Вступ до передових стійких загроз (APT)

Попередні стійкі загрози - це цілеспрямовані атаки, які є довготривалими операціями, що здійснюються її творцями (хакерами), доставляючи корисну навантаження атаки за допомогою складних методів (тобто обхід традиційних рішень захисту кінцевих точок), які потім таємно виконує намічені дії (наприклад, крадіжка інформації) без виявлені.
Зазвичай ціль таких атак вибирається дуже ретельно і спочатку проводиться ретельна розвідка. Об'єктом таких атак зазвичай є великі підприємства, урядова організація, часто міждержавні створюють конкурентів і запускають такі атаки один на одного і видобувають високочутливу інформацію.

Деякі приклади вдосконалених постійних загроз:

  • Дощовий титан (2003)
  • GhostNet (2009) -Stuxnet (2010), який майже зняв ядерну програму Ірану
  • Гідра
  • Deep Panda (2015)

Характеристика та прогресування передових стійких загроз

APT відрізняються від традиційних загроз багатьма різними способами:

  • Вони використовують складні та складні методи для проникнення в мережу.
  • Вони залишаються невиявленими протягом набагато більш тривалого часу, тоді як традиційна загроза може бути просто виявлена ​​в мережі або на рівні захисту кінцевих точок або навіть якщо їм пощастить і пройти рішення кінцевих точок, регулярна перевірка вразливості та постійний моніторинг сприйматимуть загроза, тоді як попередні стійкі загрози просто проходять повз усі шари безпеки і, нарешті, пробиваються до господарів, і вони залишаються там довший період часу і здійснюють свою операцію.
  • APT - це цілеспрямовані атаки, тоді як традиційні напади можуть / не можуть бути націленими.
  • Вони також спрямовані на проникнення всієї мережі.

Прогресування передових стійких загроз

  1. Вибір та визначення цілі - слід визначити ціль, тобто яка організація повинна стати жертвою зловмисника. Для цього зловмисник спочатку збирає якомога більше інформації за допомогою сліду та розвідки.
  2. Знайдіть і впорядкуйте співучасників - APT передбачає вдосконалені як складні методи, які використовуються для нападу, і більшість часу нападник позаду ATP не один. Отже, другим було б знайти "партнера у злочині", який має цей рівень кваліфікації, щоб розробити складні прийоми здійснення нападів АПТ.
  3. Побудувати та / або придбати тарифи - щоб здійснити атаки APT, потрібно вибрати правильні інструменти. Інструменти також можуть бути створені для створення APT.
  4. Розвідувально-інформаційний збір - Перш ніж здійснити атаку APT, зловмисник намагається зібрати якомога більше інформації, щоб створити план існуючої ІТ-системи. Прикладом збору інформації може бути топологія мережі, DNS та DHCP-сервери, DMZ (зони), внутрішні діапазони IP, веб-сервери тощо. Варто зазначити, що визначення цілі може зайняти деякий час, враховуючи розмір організації. Чим більша організація, тим більше часу знадобиться для підготовки креслення.
  5. Тест на виявлення - У цій фазі ми шукаємо вразливості та слабкі місця та намагаємось розгорнути меншу версію програмного забезпечення для розвідки.
  6. Пункт в'їзду та розміщення - Ось настає день, день, коли повний набір розгортається через пункт входу, який був обраний серед багатьох інших слабких місць після ретельного огляду.
  7. Первісне вторгнення - тепер зловмисник, нарешті, знаходиться всередині цільової мережі. Звідси йому потрібно вирішити, куди йти і знайти першу ціль.
  8. Початкове вихідне з'єднання - Після того, як APT переходить до цілі, встановлює себе, він намагається створити тунель, через який буде відбуватися ексфільтрація даних.
  9. Розширення пошуку та доступу до облікових даних - на цій фазі APT намагається поширитись у мережі та намагається отримати якомога більше доступу, не виявляючи їх.
  10. Зміцнення стоп - тут ми намагаємося шукати та використовувати інші вразливості. Тим самим хакер збільшує шанс отримати доступ до інших підвищених місць доступу. Хакери також збільшують шанс встановити більше зомбі. Зомбі - це комп'ютер в Інтернеті, який зламав хакер.
  11. Ексфільтрація даних - це процес надсилання даних на базу хакера. Хакер, як правило, намагається використовувати ресурси компанії для шифрування даних та надсилання їх на їх базу. Часто для відволікання хакери використовують тактику шуму, щоб відволікати команду безпеки, щоб конфіденційну інформацію можна було перемістити без виявлення.
  12. Покрийте сліди та залиште невиявленими - хакери обов'язково очищають усі сліди під час атаки та після виходу з них. Вони намагаються залишатися максимально прихованими.

Виявлення та запобігання атакам Apt

Спробуємо спочатку розглянути заходи профілактики:

  • Поінформованість та необхідне навчання з питань безпеки . Організації добре розуміють, що більшість порушень безпеки, що трапляються в ці дні, трапляються тому, що користувачі зробили щось, чого не слід було робити, можливо, їх заманювали або вони не дотримувались належної безпеки заходи, роблячи що-небудь в офісах, такі як завантаження програмного забезпечення з поганих сайтів, відвідування сайтів із шкідливим наміром, стали жертвою фішингу та багато іншого! Таким чином, організація повинна продовжувати проводити сесії з питань безпеки та робити своїх співробітників щодо того, як робити роботу в захищеному середовищі, щодо ризиків та наслідків порушень безпеки.
  • Контроль доступу (NAC та IAM) - контролі доступу NAC або мережевого доступу мають різні політики доступу, які можна реалізувати для блокування атак. Це тому, що якщо пристрій не виконає жодної перевірки безпеки, його буде заблоковано NAC. Управління ідентифікацією та доступом (IAM) може допомогти уникнути хакерів, хто намагається вкрасти наш пароль, намагаючись зламати пароль.
  • Тестування на проникнення - це один чудовий спосіб перевірити вашу мережу на проникнення. Отже, тут люди з організації стають самими хакерами, яких часто називають етичними хакерами. Вони повинні думати, як хакер, щоб проникнути всередину організаційної мережі, і вони це роблять! Розкриває наявні елементи управління та вразливості. На основі експозиції організація ставить необхідний контроль безпеки.
  • Адміністративний контроль - Адміністративний та контроль безпеки повинні бути неушкодженими. Це передбачає регулярне виправлення систем та програмного забезпечення, встановлення систем виявлення вторгнень, що супроводжуються брандмауерами. Загальнодоступні IPS організації (такі як проксі, веб-сервери) повинні розміщуватися в DMZ (Демілітаризована зона), щоб вона була відокремлена від внутрішньої мережі. Роблячи це, навіть якщо хакер здобуде контроль над сервером у DMZ, він не зможе отримати доступ до внутрішніх серверів, оскільки вони лежать з іншого боку і є частиною окремої мережі.

Тепер ми поговоримо про детективні заходи

  • Мережевий моніторинг - Центр управління та управління (C&C) - це крила для Advanced Advanced Persistent Threat для отримання та вивантаження корисних навантажень та конфіденційних даних відповідно. Інфікований хост покладається на командно-контрольний центр для виконання наступної серії дій, і вони, як правило, періодично спілкуються. Отже, якщо ми спробуємо виявити програми, запити доменних імен, які відбуваються в періодичному циклі, варто було б дослідити ці випадки.
  • Аналіз поведінки користувачів - це передбачає використання штучного інтелекту та рішень, які будуть стежити за активністю користувача. Очікування - рішення повинно бути в змозі виявити будь-яку аномалію в діяльності, якою займається господар.
  • Використання технології обману - це служить подвійною вигодою для організації. Спочатку зловмисників переманюють на підроблені сервери та інші ресурси, тим самим захищаючи первісні активи організації. Тепер організація також використовує ці підроблені сервери, щоб дізнатися методи, якими зловмисники користуються, коли вони атакують організацію, вони вивчають свій ланцюжок кібер-убивств.

Ремонт та реагування

Ми також повинні вивчити процедуру реагування та відновлення, якщо трапляються будь-які атаки Advanced Traistent Threats (APT). Спочатку APT може потрапити на початкову фазу, якщо ми будемо використовувати правильні інструменти та технології, а на його початковій фазі вплив буде набагато меншим, оскільки головний мотив APT полягає в тому, щоб залишатися довше і залишатись невиявленими. Після виявлення ми повинні спробувати отримати якомога більше інформації з журналів безпеки, криміналістики та інших інструментів. Заражену систему необхідно переробити, і слід переконатися, що жодна загроза не видаляється з усіх заражених систем та мереж. Тоді організація повинна ретельно провести перевірку всіх систем, щоб перевірити, чи не досягло вона більше місць. Потім контроль безпеки слід змінити, щоб запобігти подібним атакам або будь-яким подібним, які можуть статися в майбутньому.
Тепер, якщо просунуті постійні загрози (APT) витратили дні, і вони були виявлені на набагато пізнішому етапі, системи слід негайно відключити в автономний режим, відокремити від усіх видів мереж, також слід перевірити будь-які файли, на які постраждали. . Тоді слід провести повне перемальовування уражених господарів, слід провести глибокий аналіз, щоб виявити ланцюжок кібер-убивств, за яким слідували. CIRT (Команда реагування на кіберінциденти) та Cyber ​​Forensics повинні брати участь у вирішенні всіх порушень даних, що трапилися.

Висновок

У цій статті ми побачили, як працює атака APT і як ми можемо запобігти, виявити та реагувати на такі загрози. Слід отримати базове уявлення про типовий ланцюжок кібер-убивств, який бере участь у атаках APT. Сподіваюся, вам сподобався підручник.

Рекомендовані статті

Це посібник із розширеними стійкими загрозами (APT). Тут ми обговорюємо вступ та Характеристики та Прогресування вдосконалених постійних загроз, виявлення та попередження атак APT. Ви також можете ознайомитися з іншими запропонованими нами статтями, щоб дізнатися більше.

  1. Що таке WebSocket?
  2. Безпека веб-додатків
  3. Виклики кібербезпеки
  4. Види веб-хостингу
  5. Пристрої брандмауера

Категорія:

Розробка програмного забезпечення