Introduktion til avancerede vedvarende trusler (APT)

En avanceret vedvarende trusler er målrettede angreb, der er langsigtede operationer, der udføres af dens skabere (hackere) ved at levere angrebens nyttelast ved hjælp af avancerede metoder (dvs. omgå traditionelle endepunktbeskyttelsesløsninger), som derefter i hemmelighed udfører sine tilsigtede handlinger (som information stjæle) uden bliver fundet.
Normalt er målet for sådanne angreb meget omhyggeligt valgt, og en omhyggelig rekognosering udføres først. Målet for sådanne angreb er normalt store virksomheder, regeringsorganisation, ofte mellemregeringer skaber rival og lancerer sådanne angreb på hinanden og mines meget følsomme oplysninger.

Nogle af eksemplerne på avancerede vedvarende trusler er:

  • Titan rain (2003)
  • GhostNet (2009) -Stuxnet (2010), som næsten tog Irans nukleare program ned
  • Hydra
  • Deep Panda (2015)

Egenskaber og udvikling af avancerede vedvarende trusler

APT adskiller sig fra traditionelle trusler på mange forskellige måder:

  • De bruger sofistikerede og komplekse metoder til at trænge igennem netværket.
  • De forbliver uopdaget i en meget længere periode, mens en traditionel trussel måske bare bliver detekteret på netværket eller på endepunktbeskyttelsesniveauet, eller endda hvis de er heldige og passerer endepunktløsninger, vil en regelmæssig sårbarhedskontrol og kontinuerlig overvågning fange trussel, mens de fremadskridende vedvarende trusler bare passerer alle lag af sikkerhed og endelig gør deres vej til værter, og de bliver der i længere tid og udfører deres operation.
  • APT'erne er målrettede angreb, mens traditionelle angreb muligvis ikke er målrettet.
  • De sigter også mod at infiltrere hele netværket.

Progression af avancerede vedvarende trusler

  1. Valg og definition af mål - Der skal defineres et mål, dvs. hvilken organisation der skal være offer for en angriber. Til dette indsamler angriberen først så meget information som muligt via fodaftryk og rekognosering.
  2. Find og organiser komplikationer - APT involverer avancerede som sofistikerede teknikker, der bruges til angreb, og for det meste er angriberen bag ATP ikke alene. Så det andet ville være at finde "partner i kriminalitet", der besidder dette færdighedsniveau til at udvikle avancerede teknikker til at udføre APT-angreb.
  3. Byg og / eller erhverver vejafgift - For at udføre APT-angreb skal de rigtige værktøjer vælges. Værktøjerne kan også bygges til at oprette en APT.
  4. Rekognosering og informationsindsamling - Før angriberen udfører et APT-angreb, forsøger angriberen at indsamle så meget information de kan for at skabe en plan for det eksisterende IT-system. Eksemplet på informationsindsamling kan være topologien på netværket, DNS- og DHCP-servere, DMZ (zoner), interne IP-intervaller, webservere osv. Det er værd at bemærke, at det kan tage et stykke tid at definere et mål i betragtning af størrelsen af en organisation. Jo større en organisation er, jo mere tid vil det tage at forberede en plan.
  5. Test til påvisning - I denne fase ser vi efter sårbarheder og svage steder og forsøger at installere en mindre version af rekognoseringssoftware.
  6. Indgangs- og implementeringssted - Her kommer dagen, den dag, hvor den fulde pakke implementeres gennem et indgangspunkt, der blev valgt blandt mange andre svage steder efter omhyggelig inspektion.
  7. Første indtrængen - Nu er angriberen endelig inde i det målrettede netværk. Herfra har han brug for at beslutte, hvor han skal gå og finde det første mål.
  8. Udgående forbindelse initieret - Når APT går til mål, indstiller sig selv, forsøger den derefter at oprette en tunnel, gennem hvilken dataudfiltrering finder sted.
  9. Udvidelse af adgang og legitimationsjagt - I denne fase forsøger APT at sprede sig selv i netværket og forsøger at få så meget adgang som muligt uden at blive opdaget.
  10. Styrke fodfæste - Her prøver vi at kigge efter og udnytte andre sårbarheder. Ved at gøre dette øger en hacker chancen for at få adgang til andre forhøjede adgangssteder. Hackere øger også chancen for at etablere flere zombier. En zombie er en computer på internettet, der er kompromitteret af en hacker.
  11. Udfiltrering af data - Dette er processen med at sende dataene til hackerens base. Hacker forsøger generelt at bruge virksomhedens ressourcer til at kryptere dataene og derefter sende dem til deres base. Ofte for at distrahere, udnytter hackerne støjtaktikker for at distrahere sikkerhedsteamet, så de følsomme oplysninger kan flyttes ud uden at blive opdaget.
  12. Dæk sporene og bliv uopdaget - hackerne sørger for at rydde alle spor under angrebsprocessen, og når de først er afsluttet. De prøver at forblive så smule som muligt.

Registrering og forebyggelse af Apt-angreb

Lad os først prøve at se de forebyggende foranstaltninger:

  • Bevidsthed og krævet sikkerhedstræning - Organisationerne er klar over, at de fleste af de sikkerhedsovertrædelser, der sker i disse dage, det sker, fordi brugerne har gjort noget, som ikke burde have været gjort, måske er de blevet lokket, eller de har ikke fulgt den rette sikkerhed foranstaltninger, mens du gør noget på kontorer, såsom at downloade software fra dårlige websteder, besøge websteder, der har ondsindet intention, blev et offer for phishing og mange flere! Så en organisation skal fortsætte med at køre sikkerhedsoplysningssessioner og gøre deres medarbejdere til, hvordan de udfører arbejde i et sikret miljø, om risici og konsekvenser af sikkerhedsbrud.
  • Adgangskontrol (NAC og IAM) - NAC- eller netværksadgangskontrollerne har en række adgangspolitikker, der kan implementeres for at blokere angrebene. Det er sådan, fordi hvis en enhed svigter en af ​​sikkerhedskontrollerne, blokeres den af ​​NAC. Identitets- og adgangsstyring (IAM) kan hjælpe med at holde hackere væk, som forsøger at stjæle vores kodeord, prøver at knække adgangskoden.
  • Penetration Testing - Dette er en fantastisk måde at teste dit netværk mod penetration. Så her bliver organisationsfolket selv hacker, der ofte kaldes som etiske hackere. De er nødt til at tænke som en hacker for at trænge ind i det organisatoriske netværk, og det gør de! Eksponeringen afslører de eksisterende kontroller og sårbarheder, der er på plads. Baseret på eksponering sætter organisationen de nødvendige sikkerhedskontroller.
  • Administrative kontroller - De administrative og sikkerhedskontroller skal være intakte. Dette indebærer regelmæssig programrettelse af systemer og software, hvor indtrædsdetekteringssystemer er på plads ledsaget af firewalls. Organisationens IPS (som f.eks. Proxy, webservere) er placeret i offentligheden skal placeres i DMZ (Demilitariseret zone), så det adskilles fra det interne netværk. Ved at gøre dette, selvom en hacker får kontrol over en server i DMZ, vil han ikke kunne få adgang til interne servere, fordi de ligger på den anden side og er en del af det separate netværk.

Nu skal vi tale om detektivforanstaltninger

  • Network Monitoring– Command and Control (C&C) center er vingerne for henholdsvis avancerede vedvarende trusler til henholdsvis at udføre og udføre nyttelast og fortrolige data. Den inficerede vært er afhængig af kommando- og kontrolcenter for at udføre den næste række af handlinger, og de kommunikerer normalt periodisk. Så hvis vi forsøger at opdage programmer, forespørgsler om domænenavne, der sker i en periodisk cyklus, ville det være værd at undersøge disse tilfælde.
  • Brugeradfærdsanalyse - Dette indebærer anvendelse af kunstig intelligens og løsninger, der holder øje med brugerens aktivitet. Forventningen er - løsningen skal være i stand til at registrere enhver anomali i aktiviteter, som en vært udfører.
  • Brug af bedragsteknologi - Dette tjener som en dobbelt fordel for organisationen. Først lokkes angriberen til falske servere og andre ressourcer, hvorved de beskytter de originale aktiver i en organisation. Nu bruger organisationen også disse falske servere til at lære de metoder, som angribere bruger, mens de angriber organisationen, de lærer deres cyber kill chain.

Reparation og respons

Vi skal også lære reaktions- og reparationsproceduren, hvis der sker nogen angreb på Advanced Persistent Threats (APT). Til at begynde med kan APT blive fanget i sin indledende fase, hvis vi bruger de rigtige værktøjer og teknologier, og i dens indledende fase vil virkningen være meget mindre, fordi APT's hovedmotiv er at forblive længere og forblive uopdaget. Når det først er blevet fundet, skal vi forsøge at få så meget information fra sikkerhedslogfiler, kriminalteknik og andre værktøjer. Det inficerede system skal genanvendes, og man skal sikre sig, at der ikke fjernes nogen trussel fra alle de inficerede systemer og netværk. Derefter bør organisationen grundigt køre en check på alle systemerne for at kontrollere, om den har nået flere steder. Sikkerhedskontrollen skal derefter ændres for at forhindre sådanne angreb eller lignende, der måtte ske i fremtiden.
Hvis de avancerede vedvarende trusler (APT) nu har tilbragt dage, og det er blevet opdaget på et meget senere tidspunkt, skal systemerne straks tages offline, adskilt fra alle mulige netværk, alle filserver, der berøres, skal også kontrolleres . Derefter skal der udføres en fuldstændig genindspilning af de berørte værter, en dyb analyse bør gøres for at afsløre den cyberdrabskæde, der blev fulgt. CIRT (Cyber ​​Incident Response Team) og Cyber ​​Forensics skal beskæftige sig med at tackle alle de dataovertrædelser, der er sket.

Konklusion

I denne artikel har vi set, hvordan et APT-angreb fungerer, og hvordan vi kan forhindre, opdage og reagere på sådanne trusler. Man skal få en grundlæggende idé om en typisk cyber-dræbningskæde, der er involveret bag APT-angreb. Håber du nød undervisningen.

Anbefalede artikler

Dette er en guide til Advanced Persistent Threats (APT). Her diskuterer vi introduktionen og karakteristika og progression af avancerede vedvarende trusler, påvisning og forebyggelse af APT-angreb. Du kan også gennemgå vores andre foreslåede artikler for at lære mere.

  1. Hvad er WebSocket?
  2. Webapplikationssikkerhed
  3. Udfordringer med cybersikkerhed
  4. Typer af webhosting
  5. Firewall-enheder

Kategori:

Softwareudvikling