Введение в кампании Advanced Persistent Threat (APT)

Опубликовано: 29 Марта, 2023
Введение в кампании Advanced Persistent Threat (APT)

Киберпреступники часто используют усовершенствованную постоянную угрозу (APT) для поддержания слежки или атак на цели. Одним из самых ценных активов в бизнесе являются его данные. Киберпреступники используют APT для кражи вашей информации, в том числе коммерческой тайны и патентов. Кроме того, злоумышленники могут использовать APT для получения информации о сотрудниках и клиентах для вымогательства или для лучшего понимания вашей компании.

С этой целью продвинутые постоянные угрозы представляют собой кампании против цели, постоянное присутствие которых запускает слежку или подрывные атаки. APT опасны, поскольку они используют передовые методы, чтобы оставаться незамеченными. В этой статье обсуждается, что такое сложные постоянные угрозы и как защитить свой бизнес от злоумышленников. Во-первых, давайте посмотрим, что такое APT!

Что такое продвинутая постоянная угроза?

Усовершенствованная постоянная угроза — это широкий термин, определяющий кампанию, в которой используется ряд инструментов и методов для сбора информации и нарушения работы систем. Короче говоря, злоумышленники находят доступ к бизнесу, создают плацдарм и со временем атакуют или проводят наблюдение. Чем дольше они остаются в вашей системе, тем больше информации они могут собрать или тем больше нарушений они могут вызвать.

Чтобы APT работали, они должны иметь возможность прятаться от цели после каждой операции. Это усложняет выполнение сложных постоянных угроз, и для этого требуются опытные люди. Кроме того, APT используют передовые инструменты и методы, которые отличают их от вредоносных программ.

Как работает расширенная кампания по борьбе с постоянными угрозами

Изображение 1389

На изображении выше показано, как работают APT-кампании. Малейшая ошибка может привести к провалу всей APT-кампании. Если вы не работаете с ценной целью или цепочкой поставок, вы вряд ли увидите кампании APT в дикой природе.

Некоторые сложные постоянные угрозы могут быть добавлены во все цепочки поставок с использованием одного скомпрометированного поставщика. Затем злоумышленники ждут полного насыщения цепочки поставок, чтобы собрать данные или вызвать сбои. Вы часто обнаруживаете, что разведывательные группы правительственного уровня используют сложные постоянные угрозы для обоих видов деятельности. Атаки на инфраструктуру — распространенный метод снижения ВВП целевой страны. Или правительства используют его для получения информации о защищенных сайтах. Для этого команды выбирают сторонних поставщиков решений для добавления APT в критически важные отрасли. Часто это происходит путем изменения программного обеспечения без ведома поставщика перед установкой.

Плохие деятели начинают действовать после того, как установлен черный ход. В качестве альтернативы они используют автоматизированные атаки для многих целей. Процедуры, выполняемые вручную, работают лучше, чем общий подход. При расследовании атаки, если вы обнаружите общие методы атаки, вы знаете, что вы не единственный, кто находится на линии огня. Чтобы помочь другим в вашей сфере, вы также должны предупредить их о риске APT.

Помните, что злоумышленникам часто нужно больше, чем просто ваши данные. Им нужны данные вашего делового партнера и клиента. Вы можете ожидать, что APT попытается проникнуть во всю вашу сеть и в другие сети вокруг вас. Когда вы начинаете замечать подозрительную активность в своей инфраструктуре, возможно, у вас в руках продвинутая постоянная угроза.

Итак, как узнать, что на вас напали? Обратим внимание на 5 стадий APT-атаки. Выявление этих стадий может помочь вам определить, когда вы подвергаетесь атаке.

5 этапов развития кампании по борьбе с постоянными продвинутыми угрозами

Изображение 9488

Расширенные постоянные угрозы создаются на заказ и используют передовые методы, но все они проходят одни и те же 5 этапов. Знание этих 5 этапов поможет вам оценить угрозы и нейтрализовать их.

1. Получите доступ

Злоумышленники часто используют такие атаки, как целевой фишинг и инъекции SQL, чтобы получить доступ к вашей сети. Если у вас есть хорошо обученный персонал, обладающий здравым смыслом, злоумышленнику придется приложить больше усилий, чтобы получить доступ. Кроме того, рассмотрите возможность использования интегрированного комплексного решения для обеспечения кибербезопасности и инструмента управления сетью, чтобы уменьшить количество возможных направлений атак.

2. Установите плацдарм

После шага 1 вы можете ожидать, что злоумышленники добавят бэкдор для доступа к вашей сети. Для работы бэкдорам нужны необходимые разрешения и соединения. Проверьте исходящий сетевой трафик на наличие странных подключений удаленного доступа. Имейте в виду, что злоумышленники могут использовать украденное оборудование или поддельные MAC-адреса, чтобы обмануть вас. Следите за появлением новых дыр в брандмауэре или открытых портов, используемых злоумышленником во время этого процесса. Следите за управлением IP-адресами и удаляйте устаревшее оборудование из вашей сети.

3. Углубить доступ

Как только у них появится черный ход, вы должны следить за признаками повышения привилегий. Злоумышленники используют это, чтобы получить лучший доступ к системе. Следите за появлением новых учетных записей администраторов или тех, которые используются в нерабочее время. На этом этапе киберпреступники могут изменить уровни контроля доступа (ACL).

4. Двигайтесь в стороны

Когда злоумышленник получит больше доступа, он добавит в вашу инфраструктуру специализированное программное обеспечение. Это может быть программное обеспечение для мониторинга и сбора данных, а также программное обеспечение для атак, которое компилируется после запуска злоумышленником. Кроме того, на этом этапе злоумышленники попытаются составить карту вашей сети.

5. Смотрите, учитесь и оставайтесь

Последним шагом APT является использование атак для извлечения данных из вашей сети. Кроме того, злоумышленники попытаются скрыться, чтобы повторить процесс. Повторение этого процесса позволяет этим злоумышленникам продолжать красть ваши конфиденциальные данные. С этой целью требуется много предварительных усилий, чтобы создать APT, подходящую для этого типа шпионажа. Если вы обнаружите APT раньше, вы можете укрепить свои системы. В результате вашему злоумышленнику нужно будет начать с нового плана.

Теперь, когда вы знаете, что APT — это тщательно настроенные кампании, давайте рассмотрим характеристики ATP-атаки. В дополнение к знанию стадий ATP-атаки, знание общих характеристик одной из них также поможет вам определить, подвергаетесь ли вы атаке.

Характеристики APT-атаки

APT-атаки нелегко обнаружить; Почему? Потому что сложные постоянные угрозы скрывают от вас свое существование. Если вы знаете о распространенных атаках, которые могут взломать вашу сеть, поищите их признаки. Более того, вы знаете, что злоумышленникам нужен бэкдор для проведения операций ручных атак. Проверьте наличие подключений, чтобы удалить компьютеры, к которым ваша компания раньше не подключалась.

Видя признаки переманивания на рынке, вы часто говорите о том, что либо у вас есть APT-кампания, нацеленная на вас, либо на крота. Вы почувствуете разницу, если начнете обнаруживать, что ваши серверы отключаются или сервисы перестают работать. Используйте Exinda от GFI или аналогичное решение, которое сопоставляет и определяет качество обслуживания, чтобы помочь проверить наличие несоответствий в вашей системе.

Проверка журналов транзакций может помочь, если вы знаете время атаки. Вы можете найти компьютер в вашей сети, подключающийся к серверу или удаленному соединению. Усовершенствованные постоянные угрозы скрывают свои следы, и злоумышленник мог удалить ваши журналы. Если это так, проверьте более ранние образы и резервные копии на наличие следов.

Вы узнали все способы определить, подвергаетесь ли вы ATP-атаке, но как вы можете защитить свой бизнес от них? Читайте дальше, чтобы узнать, что вы можете сделать, чтобы защитить свой бизнес от APT-кампаний!

Быстрые шаги, которые помогут вам защитить свой бизнес

Кампании APT должны быть нацелены на важные части вашего бизнеса. Чтобы предотвратить эффективную работу APT-кампаний, выполните следующие действия:

  • Устанавливайте исправления для всего программного обеспечения, как только они будут выпущены.
  • Используйте шифрование для всех сетевых подключений, чтобы злоумышленники не могли перехватывать ваши пакеты данных.
  • Фильтруйте электронные письма, чтобы удалить спам и уменьшить количество фишинговых атак.
  • Включите ведение журнала безопасности и push-уведомления, чтобы помочь обнаружить гнусные действия.
  • Регулярно просматривайте списки пользователей и удаляйте старых пользователей.

Что вы можете сделать, чтобы проверить кампании APT

Изображение 9489

Проверьте свой брандмауэр на наличие изменений вместе с настройками антивирусного решения. Помните, что злоумышленникам нужно перемещаться и составлять карту вашей системы. Вам также необходимо проверить эскалацию разрешений и ACL. Кроме того, найдите новых администраторов или суперпользователей. Если вы найдете его, сравните его с вашей базой данных, активным каталогом или LDAP. Использование единого программного решения для управления угрозами также может помочь ускорить процесс обнаружения APT-угроз.

Наконец, убедитесь, что ваш белый список доменов не изменился. Белый список — это ошибочная мера безопасности при добавлении доменов в файл. Часто вы создаете белые списки только во время установки платформы; если он изменился, проверьте дату, чтобы вы могли исследовать больше.

Теперь давайте завершим!

Последние мысли

Кампании APT проводятся редко из-за того, что для их проектирования, разработки и проведения требуются специальные знания. Киберпреступники работают в командах, как современный бизнес, чтобы справиться с каждым этапом процесса. Тем не менее, стоимость создания эффективной APT означает, что вы найдете только элитные команды, использующие их. Обнаружение продвинутых операций с постоянными угрозами в вашей сети является сложной задачей. Однако вы можете обнаружить злоумышленников, проверив наличие бэкдоров, новых или измененных пользователей и эскалацию разрешений.

Агентство национальной безопасности (АНБ) использует аналогичные инструменты для проникновения и наблюдения за преступными организациями. Веб-сайт АНБ предоставляет бесплатные инструменты для экспертов по безопасности, которым нужны реальные примеры для тестирования систем. Короче говоря, белые и черные шляпы знают эти инструменты, поэтому АНБ больше не нужно их скрывать. Вместо этого АНБ выпускает это программное обеспечение, чтобы помочь вам тренироваться против черных шляп.

Ознакомьтесь с разделом часто задаваемых вопросов и ресурсов ниже, чтобы узнать больше о сложных постоянных угрозах и связанных с ними темах!

Часто задаваемые вопросы

Что такое инструменты тестирования на проникновение?

Эксперты по кибербезопасности используют инструменты тестирования на проникновение, чтобы проверить, может ли сеть противостоять атакам. Эти инструменты проверяют ваши системы безопасности, пытаясь атаковать несколько аспектов вашей сети, чтобы найти эксплойты для исправления.

О скольких различных типах вредоносных программ мне нужно знать?

В дикой природе вы найдете только дюжину типов вредоносных программ. Злоумышленники создают различные варианты и гибридизируют вредоносное ПО, чтобы обойти меры безопасности. Но каждый день появляются новые гибриды вредоносных программ, поэтому антивирусные системы должны постоянно обновляться, чтобы бороться с этим.

Как долго длятся кампании продвинутых постоянных угроз (APT) до обнаружения?

Кампании APT могут длиться очень долго, прежде чем злоумышленник достигнет своей конечной цели. Вы можете ожидать от 3 до 4 месяцев программного обеспечения для позиционирования и картирования вашей сети, прежде чем злоумышленники закончат работу. Это дает вашей команде по кибербезопасности время для использования унифицированных стратегий управления угрозами, чтобы снизить риск эскалации.

Используют ли киберпреступники программное обеспечение для развертывания APT-кампаний?

Да, некоторые кампании APT в настоящее время используют Office 365 для получения доступа. Вы часто найдете специализированные платформы, реализованные сторонними поставщиками, которые используются в качестве носителя для программного обеспечения APT. Это может быть нацелено на конкретную компанию, цепочку поставок или любой бизнес, вступающий в контакт с программным обеспечением.

Что такое индикатор компрометации (IoC)?

IoC — это то, что киберпреступник оставляет после себя, давая подсказки о том, как работает их атака. Это могут быть файлы журналов или zip-файлы. Вы можете использовать это, чтобы оценить конечную цель атакующего, если атака продолжается. Это позволяет вам упреждать атаку, останавливать ее и уменьшать урон.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023