Выбрать страницу

Продвинутая постоянная угроза — это тип атаки, при которой хакер или любой неавторизованный пользователь насильственно обращается к системе или сети в течение значительного времени и остается там, не заметив этого.

Расширенные постоянные угрозы (APT) исключительно опасны, особенно для предприятий, поскольку эти хакеры имеют постоянный доступ к строго конфиденциальным данным компании. Основная цель сложных постоянных угроз — не нанести какой-либо ущерб каким-либо локальным машинам или сети, а больше связана с кражей данных.

В этой статье
  • Как работает APT
  • Этапы — это эволюция атак Advanced Persistent Threat (APT)
  • Как определить сложные постоянные угрозы
  • Примеры сложных постоянных угроз
  • Меры безопасности APT
  • Рекомендации по сетевой безопасности

Что такое расширенные меры по устранению устойчивых угроз и как они работают?

Устойчивые расширенные угрозы обычно реализуются поэтапно, что начинается со взлома сети с последующим предотвращением любого обнаружения взлома. Кроме того, хакеры составляют план атаки, в котором они отображают данные компании, чтобы выяснить, где наиболее легко получить доступ к рате. Наконец, они собирают эти конфиденциальные данные и перекачивают их.

Утверждается, что эти угрозы вызывают множество утечек данных, что приводит к большим финансовым последствиям. Его способность оставаться незамеченной некоторыми традиционными мерами безопасности — вот что беспокоит компании. И что еще больше беспокоит компании, хакеры создают более изощренные методы для достижения своих целей, вызывая безудержный рост сложных постоянных угроз.

Постоянные продвинутые угрозы используют различные методы для получения начального доступа к сети; в некоторых случаях злоумышленники могут использовать Интернет для распространения вредоносных программ и получения доступа. Иногда они также вызывают физическое заражение вредоносным ПО или внешнюю эксплуатацию, чтобы проникнуть в защищенную сеть.

По сравнению со многими традиционными угрозами, такими как вирусы и вредоносные программы, которые постоянно демонстрируют одно и то же поведение, постоянные расширенные угрозы каждый раз сильно отличаются. Для сложных постоянных угроз нет широкого или универсального подхода.

Напротив, это тщательно спланированные угрозы с четко определенной целью — нацеливаться на конкретную организацию. Таким образом, сложные постоянные угрозы чрезвычайно индивидуализированы и очень изощренно разработаны, чтобы избежать существующих мер безопасности в компании.

Чаще хакеры использовали доверенные соединения для получения первоначального входа. Это означает, что хакеры могут получить доступ через учетные данные сотрудников или деловых партнеров, которые снова становятся доступными с помощью фишинговых атак. Используя эти учетные данные, злоумышленники могут оставаться незамеченными в системе в течение длительного времени, достаточного для того, чтобы составить карту систем и данных организации и подготовить план атаки для истощения данных компании.

С точки зрения успеха устойчивых современных угроз вредоносное ПО является критически важным компонентом. После взлома конкретной сети вредоносное ПО может легко скрыться от некоторых стандартных навигационных систем, перейти от одной системы к другой, начать сбор данных и отслеживать сетевую активность.

Другой ключевой аспект — способность этих хакеров работать удаленно и удаленно контролировать эти сложные постоянные угрозы. Это дает хакерам возможность перемещаться по сети компании в поисках важных данных, получать доступ к информации, а затем запускать перекачку этих данных.

Пять этапов развивающейся расширенной стойкой атаки

Атака повышенной постоянной угрозы может проводиться в пять различных этапов, таких как:

  • Этап 1: получить доступ

    Здесь хакеры или хактивисты получают первоначальный доступ к сети одним из трех способов. Либо через веб-системы, сети или людей. Они ищут уязвимости приложений и загружают вредоносные файлы.

  • Этап 2: создание точки опоры

    После получения начального доступа хакеры взламывают введенную систему, создавая троян-бэкдор, который замаскирован, чтобы он выглядел как законное программное обеспечение. Таким образом они могут получить доступ к сети и удаленно управлять введенной системой.

  • Этап 3: Углубление доступа

    После того, как они закрепятся, злоумышленники собирают дополнительную информацию о сети. Они пытаются атаковать с применением силы и обнаруживают уязвимости в сети, через которые они могут получить более глубокий доступ и тем самым контролировать дополнительные системы.

  • Этап 4: двигаться в сторону

    Оказавшись глубоко внутри сети, эти злоумышленники создают дополнительные бэкдор-каналы, которые дают им возможность перемещаться по сети и получать доступ к данным по мере необходимости.

  • Этап 5: Смотри, учись и оставайся

    Как только они начнут перемещаться по сети, они начнут собирать данные и готовиться к их передаче за пределы системы — так называемой эксфильтрации. Они создадут отклонение в виде DDoS-атаки, в то время как злоумышленники перекачивают данные. Если APT-атака не была обнаружена, злоумышленники останутся в сети и будут искать возможности для новой атаки.

( Читайте также: Что такое облачная безопасность? )

Как обнаружить расширенную постоянную угрозу?

Постоянные продвинутые угрозы в силу своей природы обнаружить нелегко. Фактически, эти угрозы зависят от их способности оставаться незамеченными при выполнении своей задачи. Однако есть некоторые индикаторы, с которыми может столкнуться ваша компания, которые можно рассматривать как ранние предупреждающие знаки:

  • Увеличение количества входов в систему поздно ночью или когда сотрудники не выходят в сеть.
  • Когда вы замечаете масштабных троянов-бэкдоров. Обычно они используются хакерами, которые используют сложные постоянные угрозы, чтобы гарантировать, что они могут сохранить доступ к сети.
  • Вам следует искать внезапный и большой поток данных от внутренних источников к внутренним и внешним машинам.
  • Ознакомьтесь с пакетами данных. Это обычно используется злоумышленниками, которые планируют сложные постоянные угрозы, поскольку они собирают данные внутри сети до того, как хакеры переместят данные за пределы сети.
  • Выявление атак методом передачи хэша. Обычно они нацелены на хранилище с передачей хэша или память, в которой хранятся данные пароля. Доступ к нему даст возможность создавать новые сеансы аутентификации. Хотя это может не быть серьезной постоянной угрозой, во всех случаях выявление такого состояния подлежит дальнейшему расследованию.

То, что ранее считалось целью только для крупных организаций, постоянные угрозы повышенной сложности также не проникают в компании малого и среднего бизнеса. Поскольку эти хакеры используют изощренные методы атак, организации, независимо от их размера, должны применять надежные меры безопасности для решения этой проблемы.

Каковы некоторые из примеров расширенных постоянных угроз?

Компании по кибербезопасности, такие как Crowdstrike (1), отслеживают более 150 таких неблагоприятных ситуаций по всему миру; в том числе хакерских активистов и электронных преступников. У них действительно есть метод использования имен актеров и животных, связанных с регионом.

Например, BEAR относится к России, PANDA относится к Китаю, KITTEN — к Ирану, а SPIDER — это электронное преступление, которое не ограничивается регионом. Вот несколько примеров сложных постоянных угроз, которые обнаруживает Crowdstrike.

  1. АП 27 (ГОБЛИН ПАНДА)

    Впервые это было обнаружено в 2013 году, когда хакеры атаковали сеть крупной технологической компании, ведущей бизнес в нескольких секторах.

  2. APT28 (НЕВЕРОЯТНЫЙ МЕДВЕДЬ)

    Эта конкретная продвинутая постоянная угроза использует подделки веб-сайтов и фишинговые сообщения, которые фактически аналогичны легитимным, для получения доступа к таким устройствам, как компьютеры и мобильные телефоны.

  3. APT32 (Океанский буйвол)

    Этот злоумышленник базируется из Вьетнама и действует с 2012 года. Эта продвинутая постоянная угроза использует комбинацию готовых инструментов и распространение вредоносного ПО через стратегический веб-компромисс, также известный как SWC.

Помимо упомянутых выше, которые были обнаружены Crowstrike, есть и другие примеры сложных постоянных угроз, таких как:

  • Ghostnet: Он базируется в Китае, где атаки планировались и осуществлялись с помощью фишинговых писем, содержащих вредоносное ПО. Группа нацелена на устройства более чем в 100 странах.
  • Stuxnet: Это вредоносное ПО, которое в первую очередь нацелено на системы SCADA (тяжелые промышленные приложения), о чем свидетельствует его успешное проникновение в машины, используемые в иранской ядерной программе.
  • Сикипот: Это тип вредоносного ПО, которое в основном атакует смарт-карты.

Меры безопасности APT

Понятно, что продвинутая постоянная угроза — это многогранная атака, и необходимо принять несколько мер безопасности в виде инструментов и методов.

  • Мониторинг трафика: Это позволит компаниям выявлять проникновения, любые боковые перемещения и кражу данных.
  • Внесение в белый список приложений и доменов: Убедитесь, что известные и заслуживающие доверия домены и приложения внесены в белый список.
  • Контроль доступа: Необходимо настроить строгие протоколы аутентификации и управление учетными записями пользователей. Если есть привилегированные учетные записи, им нужно уделить особое внимание.

Меры передовой практики, которые следует предпринять при защите вашей сети.

Суровая реальность продвинутых постоянных угроз заключается в том, что не существует единого решения, которое было бы на 100% эффективным. Поэтому мы рассмотрим некоторые из лучших практик защиты от APT.

  • Установите брандмауэр:

    Важно выбрать правильную структуру межсетевого экрана, которая будет действовать как первый уровень защиты от сложных постоянных угроз.

  • Активируйте брандмауэр веб-приложения:

    Это может быть полезно, поскольку предотвращает атаки из Интернета / веб-приложений, особенно использующих HTTP-трафик.

  • Антивирус:

    У вас должен быть новейший антивирус, который может обнаруживать и предотвращать такие программы, как вредоносные программы, трояны и вирусы.

  • Системы предотвращения вторжений:

    Важно иметь системы предотвращения вторжений (IPS), поскольку они работают как служба безопасности, отслеживая вашу сеть на предмет любого вредоносного кода и немедленно уведомляя вас.

  • Создайте среду песочницы:

    Это будет полезно для проверки любых подозрительных скриптов или кодов, не нанося ущерба действующей системе.

  • Настройте VPN:

    Это гарантирует, что хакеры APT не получат легкий доступ к вашей сети.

  • Настройте защиту электронной почты:

    Поскольку электронные письма являются одним из наиболее часто используемых приложений, они также уязвимы. Следовательно, активируйте защиту от спама и вредоносных программ для своих писем.

Последние мысли

Постоянные продвинутые угрозы постоянно стучатся в дверь, и им достаточно одного небольшого отверстия в вашей сети, чтобы нанести крупномасштабный ущерб. Да, эти атаки невозможно обнаружить, но при наличии надлежащих мер компании могут проявлять бдительность, чтобы избежать любых неприятностей, связанных с этими атаками. Следование передовым практикам и установка мер безопасности приведет к эффективному предотвращению таких атак.

Другие полезные ресурсы:

Пять советов и стратегий по предотвращению киберугроз

10 способов предотвратить инсайдерские угрозы

Киберугрозы, с которыми нужно бороться в 2021 году

Важность кибербезопасности в бизнесе

Поделитесь записью в соц.сети :)