Uvod u napredne uporne prijetnje (APT)

Napredna uporna prijetnja ciljani su napadi koji su dugotrajne operacije koje su izvršili njegovi tvorci (hakeri) isporučivanjem korisnog opterećenja napada sofisticiranim metodama (tj. Zaobilazeći tradicionalna rješenja zaštite krajnjih točaka) koje potajno izvršavaju predviđene akcije (poput krađe informacija) bez biti otkriven.
Obično je cilj takvih napada vrlo pažljivo biran i prvo se provodi pažljivo izviđanje. Meta takvih napada obično su velika poduzeća, vladine organizacije, često međuvladine organizacije stvaraju suparnike i pokreću takve napade jedni protiv drugih i miniraju vrlo osjetljive informacije.

Neki su primjeri naprednih upornih prijetnji:

  • Titanska kiša (2003)
  • GhostNet (2009) -Stuxnet (2010) koji je zamalo oborio iranski nuklearni program
  • Hidra
  • Duboka panda (2015)

Karakteristike i napredovanje naprednih upornih prijetnji

APT se razlikuje od tradicionalnih prijetnji na mnogo različitih načina:

  • Koriste sofisticirane i složene metode za prodor u mrežu.
  • Oni ostaju neotkriveni mnogo duže vrijeme, dok tradicionalna prijetnja može biti jednostavno otkrivena na mreži ili na razini zaštite krajnje točke ili čak i ako dobiju sreću i prođu kroz rješenja krajnje točke, redovita provjera ranjivosti i kontinuirano nadgledanje zahtijevaju prijetnja, dok unaprijed uporne prijetnje samo prolaze kroz sve slojeve sigurnosti i konačno pronalaze put do domaćina i oni tamo ostaju duže vrijeme i obavljaju svoj posao.
  • APT-ovi su ciljani napadi dok tradicionalni napadi mogu / ne moraju biti ciljeni.
  • Također imaju za cilj infiltrirati čitavu mrežu.

Napredovanje naprednih upornih prijetnji

  1. Odabir i definiranje cilja - treba definirati cilj, tj. Koja organizacija treba biti žrtva napadača. Za to, napadač prvo prikupi što više informacija pomoću otisaka stopala i izviđanja.
  2. Pronalaženje i organiziranje saučesnika - APT uključuje napredne kao sofisticirane tehnike koje se koriste za napad i većinu vremena napadač koji stoji iza ATP-a nije sam. Dakle, drugo bi bilo pronaći „partnera u zločinu“ koji posjeduje tu razinu vještine za razvijanje sofisticiranih tehnika za izvođenje APT napada.
  3. Izgradite i / ili nabavite cestarinu - za izvođenje APT napada potrebno je odabrati prave alate. Alati se mogu graditi i za stvaranje APT-a.
  4. Izviđanje i prikupljanje informacija - Prije izvođenja APT napada, napadač pokušava prikupiti što više informacija kako bi stvorio nacrt postojećeg IT sustava. Primjer prikupljanja podataka mogla bi biti topologija mreže, DNS i DHCP poslužitelji, DMZ (zone), unutarnji IP rasponi, web poslužitelji itd. Vrijedno je napomenuti da definiranje cilja može potrajati neko vrijeme, s obzirom na veličinu organizacije. Što je organizacija veća, to će trebati više vremena za pripremu nacrta.
  5. Test za otkrivanje - U ovoj fazi tražimo ranjivosti i slabe točke i pokušavamo primijeniti manju verziju izviđačkog softvera.
  6. Mjesto ulaska i raspoređivanja - evo dana, dana kada se kompletni paket provodi kroz ulaznu točku koja je izabrana među mnogim drugim slabim mjestima nakon pažljivog pregleda.
  7. Početni napad - Sada je napadač konačno unutar ciljane mreže. Odavde, on treba odlučiti kamo će pronaći i pronaći prvu metu.
  8. Pokrenuta odlazna veza - Jednom kada APT krene u cilj, postavi se, onda pokušava stvoriti tunel kroz koji će se odvijati eksfiltracija podataka.
  9. Širenje pristupa pristupa i vjerodajnica - u ovoj se fazi APT pokušava širiti u mreži i pokušava dobiti što je više moguće pristup bez otkrivanja.
  10. Ojačaj uporište - ovdje pokušavamo potražiti i iskoristiti ostale ranjivosti. Čineći to, haker povećava mogućnost pristupa drugim povišenim pristupnim mjestima. Hakeri također povećavaju mogućnost uspostavljanja više zombija. Zombi je računalo na internetu koje je haker ugrozio.
  11. Exfiltracija podataka - ovo je postupak slanja podataka u bazu hakera. Haker općenito pokušava koristiti resurse tvrtke kako bi šifrirao podatke, a zatim ih poslao svojoj bazi. Hakeri često odvlače pažnju kako bi iskoristili taktike buke kako bi odvratili sigurnosni tim tako da osjetljive informacije mogu biti premještene bez otkrivanja.
  12. Pokrijte tragove i ostanite neotkriveni - Hakeri obavezno uklanjaju sve tragove tijekom napada i nakon što izađu. Pokušavaju ostati što skromniji.

Otkrivanje i sprečavanje napada Apt

Pokušajmo prvo vidjeti preventivne mjere:

  • Osvješćenost i potrebna sigurnosna obuka - Organizacije su svjesne da se većina sigurnosnih kršenja koja se događaju ovih dana dogodi zato što su korisnici učinili nešto što nisu trebali učiniti, možda su namamljeni ili nisu pratili pravilnu sigurnost mjere dok radite bilo što u uredima, poput preuzimanja softvera s loših web mjesta, posjećivanja web stranica s zlonamjernim namjerama, postali su žrtva krađe identiteta i još mnogo toga! Dakle, organizacija bi trebala nastaviti provoditi sesije o sigurnosti i osmisliti svoje zaposlenike o tome kako raditi u zaštićenom okruženju, o rizicima i utjecaju kršenja sigurnosti.
  • Kontrole pristupa (NAC i IAM) - NAC ili mrežne kontrole pristupa imaju različite politike pristupa koje se mogu primijeniti za blokiranje napada. To je zato što ako uređaj ne izvrši neku od provjera sigurnosti, NAC će ga blokirati. Upravljanje identitetom i pristupom (IAM) može pomoći u uklanjanju hakera koji pokušavaju ukrasti našu lozinku i pokušaju provaliti lozinku.
  • Ispitivanje penetracije - Ovo je sjajan način testiranja vaše mreže protiv prodora. Dakle, ovdje sami u organizaciji postaju hakeri koji se često nazivaju etičkim hakerima. Moraju razmišljati poput hakera da bi prodrli u organizacijsku mrežu i to rade! Izlaže postojeće kontrole i ranjivosti koje postoje. Na temelju izloženosti organizacija postavlja potrebne sigurnosne kontrole.
  • Administrativna kontrola - Administrativna i sigurnosna kontrola trebaju biti netaknute. To uključuje redovito krpanje sustava i softvera, uz postavljanje sustava za otkrivanje provale praćenih vatrozidima. IPS koji se nalazi u javnosti (kao što su proxy, web poslužitelji) organizacije trebao bi biti postavljen u DMZ (Demilitarizirana zona) tako da bude odvojen od interne mreže. Čineći to, čak i ako haker dobije kontrolu nad poslužiteljem u DMZ-u, on neće moći pristupiti internim poslužiteljima jer leže na drugoj strani i dio su zasebne mreže.

Sada ćemo razgovarati o detektivskim mjerama

  • Mrežni nadzor - centar za zapovjedništvo i kontrolu (C&C) krila su naprednim upornim prijetnjama za prijenos i odstupanje korisnih i odnosno povjerljivih podataka. Zaraženi domaćin oslanja se na zapovjedni i kontrolni centar za izvršenje sljedeće serije akcija i obično komuniciraju povremeno. Dakle, ako pokušamo otkriti programe, upite imena domena koji se događaju u periodičnom ciklusu, bilo bi vrijedno istražiti te slučajeve.
  • Analiza ponašanja korisnika - uključuje korištenje umjetne inteligencije i rješenja koja će pratiti korisnikove aktivnosti. Očekivanje je - rješenje bi trebalo biti u stanju otkriti bilo koju anomaliju u aktivnostima koje domaćin obavlja.
  • Korištenje tehnologije obmane - ovo služi kao dvostruka korist za organizaciju. Isprva, napadači su namamljeni u lažne poslužitelje i druge resurse čime se štiti izvorna imovina organizacije. Sada organizacija također koristi one lažne servere kako bi naučila metode koje napadači koriste dok napadaju organizaciju, oni uče svoj lanac cyber-ubijanja.

Popravak i reagiranje

Moramo također naučiti postupak reagiranja i popravljanja ako se dogodi bilo koji napredni napad upornih prijetnji (APT). U početku se APT može uhvatiti u svojoj početnoj fazi ako koristimo prave alate i tehnologije, a u njegovoj početnoj fazi utjecaj će biti mnogo manji, jer je glavni motiv APT-a da ostane duže i ostane neotkriven. Nakon otkrivanja trebali bismo pokušati dobiti što više informacija iz sigurnosnih dnevnika, forenzike i drugih alata. Zaraženi sustav treba ponovno prikazati, a trebalo bi osigurati da se ne ukloni prijetnja iz svih zaraženih sustava i mreža. Tada bi organizacija trebala temeljito izvršiti provjeru svih sustava da provjeri je li dostigla više mjesta. Sigurnosnu kontrolu tada treba izmijeniti kako bi se spriječili takvi napadi ili bilo koji slični koji bi se mogli dogoditi u budućnosti.
Ako su napredne uporne prijetnje (APT) provele dane i otkrile su se u mnogo kasnijoj fazi, sustave treba odmah odvesti izvan mreže, odvojiti od svih vrsta mreža, mora se provjeriti i svaka posluživanje datoteka na koje utječe, Tada bi trebalo uraditi potpuno reimaging pogođenih domaćina, treba napraviti dubinsku analizu kako bi se otkrilo lanac cyber ubistava koji je uslijedio. CIRT (tim za odgovor na kibernetičke reakcije) i Cyber ​​forenzika trebali bi biti angažirani u rješavanju svih kršenja podataka koja su se dogodila.

Zaključak

U ovom smo članku vidjeli kako APT napad djeluje i kako možemo spriječiti, otkriti i odgovoriti na takve prijetnje. Trebalo bi steći osnovnu ideju o tipičnom cyber kill lancu koji stoji iza APT napada. Nadam se da ste uživali u udžbeniku.

Preporučeni članci

Ovo je vodič za napredne uporne prijetnje (APT). Ovdje smo raspravljali o uvođenju i karakteristikama i napredovanju naprednih upornih prijetnji, otkrivanju i sprečavanju napada APT-a. Također možete proći kroz naše druge predložene članke da biste saznali više.

  1. Što je WebSocket?
  2. Sigurnost web aplikacija
  3. Izazovi cyber sigurnosti
  4. Vrste web hostinga
  5. Uređaji vatrozida

Kategorija:

Razvoj softvera