Úvod do pokročilých trvalých hrozieb (APT)

Pokročilé trvalé hrozby sú cielené útoky, ktoré sú dlhodobými operáciami vykonávanými jej tvorcami (hackermi) poskytovaním užitočného zaťaženia útoku pomocou sofistikovaných metód (tj obchádzaním tradičných riešení na ochranu koncových bodov), ktoré potom tajne vykonávajú zamýšľané činy (napríklad kradnú informácie) bez toho, aby detekovaný.
Zvyčajne je cieľ takýchto útokov zvolený veľmi starostlivo a najskôr sa uskutoční dôkladný prieskum. Cieľom takýchto útokov sú zvyčajne veľké podniky, vládna organizácia, často medzištátne orgány vytvárajú súpera a také útoky na seba navzájom a míňajú vysoko citlivé informácie.

Niektoré príklady pokročilých pretrvávajúcich hrozieb sú:

  • Titánový dážď (2003)
  • GhostNet (2009) -Stuxnet (2010), ktorý takmer zrušil iránsky jadrový program
  • Hydra
  • Deep Panda (2015)

Charakteristika a vývoj pokročilých pretrvávajúcich hrozieb

APT sa od tradičných hrozieb líši mnohými rôznymi spôsobmi:

  • Používajú sofistikované a komplexné metódy na prienik do siete.
  • Zostávajú nezistené ešte oveľa dlhšie, zatiaľ čo tradičná hrozba by sa mohla zistiť iba v sieti alebo na úrovni ochrany koncových bodov, alebo dokonca aj keď budú mať šťastie a prejdú riešeniami koncových bodov, pravidelná kontrola zraniteľnosti a nepretržité monitorovanie zachytí hrozba, zatiaľ čo predbežné pretrvávajúce hrozby prechádzajú všetkými vrstvami bezpečnosti a nakoniec sa dostanú k hostiteľovi a zostanú tam dlhšie obdobie a vykonávajú svoju činnosť.
  • APT sú cielené útoky, zatiaľ čo tradičné útoky nemusia byť cielené.
  • Ich cieľom je tiež infiltrácia do celej siete.

Postup pokročilých trvalých hrozieb

  1. Výber a definovanie cieľa - Cieľ by sa mal definovať, tj ktorá organizácia by sa mala stať obeťou útočníka. Útočník najprv zhromažďuje čo najviac informácií prostredníctvom stopy a prieskumu.
  2. Nájdenie a usporiadanie sprievodcov - APT zahŕňa pokročilé ako sofistikované techniky, ktoré sa používajú na útoky, a útočník za ATP väčšinou nie je sám. Druhým cieľom by bolo nájsť „partnera v zločine“, ktorý má túto úroveň zručnosti na vývoj sofistikovaných techník na vykonávanie útokov APT.
  3. Vybudovanie a / alebo získanie mýta - Na vykonanie útokov APT je potrebné vybrať správne nástroje. Tieto nástroje sa dajú zostaviť aj na vytvorenie APT.
  4. Prieskum a zhromažďovanie informácií - Pred vykonaním útoku APT sa útočník pokúša zhromaždiť čo najviac informácií, aby mohol vytvoriť plán existujúceho IT systému. Príkladom zhromažďovania informácií môže byť topológia siete, servery DNS a DHCP, DMZ (zóny), interné rozsahy IP, webové servery atď. Je potrebné poznamenať, že definovanie cieľa môže chvíľu trvať, vzhľadom na veľkosť. organizácie. Čím väčšia je organizácia, tým viac času bude potrebné na vypracovanie plánu.
  5. Test na detekciu - V tejto fáze hľadáme zraniteľné miesta a slabé miesta a pokúsime sa nasadiť menšiu verziu prieskumného softvéru.
  6. Miesto vstupu a nasadenie - prichádza deň, deň, kedy je kompletná súprava nasadená cez vstupný bod, ktorý bol po starostlivej kontrole vybraný z mnohých iných slabých miest.
  7. Počiatočný prienik - Teraz je útočník konečne vo vnútri cieľovej siete. Odtiaľ sa musí rozhodnúť, kam má ísť a nájsť prvý cieľ.
  8. Zahájené odchádzajúce pripojenie - Akonáhle APT prejde na cieľ, nastaví sa, potom sa pokúsi vytvoriť tunel, cez ktorý sa uskutoční exfiltrácia údajov.
  9. Rozšírenie prístupu a hľadanie poverení - V tejto fáze sa APT pokúša šíriť v sieti a snaží sa získať čo najviac prístupu bez toho, aby sa detegovalo.
  10. Posilniť hladké - tu sa snažíme hľadať a využívať ďalšie zraniteľné miesta. Tým hacker zvyšuje šancu získať prístup k iným miestam so zvýšeným prístupom. Hackeri tiež zvyšujú pravdepodobnosť vytvorenia ďalších zombie. Zombie je počítač na internete, ktorý napadol hacker.
  11. Exfiltrácia dát - Jedná sa o proces odoslania údajov hackerskej základni. Hacker sa všeobecne pokúša použiť prostriedky spoločnosti na šifrovanie údajov a ich odoslanie na svoju základňu. Hackeri často rozptyľujú taktiku hluku, aby rozptýlili bezpečnostný tím, takže citlivé informácie môžu byť premiestnené bez toho, aby boli odhalené.
  12. Zakryte stopy a zostaňte nezistené - Hackeri nezabudnite počas útoku a po jeho ukončení vyčistiť všetky stopy. Snažia sa zostať čo najvernejšie.

Odhaľovanie a prevencia útokov Apt

Skúsme sa najprv pozrieť na preventívne opatrenia:

  • Povedomie a požadované školenie o bezpečnosti - Organizácie sú si dobre vedomé toho, že k väčšine bezpečnostných porušení, ktoré sa v týchto dňoch odohrávajú, sa stáva, že používatelia urobili niečo, čo by sa nemalo urobiť, možno im bolo vylákané alebo sa neriadili náležitým zabezpečením. opatrenia, zatiaľ čo v kanceláriách robia čokoľvek, ako je sťahovanie softvéru zo zlých stránok, navštevovanie stránok so škodlivým úmyslom, stalo sa obeťou phishingu a mnoho ďalších! Organizácia by preto mala viesť relácie zvyšovania informovanosti o bezpečnosti a prinútiť svojich zamestnancov, aby vykonávali prácu v zabezpečenom prostredí, o rizikách a vplyve narušenia bezpečnosti.
  • Riadenie prístupu (NAC a IAM) - NAC alebo riadenie prístupu do siete majú rôzne prístupové politiky, ktoré je možné implementovať na blokovanie útokov. Je to tak preto, že ak zariadenie zlyhá v niektorej z bezpečnostných kontrol, zariadenie NAC ho zablokuje. Správa identity a prístupu (IAM) môže pomôcť zabrániť hackerom, ktorí sa snažia ukradnúť naše heslo, snaží sa heslo prelomiť.
  • Penetračné testovanie - Toto je jeden skvelý spôsob, ako otestovať svoju sieť pred prienikom. Takže tu sa samotná organizácia stáva hackerom, ktorý sa často označuje ako etický hacker. Musia premýšľať ako hacker, aby prenikol do organizačnej siete a robia to! Odhaľuje existujúce ovládacie prvky a zraniteľné miesta, ktoré sú zavedené. Na základe vystavenia organizácia vykonáva požadované bezpečnostné kontroly.
  • Administratívne kontroly - Administratívne a bezpečnostné kontroly by mali byť nedotknuté. Zahŕňa to pravidelné opravy systémov a softvéru, pričom sú zavedené systémy detekcie narušenia spolu s bránami firewall. IPS organizácie orientované na verejnosť (napríklad proxy, webové servery) by mali byť umiestnené v DMZ (demilitarizovaná zóna), aby bola oddelená od vnútornej siete. Tým, aj keď hacker získa kontrolu nad serverom v DMZ, nebude mať prístup k interným serverom, pretože leží na druhej strane a sú súčasťou samostatnej siete.

Teraz budeme hovoriť o detektívnych opatreniach

  • Monitorovanie siete - stredisko velenia a riadenia (C&C) je krídlami pokročilých perzistentných hrozieb, ktoré prenášajú a prenášajú užitočné zaťaženie a dôverné údaje. Infikovaný hostiteľ sa spolieha na príkazové a riadiace centrum, aby vykonal ďalšiu sériu akcií a zvyčajne komunikuje pravidelne. Takže, ak sa pokúsime zistiť programy, dotazy na názvy domén, ktoré sa dejú v pravidelnom cykle, mali by sme tieto prípady preskúmať.
  • Analýza správania používateľov - zahŕňa použitie umelej inteligencie a riešení, ktoré budú dohliadať na činnosť používateľa. Očakávanie je - riešenie by malo byť schopné zistiť akúkoľvek anomáliu v činnostiach, ktoré hostiteľ robí.
  • Použitie technológie podvodu - slúži pre organizáciu ako dvojitá výhoda. Úlohou útočníkov je najskôr nalákať falošné servery a iné zdroje, čím chránia pôvodné aktíva organizácie. Teraz organizácia tiež používa tieto falošné servery, aby sa naučila metódy, ktoré útočníci používajú, keď útočia na organizáciu, naučia sa svoj reťazec počítačového zabíjania.

Oprava a reakcia

Musíme sa tiež naučiť postup reakcie a opravy, ak dôjde k útokom na rozšírené perzistentné hrozby (APT). Spočiatku by sa APT mohla zachytiť vo svojej počiatočnej fáze, ak použijeme správne nástroje a technológie, a vo svojej počiatočnej fáze bude dopad oveľa menší, pretože hlavným motívom APT je zostať dlhšie a zostať nezistené. Po zistení by sme sa mali pokúsiť získať čo najviac informácií z protokolov zabezpečenia, forenznej analýzy a ďalších nástrojov. Infikovaný systém musí byť znovu naimportovaný a treba sa ubezpečiť, že zo všetkých infikovaných systémov a sietí nie je odstránená žiadna hrozba. Organizácia by potom mala dôkladne vykonať kontrolu všetkých systémov, aby skontrolovala, či dosiahla viac miest. Bezpečnostná kontrola by sa potom mala upraviť tak, aby sa zabránilo takýmto útokom alebo iným podobným útokom, ktoré sa môžu vyskytnúť v budúcnosti.
Ak teraz strávili dni pokročilé pretrvávajúce hrozby (APT) a boli zistené v oveľa neskoršom štádiu, systémy by sa mali okamžite prepnúť do režimu offline, oddelené od všetkých druhov sietí, musia sa skontrolovať aj všetky postihnuté súborové služby., Potom by sa malo vykonať kompletné prehodnotenie postihnutých hostiteľov, mala by sa vykonať hĺbková analýza na odhalenie reťazca cyber kill, ktorý bol dodržaný. Mali by sa zapojiť tím CIRT (tím pre reakciu na incidenty v Cyber) a Cyber ​​Forensics, aby riešili všetky prípady porušenia údajov.

záver

V tomto článku sme videli, ako útok APT funguje a ako môžeme takýmto hrozbám predchádzať, odhaľovať ich a reagovať na ne. Jeden by mal získať základnú predstavu o typickom reťazci cyber kill, ktorý sa podieľa na útokoch APT. Dúfam, že sa vám kurz páčil.

Odporúčané články

Toto je príručka pre pokročilé pretrvávajúce hrozby (APT). Diskutujeme o úvode a charakteristike a postupe pokročilých pretrvávajúcich hrozieb, odhaľovania a prevencie útokov APT. Viac informácií nájdete aj v ďalších navrhovaných článkoch.

  1. Čo je to WebSocket?
  2. Zabezpečenie webových aplikácií
  3. Výzvy v oblasti kybernetickej bezpečnosti
  4. Druhy webhostingu
  5. Firewall zariadenia

Kategórie:

Vývoj softvéru