Úvod do pokročilých trvalých hrozeb (APT)

Pokročilé perzistentní hrozby jsou cílené útoky, které jsou dlouhodobými operacemi prováděnými jejími tvůrci (hackery) poskytováním užitečného zatížení útoku pomocí sofistikovaných metod (tj. Obcházení tradičních řešení ochrany koncových bodů), které poté tajně provádějí zamýšlené akce (jako je krádež informací) bez být detekován.
Obvykle je cíl takových útoků vybrán velmi pečlivě a nejprve je proveden pečlivý průzkum. Cílem takových útoků jsou obvykle velké podniky, vládní organizace, často mezivládní organizace vytvářejí soupeře a takové útoky spouští na sebe a moje vysoce citlivé informace.

Mezi příklady pokročilých přetrvávajících hrozeb patří:

  • Titanský déšť (2003)
  • GhostNet (2009) -Stuxnet (2010), který téměř zastavil íránský jaderný program
  • Hydra
  • Deep Panda (2015)

Charakteristika a vývoj pokročilých trvalých hrozeb

APT se liší od tradičních hrozeb mnoha různými způsoby:

  • K pronikání do sítě používají sofistikované a komplexní metody.
  • Zůstanou nezjištěny po mnohem delší dobu, zatímco tradiční hrozba by se mohla objevit pouze v síti nebo na úrovni ochrany koncových bodů, nebo dokonce i když budou mít štěstí a projít řešeními koncových bodů, pravidelná kontrola zranitelnosti a nepřetržité sledování zachytí hrozba, zatímco předběžné přetrvávající hrozby procházejí všemi vrstvami zabezpečení a konečně se dostávají k hostitelům a zůstávají tam po delší dobu a vykonávají svou činnost.
  • APT jsou cílené útoky, zatímco tradiční útoky mohou / nemusí být cílené.
  • Jejich cílem je také infiltrovat celou síť.

Postup pokročilých trvalých hrozeb

  1. Výběr a definování cíle - Cíl by měl být definován, tj. Která organizace by se měla stát obětí útočníka. Za tímto účelem útočník nejprve získá co nejvíce informací prostřednictvím stopy a průzkumu.
  2. Hledání a organizování doprovodů - APT zahrnuje pokročilé jako sofistikované techniky, které se používají k útoku, a útočník za ATP není po většinu času sám. Druhé by tedy bylo najít „partnera v zločinu“, který má tuto úroveň dovednosti, aby vyvinul sofistikované techniky pro provádění útoků APT.
  3. Build And / or Acquire Tolls - Chcete-li provést útoky APT, je třeba vybrat správné nástroje. Nástroje mohou být také vytvořeny pro vytvoření APT.
  4. Průzkum a shromažďování informací - Před provedením útoku APT se útočník snaží shromáždit co nejvíce informací, aby mohl vytvořit plán stávajícího IT systému. Příkladem shromažďování informací může být topologie sítě, serverů DNS a DHCP, DMZ (zóny), interních rozsahů IP, webových serverů atd. Je třeba poznamenat, že definování cíle může chvíli trvat, vzhledem k velikosti organizace. Čím větší je organizace, tím více času bude trvat na vypracování plánu.
  5. Test na detekci - V této fázi hledáme slabá místa a slabá místa a pokusíme se nasadit menší verzi průzkumného softwaru.
  6. Místo vstupu a nasazení - Zde přichází den, den, kdy je celá sada nasazena přes vstupní bod, který byl vybrán mezi mnoha jinými slabými místy po pečlivé prohlídce.
  7. Initial Intrusion - Nyní je útočník konečně uvnitř cílené sítě. Odtud se musí rozhodnout, kam jít a najít první cíl.
  8. Zahájeno odchozí připojení - Jakmile APT přejde na cíl, nastaví se, pokusí se vytvořit tunel, přes který bude probíhat exfiltrace dat.
  9. Rozšíření přístupu a hledání pověření - V této fázi se APT pokouší rozšířit se v síti a snaží se získat co nejvíce přístupu, aniž by byl detekován.
  10. Posílit hladké - Zde se snažíme hledat a využívat další zranitelnosti. Tím hacker zvyšuje šanci získat přístup k dalším místům se zvýšeným přístupem. Hackeři také zvyšují šanci na založení dalších zombie. Zombie je počítač na internetu, který byl napaden hackerem.
  11. Exfiltrace dat - Jedná se o proces odesílání dat hackerské základně. Hacker se obecně snaží použít prostředky společnosti k šifrování dat a poté je odeslat na jejich základnu. Hackeři často rozptylují taktiku hlučnosti, aby rozptýlili bezpečnostní tým, takže citlivé informace mohou být přesunuty ven, aniž by byly detekovány.
  12. Zakryjte stopy a zůstaňte nezjištěni - hackeři se ujistí, že během útoku a jakmile jsou ukončeni, vyčistí všechny stopy. Snaží se zůstat co nejdůkladnější.

Detekce a prevence útoků Apt

Zkusme se nejprve podívat na preventivní opatření:

  • Povědomí a požadované školení v oblasti bezpečnosti - Organizace si jsou dobře vědomy toho, že k většině případů narušení bezpečnosti, k nimž v těchto dnech dochází, dochází proto, že uživatelé udělali něco, co by nemělo být provedeno, možná byli vylákáni nebo nedodržovali řádné zabezpečení. opatření, zatímco dělají cokoli v kancelářích, jako je stahování softwaru ze špatných stránek, návštěva webů, které mají zákerný úmysl, se stala obětí phishingu a mnoha dalších! Organizace by proto měla pořádat relace povědomí o bezpečnosti a přimět své zaměstnance, jak pracovat v zabezpečeném prostředí, o rizicích a dopadech narušení bezpečnosti.
  • Řízení přístupu (NAC a IAM) - NAC nebo řízení přístupu do sítě mají různé přístupové politiky, které lze implementovat k blokování útoků. Je tomu tak proto, že pokud zařízení selže v některé z bezpečnostních kontrol, bude blokováno NAC. Správa identity a přístupu (IAM) může pomoci zabránit hackerům, kteří se snaží ukrást naše heslo, snaží se heslo prolomit.
  • Penetration Testing - Toto je jeden skvělý způsob, jak otestovat síť proti průniku. Takže tady se organizace sama stává hackerem, který je často nazýván etickým hackerem. Musí myslet jako hacker, aby pronikl do organizační sítě a dělají to! Vystavuje existující existující ovládací prvky a zranitelnosti. Organizace na základě expozice stanoví požadované bezpečnostní kontroly.
  • Administrativní kontroly - Administrativní a bezpečnostní kontroly by měly být nedotčeny. To zahrnuje pravidelné opravování systémů a softwaru, mít systémy detekce narušení na místě doprovázené firewally. Veřejně orientovaný IPS organizace (například proxy, webové servery) organizace by měl být umístěn v DMZ (demilitarizovaná zóna), aby byl oddělen od interní sítě. Tímto způsobem, i když hacker získá kontrolu nad serverem v DMZ, nebude mít přístup k interním serverům, protože leží na druhé straně a jsou součástí samostatné sítě.

Nyní budeme hovořit o detektivních opatřeních

  • Monitorování sítě - středisko velení a řízení (C&C) je křídla pro Advanced Persistent Threats, která přenášejí a vynášejí užitečná zatížení a důvěrná data. Infikovaný hostitel se při provádění další řady akcí spoléhá na příkazové a řídicí centrum a obvykle komunikuje pravidelně. Pokud se tedy pokusíme odhalit programy, dotazy na názvy domén, které se dějí v periodickém cyklu, bylo by vhodné tyto případy prozkoumat.
  • Analýza chování uživatelů - zahrnuje použití Artificial Intelligence a řešení, která budou sledovat aktivitu uživatele. Očekávání je - řešení by mělo být schopné odhalit jakoukoli anomálii v činnostech, které hostitel dělá.
  • Použití technologie klamání - to slouží jako dvojitá výhoda pro organizaci. Útočníci jsou nejprve vyzváni k falešným serverům a jiným prostředkům, čímž chrání původní aktiva organizace. Nyní organizace také používá tyto falešné servery k tomu, aby se naučila metody, které útočníci používají, když útočí na organizaci, a naučí se jejich řetězec cyber kill.

Opravy a reakce

Musíme se také naučit postup odezvy a opravy, pokud dojde k útokům na Advanced Persistent Threats (APT). Zpočátku se APT může zachytit ve své počáteční fázi, pokud používáme správné nástroje a technologie, a ve své počáteční fázi bude dopad mnohem menší, protože hlavním motivem APT je zůstat déle a zůstat nezjištěn. Jakmile je detekován, měli bychom se pokusit získat co nejvíce informací z bezpečnostních protokolů, forenzních analýz a dalších nástrojů. Infikovaný systém musí být znovu naimportován a měli bychom se ujistit, že ze všech infikovaných systémů a sítí není odstraněna žádná hrozba. Organizace by pak měla důkladně provést kontrolu všech systémů a zkontrolovat, zda dosáhla více míst. Bezpečnostní kontrola by pak měla být upravena tak, aby se zabránilo takovým útokům nebo podobným útokům, ke kterým může dojít v budoucnu.
Nyní, pokud strávili dny Advanced Persistent Threats (APT) a bylo detekováno v mnohem pozdějším stádiu, měly by být systémy okamžitě převedeny do režimu offline, odděleny od nejrůznějších sítí, musí být také zkontrolovány všechny zasažené soubory, které jsou ovlivněny. . Pak by mělo být provedeno kompletní reimaging postižených hostitelů, měla by být provedena hluboká analýza odhalující řetězec cyber kill, který byl následován. CIRT (Cyber ​​Incident Response Team) a Cyber ​​Forensics by měly být zapojeny do řešení všech porušení dat, ke kterým došlo.

Závěr

V tomto článku jsme viděli, jak útok APT funguje a jak můžeme těmto hrozbám zabránit, detekovat je a reagovat na ně. Jeden by měl získat základní představu o typickém řetězci cyber kill, který se účastní útoků APT. Doufám, že se vám kurz líbil.

Doporučené články

Toto je průvodce pokročilými perzistentními hrozbami (APT). Zde diskutujeme úvod a charakteristiku a vývoj pokročilých přetrvávajících hrozeb, detekci a prevenci útoků APT. Další informace naleznete také v dalších navrhovaných článcích.

  1. Co je to WebSocket?
  2. Zabezpečení webových aplikací
  3. Výzvy v oblasti kybernetické bezpečnosti
  4. Druhy webhostingu
  5. Firewall zařízení

Kategorie:

Vývoj softwaru