojniejsi.

Wykrywanie i zapobieganie atakom Apt

Najpierw spróbujmy zobaczyć środki zapobiegawcze:

  • Świadomość i wymagane szkolenie w zakresie bezpieczeństwa - organizacje doskonale zdają sobie sprawę z tego, że większość naruszeń bezpieczeństwa, które zdarzają się obecnie, dzieje się tak, ponieważ użytkownicy zrobili coś, czego nie należało zrobić, być może zostali zwabieni lub nie przestrzegali właściwego bezpieczeństwa środki podczas robienia czegokolwiek w biurach, takie jak pobieranie oprogramowania ze złych stron, odwiedzanie witryn o złośliwych zamiarach, padło ofiarą phishingu i wiele więcej! Organizacja powinna więc prowadzić sesje uświadamiające na temat bezpieczeństwa i zachęcać swoich pracowników do wykonywania pracy w bezpiecznym środowisku, na temat ryzyka i wpływu naruszenia bezpieczeństwa.
  • Kontrola dostępu (NAC i IAM) - NAC lub kontrola dostępu do sieci mają różne zasady dostępu, które można zaimplementować w celu zablokowania ataków. Dzieje się tak, ponieważ jeśli urządzenie nie przejdzie któregoś z testów bezpieczeństwa, zostanie zablokowane przez NAC. Zarządzanie tożsamością i dostępem (IAM) może pomóc powstrzymać hakerów, którzy próbują ukraść nasze hasło, próbują je złamać.
  • Testy penetracyjne - to jeden świetny sposób na przetestowanie sieci pod kątem penetracji. Tak więc tutaj ludzie z organizacji stają się hakerami, którzy często nazywani są hakerami etycznymi. Muszą myśleć jak haker, aby przeniknąć do sieci organizacyjnej i robią to! Ujawnia istniejące kontrole i luki, które istnieją. Na podstawie narażenia organizacja wprowadza wymagane kontrole bezpieczeństwa.
  • Kontrole administracyjne - Kontrole administracyjne i zabezpieczenia powinny być nienaruszone. Obejmuje to regularne łatanie systemów i oprogramowania, posiadające systemy wykrywania włamań wraz z zaporami ogniowymi. Publiczny system IPS organizacji (taki jak serwer proxy, serwery sieciowe) powinien zostać umieszczony w strefie zdemilitaryzowanej (DMZ), aby był oddzielony od sieci wewnętrznej. W ten sposób nawet jeśli haker przejmie kontrolę nad serwerem w DMZ, nie będzie mógł uzyskać dostępu do serwerów wewnętrznych, ponieważ leżą one po drugiej stronie i są częścią oddzielnej sieci.

Teraz porozmawiamy o środkach detektywistycznych

  • Monitorowanie sieci - centrum dowodzenia i kontroli (C&C) to skrzydła dla zaawansowanych stałych zagrożeń, które odpowiednio przenoszą i odbierają ładunki oraz poufne dane. Zainfekowany host korzysta z centrum dowodzenia i kontroli w celu wykonania następnej serii działań i zazwyczaj komunikuje się okresowo. Tak więc, jeśli spróbujemy wykryć programy, zapytania o nazwy domen, które pojawiają się w cyklu okresowym, warto zbadać te przypadki.
  • Analizy zachowań użytkowników - obejmuje to wykorzystanie sztucznej inteligencji i rozwiązań, które będą monitorować aktywność użytkownika. Oczekiwanie jest takie - rozwiązanie powinno być w stanie wykryć anomalię w działaniach wykonywanych przez gospodarza.
  • Zastosowanie technologii oszustwa - służy to podwójnej korzyści dla organizacji. Początkowo osoby atakujące są zwabione fałszywymi serwerami i innymi zasobami, chroniąc w ten sposób oryginalne zasoby organizacji. Teraz organizacja używa również tych fałszywych serwerów, aby poznać metody, które atakujący wykorzystują, gdy atakują organizację, uczą się łańcucha cyberataków.

Naprawa i reakcja

Musimy także nauczyć się procedury reagowania i naprawy, jeśli wystąpią jakiekolwiek ataki Advanced Persistent Threats (APT). Początkowo APT może zostać złapany w początkowej fazie, jeśli użyjemy odpowiednich narzędzi i technologii, aw początkowej fazie wpływ będzie znacznie mniejszy, ponieważ głównym motywem APT jest pozostanie dłużej i pozostanie niewykrytym. Po wykryciu powinniśmy spróbować uzyskać jak najwięcej informacji z dzienników zabezpieczeń, kryminalistyki i innych narzędzi. Zainfekowany system musi zostać ponownie zobrazowany i należy upewnić się, że żadne zagrożenie nie zostanie usunięte ze wszystkich zainfekowanych systemów i sieci. Następnie organizacja powinna dokładnie przeprowadzić kontrolę wszystkich systemów, aby sprawdzić, czy dotarła do większej liczby miejsc. Następnie należy zmodyfikować kontrolę bezpieczeństwa, aby zapobiec takim atakom lub podobnym, które mogą się zdarzyć w przyszłości.
Teraz, jeśli Advanced Persistent Threats (APT) spędził kilka dni i został wykryty na znacznie późniejszym etapie, systemy powinny zostać natychmiast przełączone w tryb offline, oddzielone od wszelkiego rodzaju sieci, wszelkie serwery plików, których to dotyczy, muszą również zostać sprawdzone . Następnie należy wykonać pełną reimaging dla dotkniętych hostów, należy przeprowadzić głęboką analizę w celu ujawnienia łańcucha cyberataków. Zespół CIRT (zespół ds. Reagowania na incydenty cybernetyczne) i Cyber ​​Forensics powinni zaangażować się w rozwiązywanie wszystkich zaistniałych naruszeń danych.

Wniosek

W tym artykule widzieliśmy, jak działa atak APT oraz jak możemy zapobiegać takim zagrożeniom, wykrywać je i reagować na nie. Należy uzyskać podstawowe pojęcie o typowym łańcuchu cyberataków, który bierze udział w atakach APT. Mam nadzieję, że podobał ci się samouczek.

Polecane artykuły

Jest to przewodnik po zaawansowanych uporczywych zagrożeniach (APT). Tutaj omawiamy wprowadzenie oraz charakterystykę i postęp zaawansowanych, trwałych zagrożeń, wykrywanie i zapobieganie atakom APT. Możesz także przejrzeć nasze inne sugerowane artykuły, aby dowiedzieć się więcej.

  1. Co to jest WebSocket?
  2. Bezpieczeństwo aplikacji internetowych
  3. Wyzwania związane z cyberbezpieczeństwem
  4. Rodzaje hostingu
  5. Urządzenia zapory ogniowej

Kategoria:

Rozwój oprogramowania