Увод у напредне упорне претње (АПТ)

Напредна упорна претња су циљани напади који су дуготрајне операције које су вршили његови творци (хакери) испоручивањем корисног оптерећења напада софистицираним методама (тј. Заобилазећи традиционална решења за заштиту крајњих тачака) које потајно извршавају предвиђене акције (попут крађе информација) без откривен.
Обично је циљ таквих напада веома пажљиво биран и прво се спроводи пажљиво извиђање. Мета таквих напада обично су велика предузећа, владине организације, често међувладине организације стварају ривалства и покрећу такве нападе једни против других и минирају врло осетљиве информације.

Неки од примера напредних упорних претњи су:

  • Титан раин (2003)
  • ГхостНет (2009) -Стукнет (2010) који је замало оборио ирански нуклеарни програм
  • Хидра
  • Дееп Панда (2015)

Карактеристике и напредовање напредних упорних претњи

АПТ се разликује од традиционалних претњи на много различитих начина:

  • Они користе софистициране и сложене методе да би продрли у мрежу.
  • Они остају неоткривени током дужег времена, док ће традиционална претња једноставно бити откривена на мрежи или на нивоу заштите крајње тачке или чак и ако добију срећу и прођу кроз решења крајњих тачака, редовна провера рањивости и континуирано надгледање захватиће претња, док унапред упорне претње само пролазе кроз све слојеве безбедности и коначно се пробијају до домаћина и они тамо остају дуже време и обављају свој посао.
  • АПТ-ови су циљани напади док традиционални напади могу / не морају бити циљани.
  • Они такође имају за циљ да продру у читаву мрежу.

Напредак напредних упорних претњи

  1. Бирање и дефинисање циља - Треба одредити циљ тј. Која организација треба бити жртва нападача. За то, нападач прво прикупи што више информација помоћу отисака стопала и извиђања.
  2. Проналажење и организовање саучесника - АПТ укључује напредне као софистициране технике које се користе за напад и већину времена нападач који стоји иза АТП-а није сам. Дакле, друго би било пронаћи „партнера у злочину“ који поседује тај ниво вештина да би развио софистициране технике извођења АПТ напада.
  3. Изградите и / или набавите путарину - да бисте извршили АПТ нападе, потребно је одабрати праве алате. Алат се може правити и за креирање АПТ-а.
  4. Прикупљање информација и прикупљање информација - Пре извођења АПТ напада, нападач покушава прикупити што више информација како би створио нацрт постојећег ИТ система. Пример прикупљања информација може бити топологија мреже, ДНС и ДХЦП сервера, ДМЗ (зона), интерни ИП распони, веб сервери итд. Вриједно је напоменути да би дефинирање циља могло потрајати неко вријеме, с обзиром на величину организације. Што је организација већа, то ће више времена требати да се припреми нацрт.
  5. Тест за откривање - У овој фази тражимо рањивости и слабе тачке и покушавамо да применимо мању верзију извиђачког софтвера.
  6. Тачка уласка и размештања - ево дана, дана када се целокупни пакет размешта кроз улазну тачку која је изабрана међу многим другим слабим местима након пажљивог прегледа.
  7. Почетни упад - нападач је коначно унутар циљане мреже. Одавде, он треба да одлучи где да иде и да пронађе прву мету.
  8. Започета излазна веза - Једном када АПТ крене у циљ, постави се, онда покушава да створи тунел кроз који ће се одвијати ексфилтрација података.
  9. Проширење приступа приступа и вјеродајница - у овој фази АПТ се покушава ширити у мрежи и покушава добити што је више могуће приступ без откривања.
  10. Ојачај упориште - овде покушавамо да потражимо и искористимо друге рањивости. Чинећи то, хакер повећава шансу за приступ другим повишеним приступним локацијама. Хакери такође повећавају шансу за успостављање више зомбија. Зомби је рачунар на интернету који је хакер компромитовао.
  11. Екфилтрација података - ово је поступак слања података у базу хакера. Хакери углавном покушавају да користе ресурсе компаније да би шифровали податке и затим их послали у своју базу. Хакери често уклањају сметње да би одвратили пажњу, како би одвратили безбедносни тим тако да осетљиве информације могу да се помере без откривања.
  12. Покријте трагове и останите неоткривени - Хакери обавезно очисте све трагове током напада и након што изађу. Покушавају да остану што скромнији.

Откривање и спречавање напада Апт

Покушајмо прво да видимо превентивне мере:

  • Освешћеност и потребна безбедносна обука - Организације су добро свесне да се већина кршења безбедности која се догађају ових дана, догађа јер су корисници учинили нешто што није требало да ураде, можда су намамљени или нису пратили одговарајућу безбедност мере док радите било шта у канцеларијама, попут преузимања софтвера са лоших веб локација, посећивања веб локација које имају злонамерне намере, постају жртва лажног представљања и многих других! Дакле, организација треба да настави са одржавањем сесија о безбедности и да своје запослене постави о томе како да раде у заштићеном окружењу, о ризицима и утицају кршења безбедности.
  • Контроле приступа (НАЦ и ИАМ) - НАЦ или мрежне контроле приступа имају различите политике приступа које се могу применити за блокирање напада. То је зато што ако уређај не успе у било којој безбедносној провери, НАЦ ће га блокирати. Управљање идентитетом и приступом (ИАМ) може нам помоћи да се хакери не задрже ко покушава да нам украде лозинку и покуша да провали лозинку.
  • Испитивање продора - Ово је сјајан начин да тестирате мрежу против продора. Дакле, овде и сами људи из организације постају хакери који се често називају етичким хакерима. Они морају размишљати попут хакера да би продрли у организациону мрежу и то раде! Излаже постојеће контроле и рањивости које постоје. На основу изложености, организација поставља потребне сигурносне контроле.
  • Административне контроле - Административне и безбедносне контроле треба да буду нетакнуте. То укључује редовно крпање система и софтвера, уз постављање система за откривање провале праћених заштитним зидовима. ИПС који се налази у јавности (као што су проки, веб сервери) организације треба да буде смештен у ДМЗ (Демилитаризованој зони) тако да буде одвојен од интерне мреже. Радећи ово, чак и ако хакер добије контролу над сервером у ДМЗ-у, он неће моћи приступити унутрашњим серверима јер леже на другој страни и део су засебне мреже.

Сада ћемо говорити о детективским мерама

  • Мрежни надзор - Центар за команду и контролу (Ц&Ц) су крила напредним упорним претњама да носе и преузимају оптерећење и поверљиве податке. Заражени домаћин се ослања на командно-контролни центар да изврши следећу серију акција и обично периодично комуницира. Дакле, ако покушамо открити програме, упите имена домена који се дешавају у периодичном циклусу, било би вредно истражити те случајеве.
  • Усер Бехавиор Аналитицс - Ово укључује коришћење вештачке интелигенције и решења која ће пратити активност корисника. Очекивање је - решење би требало да буде у стању да открије било какву аномалију у активностима које домаћин обавља.
  • Употреба технологије обмане - ово служи као двострука корист за организацију. Испрва, нападачи су намамљени да лажу сервере и друге ресурсе и тако штите оригиналну имовину организације. Сада организација користи и оне лажне сервере да би научила методе које нападачи користе док нападају организацију, они уче свој ланац цибер убистава.

Поправак и реаговање

Морамо такође научити поступак реакције и поправке ако се догоди било који напредни напад упорних претњи (АПТ). У почетку се АПТ може ухватити у својој почетној фази ако користимо праве алате и технологије, а у почетној фази утицај ће му бити много мањи, јер је главни мотив АПТ-а да остане дуже и остане неоткривен. Кад то откријемо, требали бисмо покушати добити што више информација из сигурносних дневника, форензике и других алата. Заражени систем мора бити поново направљен и треба осигурати да се не уклони претња из свих заражених система и мрежа. Тада би организација требала темељно извршити проверу свих система да би проверила је ли достигла више места. Тада би требало измијенити сигурносну контролу како би се спријечили такви напади или слични који би се могли дешавати у будућности.
Сада, ако су напредне упорне претње (АПТ) провеле дане и откриле су се у много каснијој фази, системе треба одмах уклонити у мрежу ван мреже, одвојити од свих врста мрежа, било која сервирана датотека која је погођена такође мора бити проверена . Тада треба урадити потпуно реимагинг погођених домаћина, треба направити дубинску анализу да би се открило ланац цибер убистава који је уследио. ЦИРТ (тим за одговор на кибернетичке реакције) и Цибер форензика требали би бити ангажовани на рјешавању свих кршења података која су се догодила.

Закључак

У овом чланку смо видели како АПТ напад делује и како можемо да спречимо, откријемо и одговоримо на такве претње. Требало би стећи основну представу о типичном ланцу цибер убистава који је уплетен иза АПТ напада. Надам се да сте уживали у уџбенику.

Препоручени чланци

Ово је водич за напредне упорне претње (АПТ). Овде смо разговарали о увођењу и карактеристикама и напредовању напредних упорних претњи, откривању и спречавању напада АПТ. Можете и да прођете кроз остале наше предложене чланке да бисте сазнали више.

  1. Шта је ВебСоцкет?
  2. Безбедност веб апликација
  3. Изазови цибер безбедности
  4. Врсте веб хостинга
  5. Уређаји заштитног зида

Категорија:

Развој софтвера