Johdanto edistyneisiin pysyviin uhkiin (APT)

Pitkälle edenneet jatkuvat uhat ovat kohdennettuja hyökkäyksiä, jotka ovat sen luojat (hakkerit) toteuttamia pitkäaikaisia ​​toimituksia toimittamalla hyökkäyksen hyötykuorma hienostuneilla menetelmillä (ts. Ohittamalla perinteiset päätepisteiden suojausratkaisut), joka sitten suorittaa salaa suunnitellut toimenpiteensä (kuten tiedon varastaminen) ilman havaitaan.
Yleensä tällaisten hyökkäysten kohde valitaan erittäin huolellisesti ja ensin suoritetaan huolellinen tiedustelu. Tällaisten hyökkäysten kohteena ovat yleensä suuret yritykset, hallitusten organisaatiot, usein hallitustenväliset luovat kilpailijansa ja käynnistävät sellaisia ​​hyökkäyksiä toisiaan vastaan ​​ja minua erittäin arkaluontoisten tietojen kanssa.

Joitakin esimerkkejä edistyneistä jatkuvista uhista ovat:

  • Titan sade (2003)
  • GhostNet (2009) -Stuxnet (2010), joka melkein lopetti Iranin ydinohjelman
  • tursas
  • Syvä Panda (2015)

Pitkälle edenneiden pitkälle menevien uhkien ominaisuudet ja eteneminen

APT eroaa perinteisistä uhista monin eri tavoin:

  • He käyttävät kehittyneitä ja monimutkaisia ​​menetelmiä päästäkseen verkkoon.
  • Niitä ei havaita paljon pidemmän aikaa, kun taas perinteinen uhka voidaan vain havaita verkossa tai päätepisteiden suojaustasolla tai vaikka he menestyisivät ja ohittaisivat päätepisteratkaisut, säännöllinen haavoittuvuustarkistus ja jatkuva seuranta kaappaavat uhat, kun taas jatkuvat uhat vain ohittavat kaikki turvatasot ja lopulta tekevät tiensä isäntille ja pysyvät siellä pidemmän aikaa ja suorittavat operaationsa.
  • APT: t ovat kohdennettuja hyökkäyksiä, kun taas perinteiset hyökkäykset voivat / eivät ole kohdistettuja.
  • Niiden tavoitteena on myös soluttautua koko verkkoon.

Pitkälle edenneiden pitkäaikaisten uhkien eteneminen

  1. Kohteen valitseminen ja määritteleminen - Kohde tulisi määritellä, ts. Minkä organisaation tulee olla hyökkääjän uhri. Tätä varten hyökkääjä kerää ensin mahdollisimman paljon tietoa jalanjäljen ja tiedustelujen avulla.
  2. Etsi ja järjestä osallistujia - APT sisältää edistyksellisiä ja hienostuneita tekniikoita, joita käytetään hyökkäämiseen, ja suurimman osan ajasta ATP: n takana oleva hyökkääjä ei ole yksin. Joten, toinen olisi löytää ”rikoskumppani”, jolla on kyseinen taitotaso kehittää hienostuneita tekniikoita APT-hyökkäysten toteuttamiseksi.
  3. Rakenna ja / tai hanki tietullit - APT-hyökkäysten suorittamiseksi on valittava oikeat työkalut. Työkalut voidaan myös rakentaa APT: n luomiseksi.
  4. Tutkimus ja tiedonkeruu - Ennen APT-hyökkäyksen suorittamista hyökkääjä yrittää kerätä mahdollisimman paljon tietoa luodakseen suunnitelman olemassa olevasta IT-järjestelmästä. Esimerkki tiedonkeruusta voisi olla verkon topologia, DNS- ja DHCP-palvelimet, DMZ (vyöhykkeet), sisäiset IP-alueet, verkkopalvelimet jne. On syytä huomata, että kohteen määrittäminen voi viedä hetken koon vuoksi organisaation. Mitä suurempi organisaatio on, sitä enemmän aikaa suunnitelman laatimiseen vie.
  5. Detection Test - Tässä vaiheessa etsimme haavoittuvuuksia ja heikkoja kohtia ja yritämme ottaa käyttöön tiedusteluohjelmiston pienemmän version.
  6. Saapumis- ja käyttöönottopaikka - Tässä tulee päivä, päivä, jolloin koko tuotepaketti otetaan käyttöön tulopisteen kautta, joka valittiin monien muiden heikkojen kohtien joukosta huolellisen tarkastuksen jälkeen.
  7. Alkuperäinen tunkeutuminen - Nyt hyökkääjä on vihdoin kohdeverkon sisällä. Tästä eteenpäin hänen on päätettävä, minne mennä ja löytää ensimmäinen kohde.
  8. Lähtevä yhteys aloitettu - Kun APT menee kohteeseen, asettaa itsensä, se yrittää sitten luoda tunnelin, jonka läpi datan suodatus tapahtuu.
  9. Käyttöoikeuksien ja käyttöoikeuksien hakun laajentaminen - Tässä vaiheessa APT yrittää levittää itsensä verkossa ja yrittää saada mahdollisimman paljon pääsyä ilman, että sitä havaitaan.
  10. Vahvista jalansijaa - Täällä yritämme etsiä ja hyödyntää muita haavoittuvuuksia. Näin tekemällä hakkeri lisää mahdollisuuksia päästä muihin kohonneisiin pääsypaikkoihin. Hakkerit lisäävät myös mahdollisuutta perustaa enemmän zombeja. Zombie on Internetissä oleva tietokone, jonka hakkeri on vaarannut.
  11. Tietojen suodatus - Tämä on prosessi, jonka avulla tiedot lähetetään hakkeritukille. Hakkerit yrittävät yleensä käyttää yrityksen resursseja tietojen salaamiseen ja lähettää sitten tietokantaansa. Usein häiritäkseen hakkerit hyödyntävät melutaktiikoita kiinnittääkseen huomiota turvallisuusryhmään, jotta arkaluontoiset tiedot voidaan siirtää pois ilman, että niitä havaitaan.
  12. Peitä jäljet ​​ja pysy tuntemattomina - Hakkerit muista puhdistaa kaikki jäljet ​​hyökkäysprosessin aikana ja heti kun ne poistuvat. He yrittävät pysyä niin salamielisinä kuin mahdollista.

Apt-hyökkäysten havaitseminen ja estäminen

Yritämme ensin nähdä ennaltaehkäisevät toimenpiteet:

  • Tietoisuus ja vaadittu turvallisuuskoulutus - Organisaatiot ovat hyvin tietoisia siitä, että suurin osa nykyään tapahtuvista tietoturvaloukkauksista johtuu siitä, että käyttäjät ovat tehneet jotain, jota ei olisi pitänyt tehdä, ehkä heitä on houkutettu tai he eivät ole noudattaneet asianmukaista turvallisuutta mittaa tekeessään mitä tahansa toimistoissa, kuten esimerkiksi lataamalla ohjelmistoja huonoilta sivustoilta, käymällä sivustoilla, joilla on haitallisia aikomuksia, joutuneet tietojenkalastelun uhreiksi ja monelle muulle! Joten organisaation tulisi jatkaa tietoturvaistuntojen järjestämistä ja saada työntekijänsä työskentelemään suojatussa ympäristössä, tietoturvaloukkauksien riskeistä ja vaikutuksista.
  • Käyttöoikeuksien hallinta (NAC ja IAM) - NAC: n tai verkon käyttöoikeuksien hallintalaitteissa on erilaisia ​​käyttöoikeuskäytäntöjä, jotka voidaan toteuttaa hyökkäysten estämiseksi. Se johtuu siitä, että jos laite epäonnistuu jollakin turvatarkastuksesta, NAC estää sen. Henkilöllisyyden ja pääsyn hallinta (IAM) voi auttaa pitämään hakkerit poissa, jotka yrittävät varastaa salasanamme, yrittää murtaa salasanan.
  • Läpäisytestaus - tämä on yksi hieno tapa testata verkkoasi leviämistä vastaan. Joten, täällä organisaation ihmisistä itsestään tulee hakkereita, joita usein kutsutaan eettisiksi hakkereiksi. Heidän on ajateltava kuin hakkeri tunkeutua organisaatioverkkoon ja he tekevätkin! Paljastaa olemassa olevat ohjaukset ja heikkoudet. Altistumisen perusteella organisaatio asettaa vaadittavat turvatarkistukset.
  • Hallinnolliset valvontatoimet - Hallinnollisen ja turvallisuusvalvonnan tulee olla ehjä. Tähän sisältyy järjestelmien ja ohjelmistojen säännöllinen korjaaminen, ja tunkeutumisen havaitsemisjärjestelmät on asennettu palomuurien mukana. Organisaation julkinen IPS (kuten välityspalvelin, verkkopalvelimet) tulisi sijoittaa DMZ: hen (demilitarisoitu alue) siten, että se on erotettu sisäisestä verkosta. Vaikka hakkeri saa hallinnan palvelimeen DMZ: ssä, hän ei pääse sisäisiin palvelimiin, koska ne sijaitsevat toisella puolella ja ovat osa erillistä verkkoa.

Nyt puhumme etsivätoimenpiteistä

  • Verkonvalvonta - Command and Control (C&C) -keskus ovat edistyneiden pysyvien uhkien siipit hyötykuormien ja vastaavasti luottamuksellisen tiedon siirtämiseksi ja suorittamiseksi. Tartunnan saanut isäntä luottaa komento- ja hallintakeskukseen seuraavan toimintasarjan suorittamiseksi, ja yleensä he kommunikoivat säännöllisesti. Joten jos yritämme havaita jaksottaisia ​​ohjelmia, verkkotunnusten kyselyjä, kannattaa tutkia kyseiset tapaukset.
  • Käyttäjäkäyttäytymisanalyysi - Tähän sisältyy tekoälyn ja ratkaisujen käyttö, jotka seuraavat käyttäjän toimintaa. Odotuksena on, että ratkaisun pitäisi pystyä havaitsemaan poikkeavuudet isännän tekemässä toiminnassa.
  • Petostekniikan käyttö - tämä on kaksinkertainen etu organisaatiolle. Aluksi hyökkääjät houkutellaan väärennettyihin palvelimiin ja muihin resursseihin, mikä suojaa organisaation alkuperäistä omaisuutta. Nyt organisaatio käyttää näitä vääriä palvelimia myös oppimaan menetelmiä, joita hyökkääjät käyttävät hyökkääessään organisaatioon ja oppiakseen tietoverkkotapausketjunsa.

Korjaus ja vastaus

Meidän on myös opittava reagointi- ja korjausmenettelyistä, jos APT-hyökkäyksiä tapahtuu. Aluksi APT saattaa jäädä alkuvaiheeseensa, jos käytämme oikeita työkaluja ja tekniikoita, ja sen alkuvaiheessa vaikutus on paljon vähemmän, koska APT: n päämäärä on pysyä pidempään ja jäädä huomaamatta. Kun havaitsemme, meidän pitäisi yrittää saada niin paljon tietoja suojauslokeista, oikeuslääketieteestä ja muista työkaluista. Tartunnan saanut järjestelmä on kuvattava uudelleen, ja tulisi varmistaa, että kaikista tartunnan saaneista järjestelmistä ja verkoista ei poisteta uhkia. Sitten organisaation tulee suorittaa perusteellinen tarkistus kaikille järjestelmille varmistaakseen, onko järjestelmä saavuttanut enemmän paikkoja. Turvaohjausta tulisi sitten muuttaa, jotta estetään tällaiset hyökkäykset tai vastaavat, joita voi tapahtua tulevaisuudessa.
Nyt, jos edistykselliset pysyvät uhat (APT) ovat viettäneet päiviä ja se on havaittu paljon myöhemmässä vaiheessa, järjestelmät olisi välittömästi siirrettävä offline-tilaan, erotettu kaikenlaisista verkoista, myös kaikki tiedostopalvelut, joihin vaikutukset kohdistuvat, on tarkistettava. . Sitten tulisi tehdä täydelliset uudelleenkuvaukset kärsivistä isäntäkohdista, syvä analyysi tulisi suorittaa paljastetun seuranneen tietoverkkotappiketjun paljastamiseksi. CIRT: n (cyber Incident Response Team) ja tietoverkkotutkimuksen tulisi olla mukana kaikissa tapahtuneissa tietorikkomuksissa.

johtopäätös

Tässä artikkelissa olemme nähneet, kuinka APT-hyökkäys toimii ja kuinka voimme estää, havaita ja torjua tällaisia ​​uhkia. Yksi pitäisi saada perusidea tyypillisestä kybertappiketjuista, joka on mukana APT-hyökkäysten takana. Toivottavasti nautit opetusohjelmasta.

Suositellut artikkelit

Tämä on opas edistyneisiin pysyviin uhkiin (APT). Tässä keskustellaan edistyneiden pysyvien uhkien johdannosta ja ominaisuuksista sekä etenemisestä, APT-hyökkäysten havainnoinnista ja estämisestä. Voit myös käydä läpi muiden ehdotettujen artikkeleidemme saadaksesi lisätietoja.

  1. Mikä on WebSocket?
  2. Verkkosovellusten suojaus
  3. Kyberturvallisuuden haasteet
  4. Tyypit Web-hosting
  5. Palomuurilaitteet

Luokka:

Ohjelmistokehitys