Uvod v napredne nevarne nevarnosti (APT)

Napredna trdovratna nevarnost je ciljno usmerjena napada, ki so dolgoročne operacije, ki jih izvajajo njeni ustvarjalci (hekerji), tako da s prefinjenimi metodami (tj. S prehodom tradicionalnih rešitev za zaščito končnih točk) izvedejo koristno obremenitev napada, ki nato na skrivaj izvede načrtovana dejanja (npr. Krajo informacij) odkrit.
Običajno je cilj takih napadov zelo skrbno izbran in najprej se izvede skrbno izvidništvo. Cilji takšnih napadov so ponavadi velika podjetja, vladne organizacije, medvladne organizacije pogosto ustvarijo tekmece in sprožijo takšne napade drug na drugega ter minejo zelo občutljive informacije.

Nekaj ​​primerov naprednih stalnih groženj je:

  • Titan dež (2003)
  • GhostNet (2009) -Stuxnet (2010), ki je skoraj uničil iranski jedrski program
  • Hydra
  • Globoka panda (2015)

Značilnosti in napredovanje naprednih trajnih groženj

APT se od tradicionalnih groženj razlikuje na več različnih načinov:

  • Za prodor v omrežje uporabljajo prefinjene in zapletene metode.
  • Ostanejo neodkrite veliko daljše časovno obdobje, medtem ko se tradicionalna grožnja morda le odkrije v omrežju ali na ravni zaščite končne točke ali celo, če dobijo srečo in preidejo skozi rešitve končnih točk, bo redno preverjanje ranljivosti in nenehno spremljanje ujelo grožnja, medtem ko vnaprej vztrajne grožnje samo preidejo vse plasti varnosti in se končno znajdejo pred gostitelji in tam ostanejo dlje časa in izvajajo svoje delovanje.
  • APT so usmerjeni napadi, medtem ko tradicionalni napadi lahko / ne smejo biti ciljni.
  • Njihov cilj je tudi infiltriranje v celotno mrežo.

Napredek naprednih vztrajnih groženj

  1. Izbira in definiranje cilja - Določiti je treba cilj, tj. Katera organizacija naj bo žrtev napadalca. Za to napadalec najprej zbere čim več informacij s pomočjo odtisa in izvidov.
  2. Najdi in organiziraj sostorilce - APT vključuje napredne kot prefinjene tehnike, ki se uporabljajo za napad in večino časa napadalec za ATP ni sam. Torej, drugo bi bilo najti "partnerja v zločinu", ki bi imel to raven spretnosti, da bi razvil prefinjene tehnike izvajanja napadov APT.
  3. Zgraditi in / ali pridobiti cestnino - za izvedbo napadov APT je treba izbrati prava orodja. Orodja je mogoče sestaviti tudi za izdelavo APT-ja.
  4. Rekonvansacijsko in informacijsko zbiranje - Preden izvede napad APT, napadalec poskuša zbrati čim več informacij, da ustvari načrt obstoječega informacijskega sistema. Primer zbiranja informacij je lahko topologija omrežja, strežniki DNS in DHCP, DMZ (cone), notranji obseg IP, spletni strežniki itd. Opozoriti je treba, da določitev cilja lahko traja nekaj časa glede na velikost organizacije. Večja kot je organizacija, več časa bo potrebnega za pripravo osnutka.
  5. Preizkus zaznavanja - v tej fazi iščemo ranljivosti in šibke točke ter poskušamo uvesti manjšo različico izvidniške programske opreme.
  6. Točka vstopa in razmestitve - tu prihaja dan, dan, ko se celoten paket razporedi skozi vstopno točko, ki je bila po skrbnem pregledu izbrana med številnimi drugimi šibkimi točkami.
  7. Začetni vdor - Zdaj je napadalec končno znotraj ciljne mreže. Od tu se mora odločiti, kam naprej in poiskati prvo tarčo.
  8. Začeta je izhodna povezava - Ko APT doseže cilj, se postavi, nato poskuša ustvariti predor, skozi katerega bo potekala eksfiltracija podatkov.
  9. Razširitev iskanja in dostopa do poverilnic - v tej fazi se APT poskuša širiti v omrežju in poskuša pridobiti čim več dostopa, ne da bi ga zaznali.
  10. Okrepi oporo - Tu poskušamo iskati in izkoriščati druge ranljivosti. S tem heker povečuje možnost dostopa do drugih povišanih dostopnih lokacij. Hekerji povečujejo tudi možnost vzpostavitve več zombijev. Zombi je računalnik v internetu, ki ga je ogrožal heker.
  11. Razčiščevanje podatkov - to je postopek pošiljanja podatkov v bazo hekerja. Hacker običajno s sredstvi podjetja skuša šifrirati podatke in jih nato poslati v svojo bazo. Hekerji pogosto izkoristijo taktiko hrupa, da odvrnejo varnostno skupino, tako da lahko občutljive informacije premaknejo, ne da bi jih odkrili.
  12. Pokrijte sledove in ostanejo neodkrite - hekerji poskrbijo, da bodo izbrisali vse sledi med napadom in ko izstopijo. Trudijo se ostati čim bolj prikrito.

Zaznavanje in preprečevanje napadov Apt

Naj se najprej preizkusimo v preventivnih ukrepih:

  • Ozaveščenost in zahtevano varnostno usposabljanje - Organizacije se dobro zavedajo, da se večina kršitev varnosti, ki se dogajajo v teh dneh, zgodi, ker so uporabniki storili nekaj, česar ne bi smeli storiti, morda so bili zapeljani ali pa niso sledili ustrezni varnosti ukrepi, medtem ko počnete kar koli v pisarnah, kot je nalaganje programske opreme s slabih spletnih mest, obiskovanje spletnih mest, ki imajo zlonamerne namene, postala žrtev lažnega predstavljanja in še marsikaj drugega! Torej bi morala organizacija stalno izvajati seje ozaveščanja o varnosti in njihove zaposlene o tem, kako delati v varnem okolju, o tveganjih in vplivu kršitev varnosti.
  • Nadzor dostopa (NAC in IAM) - Nadzori dostopa do omrežja ali nadzor omrežja imajo različne politike dostopa, ki jih je mogoče uporabiti za blokiranje napadov. Razlog je, da če naprava ne uspe katerega koli varnostnega preverjanja, jo bo NAC blokiral. Upravljanje identitete in dostopa (IAM) lahko pomaga hekerjem, ki poskušajo ukrasti naše geslo in poskušajo zlomiti geslo.
  • Testiranje penetracije - to je en odličen način za testiranje omrežja pred prodorom. Torej, tukaj organizacija sama postane heker, ki jo pogosto imenujejo etični hekerji. Morajo razmišljati kot heker, da prodrejo v organizacijsko mrežo in to storijo! Izpostavlja obstoječe kontrole in ranljivosti, ki obstajajo. Na podlagi izpostavljenosti organizacija postavi potrebne varnostne kontrole.
  • Upravni nadzor - Upravni in varnostni nadzor bi moral biti nedotaknjen. To vključuje redno krpanje sistemov in programske opreme, pri čemer so nameščeni sistemi za zaznavanje vdorov, ki jih spremljajo požarni zidovi. Javni IPS organizacije (na primer proxy, spletni strežniki) organizacije mora biti postavljen v DMZ (demilitarizirano območje), tako da je ločen od notranjega omrežja. S tem tudi, če heker pridobi nadzor nad strežnikom v DMZ, ne bo mogel dostopati do notranjih strežnikov, ker ležita na drugi strani in sta del ločenega omrežja.

Zdaj bomo govorili o detektivskih ukrepih

  • Nadzor omrežja - Center za vodenje in nadzor (C&C) so krila za napredno trajno grožnjo za prenos in odstranjevanje tovora in zaupnih podatkov. Okuženi gostitelj se za izvedbo naslednje serije dejanj zanaša na ukazno-nadzorni center in običajno komunicira občasno. Če torej skušamo zaznati programe, poizvedbe o imenih domen, ki se dogajajo v občasnem ciklu, bi bilo vredno raziskati te primere.
  • Uporabniško vedenje - to vključuje uporabo umetne inteligence in rešitev, ki bodo spremljale uporabnikovo aktivnost. Pričakovanje je - rešitev mora biti sposobna zaznati kakršno koli nepravilnost pri dejavnostih, ki jih izvaja gostitelj.
  • Uporaba tehnologije zavajanja - za organizacijo to dvojno koristi. Sprva napadalce zvabijo v ponarejene strežnike in druge vire, s čimer zaščitijo prvotno premoženje organizacije. Zdaj organizacija uporablja tudi te lažne strežnike, da se nauči metod, ki jih napadalci uporabljajo, ko napadejo organizacijo, in se naučijo verige kibernetskih ubijanj.

Popravilo in odziv

Prav tako se moramo naučiti postopka odzivanja in popravljanja, če se zgodi kakšen napad Napredne trdovratne nevarnosti (APT). Sprva se APT lahko ujame v svoji začetni fazi, če uporabljamo prava orodja in tehnologije, v začetni fazi pa bo vpliv veliko manjši, saj je glavni motiv APT, da ostane dlje in ostane neodkrit. Ko ga odkrijemo, bi morali poskusiti pridobiti čim več informacij iz varnostnih dnevnikov, forenzike in drugih orodij. Okuženi sistem je treba ponovno oblikovati in poskrbeti, da ne bo odstranjena grožnja iz vseh okuženih sistemov in omrežij. Nato mora organizacija temeljito izvesti pregled vseh sistemov, da preveri, ali je dosegla več krajev. Nato je treba varnostni nadzor spremeniti, da se preprečijo takšni napadi ali podobni napadi, ki se lahko zgodijo v prihodnosti.
Zdaj, če so napredne nevarne nevarnosti (APT) preživele dneve in so bile zaznane na veliko poznejši stopnji, bi bilo treba sisteme nemudoma prenesti v omrežje brez povezave, ločiti od vseh vrst omrežij, preveriti je treba tudi vse datoteke, na katere je to prizadeto. . Potem je treba opraviti popolno predelavo prizadetih gostiteljev, narediti je treba temeljito analizo, da bi razkrili verigo kibernetskih ubojev. CIRT (Cyber ​​Incident Response Team) in Cyber ​​Forensics bi morala sodelovati pri odpravljanju vseh kršitev podatkov, ki so se zgodile.

Zaključek

V tem članku smo videli, kako deluje napad APT in kako lahko preprečimo, odkrijemo in se odzovemo na takšne grožnje. Morali bi dobiti osnovno predstavo o tipični verigi kibernetskih ubojev, ki sodeluje za napadi APT. Upam, da ste uživali v vadnici.

Priporočeni članki

To je vodnik za napredno nevarno nevarnost (APT). Tukaj razpravljamo o uvedbi in značilnostih in napredovanju naprednih trajnih groženj, odkrivanju in preprečevanju napadov APT. Če želite izvedeti več, lahko preberete tudi druge naše predlagane članke.

  1. Kaj je WebSocket?
  2. Varnost spletnih aplikacij
  3. Izzivi kibernetske varnosti
  4. Vrste spletnega gostovanja
  5. Naprave za požarni zid

Kategorija:

Razvoj programske opreme