Sissejuhatus kaugelearenenud püsivatesse ohtudesse (APT)

Kaugelearenenud püsivad ohud on suunatud rünnakud, mis on selle loojate (häkkerite) poolt pikaajaliselt teostatavad operatsioonid, toimetades rünnaku kasuliku teabe keerukate meetodite abil (st. Mööda hiilides traditsioonilistest lõpp-punkti lahendustest), mis seejärel viib salaja läbi kavandatud toiminguid (näiteks teabe varastamine) ilma tuvastatakse.
Tavaliselt valitakse selliste rünnakute sihtkoht väga hoolikalt ja kõigepealt viiakse läbi hoolikas luureteave. Selliste rünnakute sihtmärgiks on tavaliselt suurettevõtted, valitsusasutused, sageli loob valitsustevaheline konkurent ja käivitab sellised rünnakud üksteise vastu ning kaevandab ülitundlikku teavet.

Mõned näited edasijõudnute püsivast ohust on:

  • Titan vihm (2003)
  • GhostNet (2009) -Stuxnet (2010), mis peaaegu lõpetas Iraani tuumaprogrammi
  • Hüdra
  • Deep Panda (2015)

Kaugelearenenud püsivate ohtude iseloomustus ja progressioon

APT erineb traditsioonilistest ohtudest mitmeti:

  • Nad kasutavad võrku tungimiseks keerukaid ja keerulisi meetodeid.
  • Neid ei tuvastata palju pikema aja vältel, samas kui traditsiooniline oht võidakse lihtsalt avastada võrgus või lõpp-punkti kaitsetasemel või isegi siis, kui neil õnnestub ja nad lähevad lõpp-punktilahendustest mööda, haarab korrapärane haavatavuse kontroll ja pidev jälgimine samas kui varasemad püsivad ohud mööduvad lihtsalt kõigist turvatasemetest ja viivad lõpuks võõrustajate juurde ning nad jäävad sinna pikemaks ajaks ja viivad läbi oma operatsiooni.
  • APT-d on suunatud rünnakud, samas kui traditsioonilised rünnakud võivad / ei pruugi olla suunatud.
  • Samuti on nende eesmärk tungida kogu võrku.

Kaugelearenenud püsivate ohtude progresseerumine

  1. Sihtmärgi valimine ja määratlemine - tuleb määratleda sihtmärk, st milline organisatsioon peaks ründaja ohvriks langema. Selleks kogub ründaja kõigepealt jalajälgede ja tutvumise abil võimalikult palju teavet.
  2. Kaasosaliste otsimine ja korraldamine - APT hõlmab arenenud kui ka keerukaid tehnikaid, mida kasutatakse ründamiseks ja enamasti pole ATP taga olev ründaja üksi. Niisiis, teine ​​oleks leida "kuritegevuse partner", kellel on see oskuste tase, et töötada välja keerukad tehnikad APT rünnakute läbiviimiseks.
  3. Teemaksu kogumine ja / või hankimine - APT rünnakute läbiviimiseks tuleb valida sobivad tööriistad. Tööriistad saab luua ka APT loomiseks.
  4. Tutvumine ja teabe kogumine - enne APT-rünnaku läbiviimist üritab ründaja koguda võimalikult palju teavet olemasoleva IT-süsteemi kavandi loomiseks. Teabe kogumise näide võib olla võrgu topoloogia, DNS- ja DHCP-serverid, DMZ (tsoonid), sisemised IP-vahemikud, veebiserverid jne. Väärib märkimist, et eesmärgi määratlemine võib nende suurust arvestades veidi aega võtta organisatsiooni. Mida suurem on organisatsioon, seda rohkem aega võtab projekti koostamiseks aega.
  5. Tuvastamise test - selles faasis otsime nõrku kohti ja nõrku kohti ning proovime juurutada luuretarkvara väiksemat versiooni.
  6. Sisenemise ja juurutamise koht - siin saabub päev, päev, mil täielik komplekt võetakse kasutusele sisenemispunkti kaudu, mis pärast hoolikat kontrollimist valiti paljude teiste nõrkade kohtade hulgast.
  7. Esialgne sissetung - nüüd on ründaja lõpuks sihitud võrgus. Siit alates peab ta otsustama, kuhu minna, ja leidma esimene sihtkoht.
  8. Alustatud väljaminev ühendus - kui APT läheb sihikule, seab ennast, proovib ta seejärel luua tunneli, mille kaudu toimub andmete väljafiltrimine.
  9. Juurdepääsu ja mandaatide jahi laiendamine - selles faasis üritab APT levitada ennast võrgus ja proovib saada võimalikult palju juurdepääsu ilma tuvastamata.
  10. Jalatugevuse tugevdamine - siin proovime teisi haavatavusi otsida ja ära kasutada. Nii toimides suurendab häkker juurdepääsu muudele kõrgendatud juurdepääsuga asukohtadele. Häkkerid suurendavad ka võimalust luua rohkem zombisid. Zombi on Internetis töötav arvuti, mille häkker on ohtu seadnud.
  11. Andmete eksfiltreerimine - see on protsess, mille käigus saadetakse andmed häkkerite baasi. Häkker proovib üldjuhul ettevõtte ressursse andmete krüptimiseks kasutada ja seejärel oma baasi saata. Sageli tähelepanu kõrvale juhtimiseks kasutavad häkkerid turvameeskonna tähelepanu kõrvale juhtimiseks müra taktikat, et tundlikku teavet saaks ilma tuvastamata välja viia.
  12. Katke jäljed ja jääge märkamatuks - häkkerid puhastavad rünnaku ajal ja pärast väljumist kõik jäljed. Nad püüavad jääda võimalikult vargseks.

Apt-rünnakute tuvastamine ja ennetamine

Proovime kõigepealt näha ennetavaid meetmeid:

  • Teadlikkus ja vajalik turvakoolitus - organisatsioonid teavad hästi, et enamus tänapäeval aset leidvaid turvarikkumisi juhtub seetõttu, et kasutajad on teinud midagi sellist, mida poleks tohtinud teha, võib-olla on neid peibutatud või nad pole järginud korralikku turvalisust mõõdab kontorites midagi tehes, näiteks tarkvara allalaadimine halbadelt saitidelt, pahatahtlike saitide külastamine, mis on õngevõtmise ohver ja palju muud! Niisiis peaks organisatsioon korraldama turbealaseid teadlikkuse tõstmise seansse ja panema oma töötajad mõtlema, kuidas turvalises keskkonnas tööd teha, millised on turvarikkumiste riskid ja mõju.
  • Juurdepääsukontrollid (NAC ja IAM) - NAC-i või võrgule juurdepääsu juhtimise juhtelementidel on mitmesuguseid juurdepääsu põhimõtteid, mida saab rünnakute blokeerimiseks rakendada. Selle põhjuseks on asjaolu, et kui seade ei läbi ühtegi turvakontrolli, blokeerib NAC selle. Identiteedi ja juurdepääsuhaldus (IAM) aitab häkkeritest eemale hoida, kes proovivad meie parooli varastada.
  • Läbivuse testimine - see on üks suurepärane viis võrgu testimiseks läbitungimise vastu. Niisiis, siin saavad organisatsiooni inimesed ise häkkeriteks, keda sageli nimetatakse eetilisteks häkkeriteks. Nad peavad mõtlema nagu häkker, et tungida organisatsiooni võrku ja nad saavad hakkama! See paljastab olemasolevad kontrollid ja nõrgad kohad. Särituse põhjal kehtestab organisatsioon nõutavad turvakontrollid.
  • Administratiivkontroll - haldus- ja turvakontroll peaksid olema puutumatud. See hõlmab süsteemide ja tarkvara regulaarset lappimist, sissetungimise avastamise süsteemide olemasolu koos tulemüüridega. Organisatsiooni avalikkusele suunatud IPS (näiteks puhverserver, veebiserverid) tuleks paigutada DMZ-i (demilitariseeritud tsoon) nii, et see oleks sisevõrgust eraldatud. Isegi kui häkker omandab DMZ-is serveri kontrolli, ei pääse see sisemistele serveritele, kuna need asuvad teisel pool ja on eraldi võrgu osa.

Nüüd räägime detektiivimeetmetest

  • Võrgu jälgimine - juhtimis- ja juhtimiskeskus (C&C) on kaugelearenenud püsivate ohtude tiivad vastavalt kas koormate ja konfidentsiaalsete andmete sisse- ja väljavõtmiseks. Nakatunud host tugineb järgmise tegevussarja täitmisele juhtimis- ja juhtimiskeskusele ning nad suhtlevad üldjuhul perioodiliselt. Seega, kui proovime tuvastada programme, domeeninime päringuid, mis toimuvad perioodilises tsüklis, tasuks neid juhtumeid uurida.
  • Kasutajakäitumise analüüs - see hõlmab tehisintellekti ja lahenduste kasutamist, mis jälgivad kasutaja tegevust. Ootus on selline - lahendus peaks suutma tuvastada mis tahes kõrvalekaldeid tegevuses, mida host teeb.
  • Pettustehnoloogia kasutamine - see on organisatsioonile kahekordne eelis. Alguses meelitatakse ründajaid võltsiserverite ja muude ressursside juurde, kaitstes sellega organisatsiooni algset vara. Nüüd kasutab organisatsioon ka neid võltsiservereid, et õppida meetodeid, mida ründajad kasutavad organisatsiooni rünnates, et nad õpiksid oma kübertapmise ahelat.

Remont ja reageerimine

Peame õppima reageerimise ja parandamise protseduure ka APT-rünnakute korral. Alguses võib APT takerduda selle algfaasi, kui kasutame õigeid tööriistu ja tehnoloogiaid ning selle algfaasis on mõju palju väiksem, kuna APT peamine motiiv on jääda pikemaks ja jääda märkamatuks. Kui see on tuvastatud, peaksime proovima turbepäevikutest, kohtuekspertiisidest ja muudest tööriistadest võimalikult palju teavet saada. Nakatunud süsteemi tuleb uuesti pildistada ja tuleks veenduda, et kõigist nakatunud süsteemidest ja võrkudest ei eemaldataks ühtegi ohtu. Seejärel peaks organisatsioon põhjalikult kontrollima kõiki süsteeme, et kontrollida, kas see on jõudnud rohkematesse kohtadesse. Turvakontrolli tuleks seejärel muuta, et vältida selliseid rünnakuid või muid sarnaseid, mis võivad tulevikus juhtuda.
Kui täiustatud püsivad ohud (APT) on veetnud päevi ja see on tuvastatud palju hilisemas etapis, tuleks süsteemid viivitamatult välja lülitada, eraldada need kõikvõimalikest võrkudest, samuti tuleb kontrollida kõiki mõjutatud failiteenuseid . Seejärel tuleks mõjutatud peremehed uuesti ümber kujundada, järgitud kübertapuahela paljastamiseks tuleks teha põhjalik analüüs. CIRT (küberintsidentide reageerimise meeskond) ja küberekspertide eksperdirühm peaksid tegelema kõigi juhtunud andmerikkumistega.

Järeldus

Selles artiklis oleme näinud, kuidas APT rünnak töötab ja kuidas saame selliseid ohte ennetada, tuvastada ja neile reageerida. Peaks saama põhiidee tüüpilise kübertapmise ahela kohta, mis on seotud APT rünnakutega. Loodan, et teile meeldis õpetus.

Soovitatavad artiklid

See on juhend kaugelearenenud püsivaid ohte (APT). Siin arutatakse sissejuhatust ning edasijõudnute ohtude tunnuseid ja progresseerumist, APT rünnakute avastamist ja ennetamist. Lisateabe saamiseks võite tutvuda ka meie teiste soovitatud artiklitega.

  1. Mis on WebSocket?
  2. Veebirakenduste turvalisus
  3. Küberjulgeoleku väljakutsed
  4. Veebimajutuse tüübid
  5. Tulemüüri seadmed

Kategooria: