Расширенные постоянные угрозы - Характеристики и прогрессирование APT

• Введение в продвинутые постоянные угрозы (APT)

Введение в продвинутые постоянные угрозы (APT)

Продвинутые постоянные угрозы - это целевые атаки, представляющие собой длительные операции, выполняемые его создателями (хакерами) путем доставки полезной нагрузки атаки с помощью сложных методов (например, в обход традиционных решений защиты конечных точек), которые затем тайно выполняют свои предполагаемые действия (например, кражу информации) без быть обнаруженным.
Обычно цель таких атак выбирается очень тщательно, и сначала проводится тщательная разведка. Целью таких атак обычно являются крупные предприятия, правительственные организации, зачастую межправительственные организации, создающие конкурентов и запускающие такие атаки друг на друга и добывающие крайне конфиденциальную информацию.

Вот некоторые примеры продвинутых постоянных угроз:

• Титановый дождь (2003)
• GhostNet (2009) -Stuxnet (2010), который почти свернул ядерную программу Ирана
• гидра
• Глубокая панда (2015)

Характеристики и прогрессирование продвинутых постоянных угроз

APT отличаются от традиционных угроз по-разному:

• Они используют сложные и сложные методы для проникновения в сеть.
• Они остаются незамеченными в течение гораздо более длительного промежутка времени, в то время как традиционная угроза может быть просто обнаружена в сети или на уровне защиты конечных точек, или даже если им повезет и они будут проходить через решения для конечных точек, регулярная проверка уязвимости и постоянный мониторинг поймают Угроза, в то время как передовые постоянные угрозы просто проходят все уровни безопасности и, наконец, попадают на хосты, которые остаются там в течение более длительного периода времени и выполняют свою работу.
• APT являются целевыми атаками, в то время как традиционные атаки могут / не могут быть целевыми.
• Они также стремятся проникнуть во всю сеть.

Прогрессирование передовых постоянных угроз

1. Выбор и определение цели - цель должна быть определена, т.е. какая организация должна стать жертвой злоумышленника. Для этого злоумышленник сначала собирает как можно больше информации с помощью следов и разведки.
2. Найти и организовать соучастников - APT включает в себя сложные и сложные методы, которые используются для атак, и в большинстве случаев атакующий за ATP не одинок. Таким образом, второе - найти «партнера по преступлению», который обладает таким уровнем навыков для разработки сложных методов проведения APT-атак.
3. Построить и / или получить плату - для проведения APT-атак необходимо выбрать правильные инструменты. Инструменты могут быть созданы для создания APT.
4. Разведка и сбор информации. Прежде чем приступить к атаке APT, злоумышленник пытается собрать как можно больше информации, чтобы создать план существующей ИТ-системы. Примером сбора информации может быть топология сети, DNS и DHCP-серверы, DMZ (зоны), внутренние диапазоны IP-адресов, веб-серверы и т. Д. Стоит отметить, что определение цели может занять некоторое время, учитывая размер организации. Чем крупнее организация, тем больше времени потребуется для подготовки проекта.
5. Тест на обнаружение - на этом этапе мы ищем уязвимости и слабые места и пытаемся развернуть уменьшенную версию разведывательного программного обеспечения.
6. Точка входа и развертывания. Здесь наступает день, день, когда полный комплект развертывается через точку входа, которая была выбрана среди многих других уязвимых мест после тщательной проверки.
7. Начальное вторжение - теперь злоумышленник, наконец, находится в целевой сети. Отсюда он должен решить, куда идти и найти первую цель.
8. Инициировано исходящее соединение - как только APT идет к цели, устанавливает себя, он затем пытается создать туннель, через который будет происходить эксфильтрация данных.
9. Расширение доступа и поиск учетных данных - на этом этапе APT пытается распространиться в сети и пытается получить как можно больший доступ, не будучи обнаруженным.
10. Укрепление опоры - здесь мы пытаемся найти и использовать другие уязвимости. Делая это, хакер увеличивает шанс получить доступ к другим локациям с повышенными правами доступа. Хакеры также увеличивают вероятность создания большего количества зомби. Зомби - это компьютер в Интернете, взломанный хакером.
11. Эксфильтрация данных - это процесс отправки данных на базу хакера. Как правило, хакер пытается использовать ресурсы компании для шифрования данных, а затем отправляет их на свою базу. Часто отвлекаясь, хакеры используют шумовую тактику, чтобы отвлечь команду безопасности, чтобы конфиденциальная информация могла быть удалена без обнаружения.
12. Скрывайте следы и оставайтесь незамеченными - хакеры обязательно удаляют все следы во время процесса атаки и после выхода. Они пытаются оставаться скрытными, насколько это возможно.

Обнаружение и предотвращение атак Apt

Давайте сначала попробуем увидеть профилактические меры:

• Осведомленность и необходимая подготовка по безопасности . Организации хорошо знают, что большинство нарушений безопасности, которые происходят в наши дни, происходит потому, что пользователи сделали что-то, чего не следовало делать, возможно, их заманили или они не соблюдали надлежащую безопасность. меры при выполнении каких-либо действий в офисах, такие как загрузка программного обеспечения с плохих сайтов, посещение сайтов с злонамеренными намерениями, стали жертвами фишинга и многих других! Поэтому организация должна продолжать проводить сеансы осведомленности о безопасности и рассказывать своим сотрудникам о том, как выполнять работу в защищенной среде, о рисках и последствиях нарушений безопасности.
• Контроль доступа (NAC и IAM) - NAC или элементы управления доступом к сети имеют различные политики доступа, которые могут быть реализованы для блокирования атак. Это так, потому что если устройство не проходит ни одну из проверок безопасности, оно будет заблокировано NAC. Управление идентификацией и доступом (IAM) может помочь не дать хакерам, которые пытаются украсть наш пароль, попытаться взломать пароль.
• Тестирование на проникновение - это один из отличных способов проверить вашу сеть на проникновение. Итак, здесь люди организации сами становятся хакерами, которых часто называют этическими хакерами. Они должны думать, как хакер, чтобы проникнуть внутрь организационной сети, и они делают! Выставляет существующие элементы управления и уязвимости, которые на месте. Основываясь на подверженности, организация устанавливает необходимые меры безопасности.
• Административный контроль - Административный контроль и контроль безопасности должны быть неповрежденными. Это включает в себя регулярное исправление систем и программного обеспечения, наличие систем обнаружения вторжений и брандмауэров. Общедоступные IPS организации (такие как прокси-серверы и веб-серверы) следует размещать в демилитаризованной зоне (DMZ), чтобы она была отделена от внутренней сети. Таким образом, даже если хакер получит контроль над сервером в демилитаризованной зоне, он не сможет получить доступ к внутренним серверам, поскольку они находятся на другой стороне и являются частью отдельной сети.

Теперь поговорим о детективных мерах

• Мониторинг сети - Центр командования и управления (C & C) - это крыло для продвинутых постоянных угроз для переноса и выгрузки полезных данных и конфиденциальных данных соответственно. Зараженный хост использует центр управления и команд для выполнения следующей серии действий, и они обычно периодически обмениваются данными. Итак, если мы попытаемся обнаружить программы, запросы по доменным именам, которые происходят в периодическом цикле, стоило бы разобраться в этих случаях.
• Аналитика поведения пользователя - это включает использование искусственного интеллекта и решений, которые будут следить за деятельностью пользователя. Ожидание - решение должно быть в состоянии обнаружить любую аномалию в действиях, которые выполняет хост.
• Использование технологии обмана - это двойная выгода для организации. Сначала злоумышленники заманивают на фальшивые серверы и другие ресурсы, тем самым защищая первоначальные активы организации. Теперь организация также использует эти поддельные серверы для изучения методов, которые используют злоумышленники, когда они атакуют организацию, они изучают свою цепочку кибер-убийств.

Ремонт и ответ

Мы также должны изучить процедуру реагирования и восстановления в случае любых атак Advanced Persistent Threats (APT). Сначала APT может попасть на начальный этап, если мы используем правильные инструменты и технологии, а на начальном этапе воздействие будет намного меньше, поскольку основной мотив APT - оставаться дольше и оставаться незамеченным. После обнаружения мы должны попытаться получить как можно больше информации из журналов безопасности, криминалистики и других инструментов. Зараженная система должна быть перезагружена, и необходимо убедиться, что никакая угроза не удалена из всех зараженных систем и сетей. Затем организация должна тщательно выполнить проверку всех систем, чтобы проверить, достигло ли она большего количества мест. Контроль безопасности должен быть затем изменен, чтобы предотвратить такие атаки или любые подобные, которые могут произойти в будущем.
Теперь, если расширенные постоянные угрозы (APT) потратили несколько дней, и они были обнаружены на более поздней стадии, системы должны быть немедленно переведены в автономный режим, отделены от всех видов сетей, необходимо также проверить все файловые службы, которые затронуты., Затем следует выполнить полное повторное отображение затронутых хостов, провести глубокий анализ, чтобы выявить цепочку кибер-уничтожения, которая была применена. CIRT (группа реагирования на кибер-инциденты) и Cyber ​​Forensics должны участвовать в устранении всех утечек данных, которые произошли.

Вывод

В этой статье мы увидели, как работает атака APT и как мы можем предотвращать, обнаруживать и реагировать на такие угрозы. Нужно получить базовое представление о типичной цепочке кибер-убийств, которая стоит за атаками APT. Надеюсь, вам понравился урок.

Рекомендуемые статьи

Это руководство по продвинутым постоянным угрозам (APT). Здесь мы обсуждаем введение и характеристики и прогресс продвинутых постоянных угроз, обнаружение и предотвращение атак APT. Вы также можете просмотреть наши другие предлагаемые статьи, чтобы узнать больше.

1. Что такое WebSocket?
2. Безопасность веб-приложений
3. Проблемы кибербезопасности
4. Типы веб-хостинга
5. Устройства межсетевого экрана