Расширенная постоянная угроза — что это такое и как это влияет на меня?
Введение
За последние несколько лет в умы аналитиков ИТ-безопасности и в презентации поставщиков во всем мире прочно вкрался термин: Advanced Persistent Threat (APT). Кажется, что у каждого поставщика есть решение для борьбы с APT или «волшебная пуля», чтобы защитить вашу организацию, вынюхивая и уничтожая его из вашей среды. Это заставляет многие ИТ-организации задаваться вопросом, что реально, что является маркетинговой чепухой и что они должны делать для защиты своих организаций по мере того, как злоумышленники и угрозы становятся все более изощренными. В этой статье мы рассмотрим концепции, лежащие в основе APT, и познакомим вас с различными частями головоломки — действующими лицами, угрозами и методами.
Что такое АПТ?
Трудно найти общее определение APT, поскольку многие поставщики, консорциумы и группы вносят свои собственные изменения в терминологию. Общепринятое объяснение APT относится к нему как к «продвинутому и обычно тайному средству для получения постоянной, постоянной информации о человеке или группе лиц, таких как правительство иностранного государства». APT иногда используется для обозначения изощренных хакерских атак и групп, стоящих за ними. Но что это значит для ИТ-специалиста?
Проще говоря, APT — это разведка и исследование вашей сети в дополнение к вашей инфраструктуре и вашим информационным ресурсам. Это ссылка на изощренного и преданного злоумышленника или злоумышленников, которые готовы «затаиться» и действовать очень медленно в обмен на сбор данных о вас, вашей организации и о том, как вы работаете. Для ИТ-специалиста, управляющего средой, корректирующего вашу текущую инфраструктуру и готовящегося к этой угрозе, потребуется другое мышление и некоторая аналитическая оценка.
Эволюция атакующего
Традиционные вредоносные программы и традиционные злоумышленники долгое время работали по совершенно разным моделям. ИТ-специалисты, которые часами работали и спали посменно, чтобы убрать беспорядок, оставленный Code Red, NIMDA, SQL Slammer, Blaster и многими другими, могут засвидетельствовать «шумность» этих атак. Машины перезагружались, происходили паники ядра, службы RPC отключались, и идентифицировать зараженные машины было относительно легко. По мере того, как большинство организаций обрели разумный подход к установке исправлений для систем, эксплуатировать такие «легко висящие» уязвимости стало труднее. Эти атаки, как правило, более громкие, беспорядочные и гораздо более очевидные для ИТ-специалистов. Но что, если конечный пользователь никогда не заметит, что его машина заражена? Что, если бы ИТ-специалисты, управляющие серверами, никогда не замечали проблем с производительностью или доступностью?
Как и в случае с типичной гонкой вооружений, эволюция в ИТ-организации привела к эволюции и в пространстве злоумышленников. Злоумышленники начали понимать, что выкладывать свои уязвимости в открытый доступ не так выгодно, как хранить их и продавать для частного использования. Возникли торговые площадки вредоносных программ, где злоумышленник мог «лицензировать» эксплойт или пользовательскую часть вредоносного ПО, иногда даже платя абонентскую плату, чтобы быть в курсе последней версии вредоносного ПО, которое остается необнаруженным, или эксплойта, который остается неисправленным. Целенаправленная атака с целью поиска ценной интеллектуальной собственности стала гораздо более популярной среди спекулятивных злоумышленников.
Глубокоэшелонированная защита и сценарий APT
Конечно, существует ряд предупредительных и обнаруживающих средств контроля, которые помогут ИТ-специалисту защитить свою среду: брандмауэры, системы обнаружения и предотвращения вторжений, программное обеспечение для защиты от вредоносных программ, программное обеспечение для контроля целостности файлов и т. д. Многоуровневая защита для защиты предприятия — это лучше всего, но злоумышленник часто использует самое слабое звено в цепочке и переходит к более оппортунистическому подходу, ожидая подходящего момента для удара.
Рассмотрите хорошо финансируемую и хорошо организованную ИТ-среду с множеством средств обнаружения и предотвращения; брандмауэры должным образом настроены, списки контроля доступа маршрутизатора жестко заблокированы, системы обнаружения и предотвращения вторжений настроены и отточены, системы исправлены и т. д. Однако злоумышленник может обнаружить слабую комбинацию имени пользователя и пароля для учетной записи в Active Directory. Каталог. Возможно, это даже более сложный пароль, но пользователь оставил свой пароль на стикере, с которым злоумышленник столкнулся при такой простой атаке, как кража сумки для ноутбука из терминала аэропорта или взлом гостиничного номера или взятого напрокат автомобиля. В любом случае, как только злоумышленник получит действительные учетные данные и подключится через инструмент удаленного доступа, он войдет в устройство и скомпрометирует его с помощью атаки с повышением привилегий. Затем злоумышленник просматривает базу данных «кэшированных учетных данных» на этом устройстве и обнаруживает, что технический специалист ИТ-поддержки (с повышенными привилегиями или даже привилегиями администратора домена) вошел в систему локально на этом устройстве. Хэш взломан, и теперь у злоумышленника есть «ключи от королевства», чтобы исследовать окружающую среду и искать ценную интеллектуальную собственность по своему усмотрению. Как только они скомпрометируют больше устройств, они могут выжидать и ждать, пока интересная или конфиденциальная информация будет сохранена в среде. Возможно, они даже устанавливают на эти устройства специальное программное обеспечение для отслеживания и эксфильтрации, чтобы позже перекачивать данные из сети.
Только что описанная (не очень) гипотетическая атака может произойти в очень хорошо управляемой среде; ИТ-специалист может заниматься своими повседневными делами, управляя и поддерживая системы, не зная об этом скрытном злоумышленнике. Требуется более глубокое понимание среды и более консервативные меры предосторожности, особенно при работе с атаками в стиле APT. Иногда ИТ-специалисты задаются вопросом, действительно ли их данные подвергаются такого рода атакам или нет; будьте уверены, данные вашей компании представляют ценность для кого-то, и «фактор работы», необходимый для их получения, по сравнению с выгодой, полученной от их получения, может быть вполне оправдан для этого кого-то. Независимо от вашей отрасли, вы должны серьезно относиться к этим более сложным угрозам.
Контрмеры
Итак, что можно сделать, чтобы помочь бороться с этим? Первым шагом является понимание активов, которые контролируются и управляются, и данных, которые находятся на них. Где «жемчужины короны» вашей организации? Скорее всего, эта конфиденциальная информация хранится в электронном виде и может быть аккуратно заархивирована в централизованно контролируемой и контролируемой базе данных. Более вероятно, что конфиденциальная информация хранится на незащищенных файловых серверах, конечных рабочих станциях, в средствах электронной почты и совместной работы, а также на съемных носителях. Оценивайте организацию с точки зрения злоумышленника; если бы вы хотели украсть некоторые конфиденциальные данные, как бы вы это сделали? Где бы вы сосредоточили свое внимание? Подумайте о влиянии и последствиях нескольких USB-накопителей, брошенных на стоянку компании и содержащих специально созданное вредоносное ПО. Сколько пользователей возьмут один из этих дисков и вставят его прямо в свою корпоративную систему? Для злоумышленника это может быть гораздо более простым путем проникновения в вашу среду по сравнению с проникновением через брандмауэры или противодействием системам предотвращения вторжений.
Применяются также основы защиты окружающей среды;
- Убедитесь, что существует рутинный процесс установки исправлений. Кроме того, рассмотрите возможность расширения области применения исправлений за пределы только операционной системы. Сегодня в средствах управления исправлениями существуют специальные каталоги, которые позволяют ИТ-специалисту обновлять приложения, которые часто становятся мишенью злоумышленников с целевым вредоносным ПО, например Adobe Flash и Acrobat Reader, а также виртуальную машину Java.
- Убедитесь, что ваша антивирусная технология обновлена (как консольное, так и конечное программное обеспечение), правильно настроена, развернута и работает должным образом. Хотя антивирус не является панацеей, многие организации имеют слабую политику конфигурации или не развертывают агент на всех своих активах.
- Управление разрешениями также имеет решающее значение; пользователи (и администраторы) должны иметь только те права, которые им необходимы для выполнения их работы, и ничего более. По мере того как пользователи меняют рабочие роли или иным образом перемещаются по организации, должны выполняться инициализация, деинициализация и аудит доступа, чтобы гарантировать отсутствие сценариев «агрегации привилегий». Злоумышленники, ориентированные на APT, будут безжалостно использовать эти доверительные отношения с давно существующими пользователями и системами, к которым они обращаются.
Резюме
APT может показаться пугающим и угрожающим термином, но, следуя основам ИТ-администрирования и безопасности, вы можете поднять планку для злоумышленника и увеличить этот «фактор работы». Как всегда, решающее значение имеют осведомленность и обучение пользователей; люди часто являются самым слабым звеном при попытке защитить конфиденциальную информацию. Помните, вам не нужно убегать от медведя, только от (организации) рядом с вами. Усильте эту защиту, сохраняйте бдительность и следите за действиями злоумышленников, и вы будете намного впереди своих коллег.