Co to jest zaawansowane trwałe zagrożenie lub APT?
Zaawansowane trwałe zagrożenie lub znane również jako zaawansowane trwałe zagrożenie Jednak to normalne, że tak to nazywamy ODPOWIEDNI ten Jest to rodzaj cyberataku, który jest przeprowadzany na dużą skalę w celu kradzieży danych i/lub szpiegowania systemów. Jego osobliwością jest to, że działa przez długi czas, głównie dlatego, że odpowiedzialni przestępcy w cyberprzestrzeni są bardzo oddani. Odpowiadają za zbadanie celu i ustalenie przyczyny ataku. Ponadto inwestują duże środki finansowe, aby przygotować swoją infrastrukturę, a tym samym zapewnić udany atak. Ataki APT obejmują w pełni dostosowane złośliwe oprogramowanie w oparciu o wybrany cel.
Motywacja do stworzenia APT wykracza daleko poza zwykłą krzywdę wyrządzoną jednej lub większej liczbie ofiar. Tego typu ataki są skierowane do organizacji i/lub osób, które mogą generować wysokie zyski. Lub na przykład finansowo, jeśli chcesz zarobić na raz dużo pieniędzy. Z drugiej strony motyw może być również polityczny. Szpiegostwo polityczne jest jedną z motywacji ataków APT.
Na początku PTA byli na ogół kojarzeni z politycznymi protagonistami, którzy chcieli przejąć wrażliwe dane z ówczesnych danych rządowych lub branżowych. Obecnie ataki te rozprzestrzeniły się na aplikacje i są wykorzystywane do kradzieży poufnych danych lub praw autorskich, które są następnie sprzedawane lub w jakiś sposób zdobywane.
To, co wyróżnia się najbardziej i nie powinno dziwić, z oczywistych względów, to szybkość ich wykonywania coraz bardziej wyrafinowane ten Dlatego na całym świecie za projektowanie, budowę i wdrażanie APT odpowiedzialni są kompletni, oszczędni eksperci ds. bezpieczeństwa IT. Osoby te są wspierane przez ważne organizacje i osobowości o określonych zainteresowaniach, więc ataki są prawie zawsze przeprowadzane z większym sukcesem. Niektóre z zadań, które wykonują, to dostęp do poufnych informacji, tworzenie i wprowadzanie złośliwego kodu. Powtarzającym się przykładem jest klapa tylna, która gwarantuje stały dostęp do docelowych systemów.
Cechy APT
Tego typu ataki są bardzo skuteczne, zwłaszcza przez oddanych i odpowiedzialnych cyberprzestępców, którzy nie chcą robić rzeczy szybko, ale wolą spędzać czas na robieniu właściwych rzeczy. Ponadto decydują się robić to stale, ponieważ może to ujawnić im błąd.
Ciekawostką jest to, że większość tych ataków zaczyna się od znanych luk, które nie zostały naprawione. Ponieważ? Ponieważ w ten sposób ofierze trudno będzie się zorientować, że jest to APT, a nie klasyczny atak. Ale jak odróżnić atak APT?
Zwiększona liczba połączeń w nocy
Jedną z cech charakterystycznych ataków APT jest to, że po przejęciu kontroli nad jednym komputerem mogą przenosić się na inny w ciągu kilku godzin. Robią to, odczytując bazę danych poświadczeń, z której kradną poświadczenia i używają ich do łączenia się z komputerami lokalnymi. APT rozpoznają i „uczą się”, które konta użytkowników lub usługi mają wysoki poziom przywilejów i przywilejów. Dlatego wolą mieć dostęp do tego typu kont, aby narazić na niebezpieczeństwo najważniejsze zasoby organizacji docelowej.
Wspomnieliśmy teraz, że należy uważać na dużą liczbę połączeń dziennie, ponieważ duży odsetek autorów APT mieszka na obszarach, na których różnica czasu jest znaczna ten Jednak każdy menedżer IT wie, kiedy rejestrować dużą liczbę połączeń i innych czynności związanych z jego siecią. Dlatego dobrze jest obserwować tę aktywność pod kątem podejrzanego dostępu.
Obecność backdoorów dla trojanów
Jednym z nawyków jest instalowanie backdoorów trojańskich na komputerach ofiar. Robią to, aby mieć pewność, że zawsze mają dostęp do środowiska organizacji docelowej, kiedy tylko chcą. Zachowają nawet ten dostęp, jeśli zaatakowani użytkownicy zmienią swoje dane uwierzytelniające.
Obecnie Inżynieria społeczna jest jednym z głównych graczy odpowiedzialnych za wprowadzenie tych tylnych drzwi trojańskich. Miliony ludzi padają ofiarą każdego roku. Ponieważ komunikujemy się z nimi telefonicznie lub mailowo w celu przeprowadzenia tzw. pilnej akcji. Pośpiech, o którym mówimy, i pewna obawa, że nie wykonamy „nakazu”, sprawia, że wiele osób wpada w pułapkę.
Wyższy niż normalny przepływ danych
Ważne jest, aby zachować ostrożność w przypadku dużych strumieni danych. Zwłaszcza jeśli pochodzą z urządzeń w sieci lub urządzeń zewnętrznych, których pochodzenia nie znasz. Mogą to być kanały typu serwer-serwer, klient-serwer lub sieć-sieć.
Kanały te mogą mieć określone źródło, a to źródło z kolei jest przeznaczone do określonego celu. Istnieją klienty poczty e-mail, takie jak Gmail, które mają opcję informowania o tym, kiedy użytkownik ostatnio się zalogował i gdzie dana wiadomość była ostatnio wyświetlana. Jednak ta ostatnia jest nieco bardziej skomplikowana, niż powinno być ze względu na połączenia tunelowe VPN.
Obecnie wiele organizacji blokuje lub kradnie dowolny rodzaj nieokreślonego lub niewiarygodnego ruchu HTTPS za pomocą kontroli bezpieczeństwa. Urządzenia te dekompresują ruch HTTPS przez serwer proxy, sprawdzają ruch, a następnie szyfrują go przed wysłaniem do pierwotnego miejsca docelowego. Dlatego właściwe jest podjęcie takiego środka.
Podejrzany transfer danych
Bardzo dobrym, ale niepokojącym znakiem, że Twoja sieć może zostać naruszona przez APT, jest duża ilość danych w miejscach, w których nie powinna. Kolejnym znakiem jest forma, w jakiej są ściskane, jeśli jest to forma, której nie rozpoznajesz lub nie znasz, ale nie jest ogólnie akceptowana w twoim ciele, musisz uważać.
Bardzo specyficzne kampanie phishingowe (Spear Phishing)
Nie ma nic bardziej frustrującego niż wiara, że całe twoje ciało może się zwinąć w zaledwie kilku e-mailach. Jest gatunek wędkarstwo elektroniczne kto jest Wyłudzanie włóczni stworzone i wykonane w bardzo specyficzny sposób. Oznacza to, że ofiary są dość dobrze dobierane w oparciu o intencje i interesy napastnika. Otrzymują wiadomości e-mail z załącznikami, chociaż mogą również poprosić o kliknięcie określonego łącza w celu wprowadzenia informacji osobistych lub organizacyjnych.
Załączniki mogą być w popularnych formatach, takich jak .docx, .xslsx, .pdf i innych. Chociaż mogą być również wykonywalne typu .exe lub po prostu formatami, których nie znamy. Jeśli chodzi o linki, wydaje się, że mają gładki format adresu URL, niektóre litery są dodatkowe, a niektóre mniej. Dlatego niezwykle ważne jest zwracanie uwagi na otrzymywane e-maile. Czy naprawdę czekamy na tę wiadomość? Czy muszę mieć dostęp do konkretnego linku, aby moje konto było aktywne? Minuta dodatkowej uwagi robi różnicę.
Jak uchronić firmę przed atakami APT?
- Świadomość bezpieczenstwa ten Ważne jest, aby wszyscy pracownicy lub współpracownicy byli wystarczająco wrażliwi na bezpieczeństwo i znali swoje działania online. Ważne jest, aby zachęcać do opracowywania strategii, aby wszystkie kursy z zakresu cyberbezpieczeństwa, bezpieczeństwa informacji i prywatności danych miały naprawdę pozytywny wpływ na ludzi.
- Dobry plan zarządzania incydentami ten Pomaga to nie tylko zapobiegać potencjalnym atakom APT, ale także minimalizuje szkody w przypadku takiego zdarzenia. Oprócz jasnego określenia, kto wykonuje poszczególne działania, bardzo ważne jest, aby zachować wszystkie dowody incydentów bezpieczeństwa, które mogą wystąpić, niezależnie od tego, czy jest to atak APT, czy inny atak. Narzędziem wsparcia jest wiedza Łańcuch cybercydów pokazując szczegółowo każdy etap cyberataku.
- Wielopoziomowa aplikacja obronna. Kiedy mówimy o tym punkcie, mamy na myśli kontrolę punktów wejścia i wyjścia z sieci przez najnowocześniejsze zapory ogniowe. Aby skutecznie zarządzać incydentami związanymi z bezpieczeństwem, muszą istnieć również systemy wykrywania i zapobiegania włamaniom (IDS) i zapobiegania (IPS) oraz SIEM. Nie wolno nam zapominać o systemach zarządzania podatnościami, aby mieć pełną kontrolę i przegląd każdego z nich. Krótko mówiąc, szczególną uwagę należy zwrócić na użytkowników sieci, którzy właściwie zarządzają swoimi danymi uwierzytelniającymi poprzez zarządzanie tożsamością (IAM) i systemy uwierzytelniania. Wszystkie rodzaje oprogramowania muszą być aktualne i wszystkie terminale muszą posiadać odpowiednie systemy bezpieczeństwa.
- Techniki nadzoru i wykrywania. Nie wolno nam rezygnować z działań inwigilacyjnych, do których możemy mieć dostęp do plików dziennika. To pozwoli nam wykryć ruch lub inną podejrzaną aktywność. Sieć musi być stale monitorowana, zarówno pod kątem ruchu przychodzącego, wychodzącego, jak i podłączonych do niej urządzeń. Każdy zapis ruchu sieciowego może zostać wykorzystany jako dowód kryminalistyczny w przypadku ataku.
- Wybierz Zagrożenie wywiadowcze. Te dodatkowe usługi są oferowane przez różne firmy specjalizujące się w bezpieczeństwie informacji i cyberbezpieczeństwie. Za analizę odpowiada analiza ryzyka surowe dane ( surowe dane ) podczas wyszukiwania zagrożeń wszystkie te dane pochodzą z różnych źródeł, a po ich analizie wyświetlane są przydatne informacje, które prowadzą do skutecznego podejmowania decyzji. Dzięki temu każdy członek organizacji odpowiedzialny za bezpieczeństwo sieci będzie mógł szybko zidentyfikować zagrożenia wysokiego ryzyka.
Jak widać, APT są bardzo niebezpiecznym zagrożeniem, ale istnieją środki, które pozwolą nam złagodzić skutki i spróbować kontrolować, czy nie zagrażają naszemu bezpieczeństwu.