Introduksjon til avanserte vedvarende trusler (APT)

En avansert vedvarende trussel er målrettede angrep som er langsiktige operasjoner som utføres av skaperne (hackere) ved å levere angreps nyttelast gjennom sofistikerte metoder (dvs. omgå forbikjøring av tradisjonelle endepunktbeskyttelsesløsninger) som deretter i hemmelighet utfører sine tiltenkte handlinger (som informasjon stjeling) uten blir oppdaget.
Vanligvis er målet for slike angrep veldig nøye valgt og først utføres en forsiktig rekognosering. Målet for slike angrep er vanligvis store virksomheter, regjeringsorganisasjon, ofte skaper mellomregjeringer rivalisering og setter i gang slike angrep på hverandre og gruver svært sensitiv informasjon.

Noen av eksemplene på avanserte vedvarende trusler er:

  • Titan rain (2003)
  • GhostNet (2009) -Stuxnet (2010) som nærmest tok ned Irans atomprogram
  • Hydra
  • Deep Panda (2015)

Kjennetegn og progresjon av avanserte vedvarende trusler

APT skiller seg fra tradisjonelle trusler på mange forskjellige måter:

  • De bruker sofistikerte og komplekse metoder for å trenge gjennom nettverket.
  • De forblir uoppdaget i mye lengre tid, mens en tradisjonell trussel bare kan bli oppdaget på nettverket eller på endepunktbeskyttelsesnivået, eller selv om de er heldige og passerer sluttpunktløsninger, vil en regelmessig sårbarhetssjekk og kontinuerlig overvåking fange opp trussel mens de vedvarende truslene bare kommer forbi alle lag av sikkerhet og endelig legger seg til vertene, og de blir der i lengre tid og utfører sin operasjon.
  • APT-er er målrettede angrep, mens tradisjonelle angrep kanskje ikke er målrettet.
  • De har også som mål å infiltrere hele nettverket.

Progresjon av avanserte vedvarende trusler

  1. Velge og definere mål - Det skal defineres et mål, dvs. hvilken organisasjon som skal være offer for en angriper. For dette samler angriperen først så mye informasjon som mulig via fotavtrykk og rekognosering.
  2. Finn og organiser komplikasjoner - APT innebærer avanserte som sofistikerte teknikker som brukes til å angripe, og mesteparten av tiden er angriperen bak ATP ikke alene. Så det andre ville være å finne "partner i kriminalitet" som har det ferdighetsnivået for å utvikle sofistikerte teknikker for å utføre APT-angrep.
  3. Bygg og / eller anskaff bompenger - For å utføre APT-angrepene, må du velge riktige verktøy. Verktøyene kan også bygges for å lage en APT.
  4. Rekognosering og informasjonssamling - Før angriperen gjennomfører et APT-angrep, prøver angriperen å samle så mye informasjon de kan for å lage en blåkopi av det eksisterende IT-systemet. Eksempelet på informasjonsinnsamling kan være topologien til nettverket, DNS- og DHCP-servere, DMZ (soner), Interne IP-områder, webservere, etc. Det er verdt å merke seg at det kan ta en stund å definere et mål gitt størrelsen av en organisasjon. Jo større en organisasjon er, jo mer tid vil det ta å utarbeide en blåkopi.
  5. Test for Detection - I denne fasen ser vi etter sårbarheter og svake steder og prøver å distribuere en mindre versjon av rekognoseringsprogramvare.
  6. Inngangspunkt og distribusjon - Her kommer dagen, dagen da hele suiten blir distribuert gjennom et inngangspunkt som ble valgt blant mange andre svake steder etter nøye inspeksjon.
  7. Innledende inntrenging - Nå er angriperen endelig inne i det målrettede nettverket. Herfra må han bestemme hvor han skal gå og finne det første målet.
  8. Utgående tilkobling initiert - Når APT går til målet, setter seg selv, prøver den å lage en tunnel som datautfiltrering vil finne sted gjennom.
  9. Utvidelse av tilgang og legitimasjonsjakt - I denne fasen prøver APT å spre seg i nettverket og prøver å få så mye tilgang som mulig uten å bli oppdaget.
  10. Styrke fotfeste - Her prøver vi å se etter og utnytte andre sårbarheter. Ved å gjøre dette, øker en hacker sjansen for å få tilgang til andre forhøyede tilgangsplasser. Hackere øker også sjansen for å etablere flere zombier. En zombie er en datamaskin på internett som har blitt kompromittert av en hacker.
  11. Utfiltrering av data - Dette er prosessen med å sende dataene til hackerens base. Hacker prøver vanligvis å bruke selskapets ressurser for å kryptere dataene og deretter sende dem til deres base. Ofte for å distrahere, utnytter hackerne støytaktikker for å distrahere sikkerhetsteamet slik at sensitiv informasjon kan flyttes ut uten å bli oppdaget.
  12. Dekk sporene og vær uoppdaget - Hackerne sørger for å fjerne alle sporene under angrepsprosessen og når de har avsluttet. De prøver å forbli så stealthy som mulig.

Oppdage og forhindre Apt-angrep

La oss først prøve å se de forebyggende tiltakene:

  • Bevissthet og nødvendig sikkerhetstrening - Organisasjonene er klar over at de fleste sikkerhetsbrudd som skjer i disse dager, det skjer fordi brukere har gjort noe som ikke burde vært gjort, kanskje de har blitt lokket, eller de ikke har fulgt riktig sikkerhet tiltak mens du gjør noe på kontorer som å laste ned programvare fra dårlige nettsteder, besøke nettsteder som har ondsinnet intensjon, ble et offer for phishing og mange flere! Så en organisasjon bør fortsette å holde sikkerhetsbevissthetsøkter og gjøre sine ansatte til hvordan de kan jobbe i et sikret miljø, om risiko og innvirkning av sikkerhetsbrudd.
  • Tilgangskontroller (NAC og IAM) - NAC eller tilgangskontrollene for nettverk har en rekke tilgangspolitikk som kan implementeres for å blokkere angrepene. Det er slik at hvis en enhet svikter noen av sikkerhetskontrollene, vil den bli blokkert av NAC. Identitets- og tilgangshåndteringen (IAM) kan bidra til å holde hackerne borte som prøver å stjele passordet vårt, prøver å knekke passordet.
  • Penetrasjonstesting - Dette er en flott måte å teste nettverket ditt mot penetrering. Så her blir organisasjonsfolket selv hacker som ofte kalles som etiske hackere. De må tenke som en hacker for å trenge inn i organisasjonsnettverket, og det gjør de! Eksponeringen avslører eksisterende kontroller og sårbarheter som er på plass. Basert på eksponering setter organisasjonen de nødvendige sikkerhetskontrollene.
  • Administrative kontroller - De administrative og sikkerhetskontrollene skal være intakte. Dette innebærer regelmessig oppdatering av systemer og programvare, med innbruddsdeteksjonssystemer på plass ledsaget av brannmurer. Organisasjonens publikumsrettede IPS (for eksempel proxy, webservere) skal plasseres i DMZ (Demilitarized zone) slik at det skilles fra det interne nettverket. Ved å gjøre dette, selv om en hacker får kontroll over en server i DMZ, vil han ikke kunne få tilgang til interne servere fordi de ligger på den andre siden og er en del av det separate nettverket.

Nå skal vi snakke om detektivtiltak

  • Network Monitoring– Command and Control (C&C) center er vingene for henholdsvis Advanced Persistent Threats til å bære ut og ut nyttelast og konfidensielle data. Den infiserte verten er avhengig av kommando- og kontrollsenter for å utføre den neste handlingsserien, og de kommuniserer vanligvis periodisk. Så hvis vi prøver å oppdage programmene, spørsmål om domenenavn som skjer i en periodisk syklus, vil det være verdt å undersøke disse tilfellene.
  • Brukeratferd Analytics - Dette innebærer bruk av kunstig intelligens og løsninger som vil holde et øye med brukerens aktivitet. Forventningen er - løsningen skal kunne oppdage eventuelle avvik i aktiviteter som en vert gjør.
  • Bruk av Deception Technology - Dette fungerer som en dobbel fordel for organisasjonen. Til å begynne med lokkes angriperne til falske servere og andre ressurser og beskytter dermed de opprinnelige eiendelene til en organisasjon. Nå bruker organisasjonen også de falske serverne for å lære metodene som angripere bruker mens de angriper organisasjonen, de lærer deres cyber kill chain.

Reparasjon og respons

Vi må også lære respons- og reparasjonsprosedyren hvis noen angrep på avanserte vedvarende trusler (APT) skjer. Til å begynne med kan APT bli fanget i den innledende fasen hvis vi bruker de riktige verktøyene og teknologiene, og i den innledende fasen vil virkningen være mye mindre fordi hovedmotivet til APT er å holde seg lenger og forbli uoppdaget. Når det er oppdaget, bør vi prøve å få så mye informasjon fra sikkerhetsloggene, rettsmedisinske og andre verktøy. Det infiserte systemet må gjenbrukes, og man bør sørge for at ingen trussel fjernes fra alle infiserte systemer og nettverk. Da bør organisasjonen gjennomføre en sjekk på alle systemene for å sjekke om den har nådd flere steder. Sikkerhetskontrollen bør deretter modifiseres for å forhindre slike angrep eller lignende som kan skje i fremtiden.
Nå, hvis Advanced Persistent Threats (APT) har brukt dager og det er blitt oppdaget på et langt senere stadium, bør systemene umiddelbart tas offline, skilles fra alle slags nettverk, alle filserver som blir berørt, må også sjekkes . Da bør en fullstendig gjenbruk av de berørte vertene gjøres, en dyp analyse bør gjøres for å avsløre cyber kill chain som ble fulgt. CIRT (Cyber ​​Incident Response Team) og Cyber ​​Forensics bør være engasjert for å takle alle databruddene som har skjedd.

Konklusjon

I denne artikkelen har vi sett hvordan et APT-angrep fungerer, og hvordan vi kan forhindre, oppdage og svare på slike trusler. Man bør få en grunnleggende ide om en typisk nettdrapskjede som er involvert bak APT-angrep. Håper du likte opplæringen.

Anbefalte artikler

Dette er en guide til Advanced Persistent Threats (APT). Her diskuterer vi introduksjonen og karakteristikkene og progresjonen av avanserte vedvarende trusler, oppdage og forhindre APT-angrep. Du kan også gå gjennom våre andre foreslåtte artikler for å lære mer.

  1. Hva er WebSocket?
  2. Nettapplikasjonssikkerhet
  3. Utfordringer for cybersikkerhet
  4. Typer webhotell
  5. Brannmurenheter

Kategori:

Programvare utvikling