Introduktion till avancerade persistenta hot (APT)

En avancerad persistent hot är riktade attacker som är långsiktiga operationer som utförs av dess skapare (hackare) genom att leverera attackens nyttolast genom sofistikerade metoder (dvs. kringgå traditionella slutpunktsskyddslösningar) som sedan i hemlighet utför sina avsedda åtgärder (som informationstjällande) utan upptäcks.
Vanligtvis är målet för sådana attacker mycket noggrant valt och en noggrann åkallande genomförs först. Målet för sådana attacker är vanligtvis stora företag, statlig organisation, ofta skapar mellanregeringar rival och lanserar sådana attacker på varandra och mina mycket känslig information.

Några av exemplen på avancerade bestående hot är:

  • Titanregn (2003)
  • GhostNet (2009) -Stuxnet (2010) som nästan tog ner Irans kärnkraftsprogram
  • Hydra
  • Deep Panda (2015)

Egenskaperna och utvecklingen av avancerade långlivade hot

APT skiljer sig från traditionella hot på många olika sätt:

  • De använder sofistikerade och komplexa metoder för att penetrera nätverket.
  • De förblir oupptäckta under en mycket längre tidsperiod, medan ett traditionellt hot kanske bara upptäcks i nätverket eller vid slutpunktsskyddsnivån eller till och med om de har tur och passerar slutpunktlösningar, kommer en regelbunden sårbarhetskontroll och kontinuerlig övervakning att fånga hot medan de framåt ihållande hoten bara passerar alla lager av säkerhet och äntligen tar sig till värdar och de stannar där under en längre tid och utför sin verksamhet.
  • APT: erna är riktade attacker medan traditionella attacker kanske inte kan riktas.
  • De syftar också till att infiltrera hela nätverket.

Progression av avancerade persistenta hot

  1. Välja och definiera mål - Ett mål bör definieras, dvs vilken organisation som ska bli offer för en angripare. För detta samlar angriparen först så mycket information som möjligt via fotavtryck och rekognosering.
  2. Hitta och organisera kompletteringar - APT involverar avancerade som sofistikerade tekniker som används för att attackera och för det mesta är angriparen bakom ATP inte ensam. Så skulle det andra vara att hitta "partner i brottslighet" som har den kompetensnivån för att utveckla sofistikerade tekniker för att genomföra APT-attacker.
  3. Bygg och / eller förvärva vägtullar - För att genomföra APT-attackerna måste rätt verktyg väljas. Verktygen kan också byggas för att skapa en APT.
  4. Rekognosering och informationssamling - Innan en APT-attack utförs försöker angriparen att samla in så mycket information de kan för att skapa en plan för det befintliga IT-systemet. Exempel på insamling av information kan vara topologin för nätverk, DNS- och DHCP-servrar, DMZ (zoner), interna IP-intervall, webbservrar, etc. Det är värt att notera att det kan ta ett tag att definiera ett mål med tanke på storleken av en organisation. Ju större en organisation är, desto mer tid tar det att förbereda en plan.
  5. Test för upptäckt - I den här fasen letar vi efter sårbarheter och svaga platser och försöker distribuera en mindre version av rekognoseringsprogramvara.
  6. Start- och distributionsplats - Här kommer dagen, dagen då hela sviten distribueras genom en startpunkt som valdes bland många andra svaga platser efter noggrann inspektion.
  7. Inledande intrång - Nu är angriparen äntligen inne i det riktade nätverket. Härifrån måste han bestämma vart han ska gå och hitta det första målet.
  8. Utgående anslutning initierad - När APT går till mål, ställer in sig själv, försöker den sedan skapa en tunnel genom vilken datautfiltrering kommer att äga rum.
  9. Utvidgning av åtkomst och referensjakt - I denna fas försöker APT sprida sig själv i nätverket och försöker få så mycket åtkomst som möjligt utan att upptäckas.
  10. Stärka fotfäste - Här försöker vi leta efter och utnyttja andra sårbarheter. Genom att göra detta ökar en hackare chansen att få tillgång till andra förhöjda åtkomstplatser. Hackare ökar också chansen att skapa fler zombies. En zombie är en dator på internet som har äventyrats av en hacker.
  11. Utfiltrering av data - Detta är processen för att skicka data till hackarens bas. Hacker försöker vanligtvis använda företagets resurser för att kryptera data och sedan skicka dem till deras bas. Ofta för att distrahera utnyttjar hackarna brus taktik för att distrahera säkerhetsteamet så att den känsliga informationen kan flyttas ut utan att upptäckas.
  12. Täck spåren och förbli oupptäckt - hackarna ser till att rensa alla spåren under attackprocessen och när de har slutat. De försöker förbli så snygga som möjligt.

Upptäcka och förebygga Apt-attacker

Låt oss först försöka se de förebyggande åtgärderna:

  • Medvetenhet och nödvändig säkerhetsutbildning - Organisationerna är väl medvetna om att de flesta av de säkerhetsöverträdelser som händer idag, det händer eftersom användare har gjort något som inte borde ha gjorts, kanske de har lockats eller att de inte har följt rätt säkerhet åtgärder medan du gör något på kontor som att ladda ner programvara från dåliga webbplatser, besöka webbplatser som har skadlig avsikt, blev ett offer för phishing och många fler! Så en organisation bör fortsätta köra säkerhetsmedvetenhetssessioner och göra sina anställda om hur de ska arbeta i en säker miljö, om risker och effekter av säkerhetsbrott.
  • Åtkomstkontroller (NAC och IAM) - NAC- eller nätverksåtkomstkontrollerna har olika åtkomstpolicyer som kan implementeras för att blockera attackerna. Det är så eftersom om en enhet misslyckas med någon av säkerhetskontrollerna kommer den att blockeras av NAC. Identitets- och åtkomsthanteringen (IAM) kan hjälpa till att hålla hackarna borta som försöker stjäla vårt lösenord försöker knäcka lösenordet.
  • Penetration Testing - Detta är ett bra sätt att testa ditt nätverk mot penetration. Så här blir organisationsfolket själv hacker som ofta kallas för etiska hackare. De måste tänka som en hacker för att tränga in i organisationsnätverket och det gör de! Exponeringen visar de befintliga kontrollerna och sårbarheterna som finns på plats. Baserat på exponering sätter organisationen de nödvändiga säkerhetskontrollerna.
  • Administrativa kontroller - De administrativa och säkerhetskontrollerna bör vara intakta. Detta innebär regelbunden lappning av system och programvara, med intrångsdetekteringssystem på plats tillsammans med brandväggar. Organisationens IPS (som proxyserver, webbservrar) bör placeras i DMZ (Demilitarized zone) så att det separeras från det interna nätverket. Genom att göra detta, även om en hacker får kontroll över en server i DMZ, kommer han inte att kunna komma åt interna servrar eftersom de ligger på andra sidan och är en del av det separata nätverket.

Nu kommer vi att prata om detektivåtgärder

  • Network Monitoring– Command and Control (C&C) center är vingarna för Advanced Persistent Threats att bära in och ut nyttolast respektive konfidentiell information. Den infekterade värden litar på kommando- och kontrollcentret för att utföra nästa åtgärdsserie och de kommunicerar vanligtvis regelbundet. Så om vi försöker upptäcka program, domännamnfrågor som händer under en periodisk cykel, skulle det vara värt att undersöka dessa fall.
  • Användarbeteende Analytics - Detta innebär användning av artificiell intelligens och lösningar som kommer att hålla ett öga på användarens aktivitet. Förväntningen är - lösningen ska kunna upptäcka alla avvikelser i aktiviteter som en värd gör.
  • Användning av Deception Technology - Detta fungerar som en dubbel fördel för organisationen. Först lockas angriparna till falska servrar och andra resurser och skyddar därmed en organisations ursprungliga tillgångar. Nu använder organisationen också de falska servrarna för att lära sig de metoder som angriparna använder medan de attackerar organisationen, de lär sig deras cyber kill chain.

Reparation och svar

Vi måste också lära dig respons- och reparationsförfarandet om några APT-attacker inträffar. Till en början kanske APT fastnar i sin inledande fas om vi använder rätt verktyg och teknik och i dess inledande fas kommer effekten att bli mycket mindre eftersom APTs huvudsakliga motiv är att stanna längre och förbli oupptäckt. När det har upptäckts bör vi försöka få så mycket information från säkerhetsloggarna, kriminaltekniken och andra verktyg. Det infekterade systemet måste återanvändas och man bör se till att inget hot tas bort från alla infekterade system och nätverk. Då bör organisationen granska noggrant en kontroll av alla system för att kontrollera om den har nått fler platser. Säkerhetskontrollen bör sedan ändras för att förhindra sådana attacker eller liknande som kan hända i framtiden.
Om Advanced Persistent Threats (APT) har tillbringat dagar och det har upptäckts på ett mycket senare skede, bör systemen omedelbart tas offline, separeras från alla möjliga nätverk, alla filserver som påverkas måste också kontrolleras . Sedan bör en fullständig återanvändning göras av de drabbade värdarna, en djup analys bör göras för att avslöja cyberdödkedjan som följdes. CIRT (Cyber ​​Incident Response Team) och Cyber ​​Forensics bör engageras för att hantera alla dataöverträdelser som har hänt.

Slutsats

I den här artikeln har vi sett hur en APT-attack fungerar och hur vi kan förebygga, upptäcka och svara på sådana hot. Man bör få en grundläggande uppfattning om en typisk cyber kill-kedja som är involverad bakom APT-attacker. Hoppas att du gillade lektionen.

Rekommenderade artiklar

Detta är en guide till Advanced Persistent Threats (APT). Här diskuterar vi introduktionen och karaktäristik och progression av avancerade persistenta hot, upptäckt och förebyggande av APT-attacker. Du kan också gå igenom våra andra artiklar som föreslås för att lära dig mer.

  1. Vad är WebSocket?
  2. Webapplikationssäkerhet
  3. Utmaningar för cybersäkerhet
  4. Typer av webbhotell
  5. Brandväggsenheter

Kategori:

Mjukvaruutveckling