Защита вашей сети от APT

Опубликовано: 8 Апреля, 2023


Введение


Возможно, вы знакомы со «старым» значением слова «способный», которое относится к тому, кто необычайно умен и/или способен быстро и легко учиться. Назовите это заглавными буквами — APT — и в контексте ИТ-безопасности, и оно приобретет совершенно новое значение: Advanced Persistent Threat. Этот термин используется для описания организаций (особенно правительств) или, реже, небольших групп лиц, которые имеют возможность и намерение вести непрерывную кибератаку против конкретных целей, используя изощренные методы (обратите внимание на ключевые слова).


Некоторые определения применяют этот термин только к атакам, спонсируемым нацией/государствами, а некоторые сужают его до угроз, которые предназначены для кражи данных в целом или интеллектуальной собственности (ИС) в частности. Вот обсуждение того, что APT означает для разных экспертов по безопасности.


В этой статье мы рассмотрим, как развивалась APT и что вам нужно сделать, чтобы защитить свою сеть от этого типа угроз.


Кто в опасности?


Некоторые сетевые администраторы взглянут на это определение и придут к выводу, что их сети не подвержены риску. Почему малый или средний бизнес может стать мишенью крупной киберпреступной организации или национального государства? APT начиналась как угроза, в основном ограниченная государственными учреждениями и оборонной промышленностью, но затем операторы APT расширили свои горизонты, нацелившись на такие компании, как Google. Но ваша компания не обязательно должна быть технологическим гигантом, чтобы стать мишенью. Хотя это правда, что государственное учреждение или крупная многонациональная корпорация, занимающаяся национальной безопасностью или обороной, или, может быть, крупные финансы, могут быть более привлекательной целью для APT, размер на самом деле не имеет значения — и многие небольшие компании в наши дни хранить данные, которые можно использовать для сбора информации, необходимой этим организациям для получения политического или экономического преимущества. Даже люди, которые работают на должностях, где у них есть доступ к такого рода информации, могут стать мишенью через их домашние компьютеры, ноутбуки или мобильные устройства.


Даже крупные предприятия, которые вкладывают огромные деньги в безопасность, все еще могут быть взломаны APT с помощью множества различных средств. Иногда это так же просто, как эксплуатация известных уязвимостей, которые не были исправлены. В корпоративной среде политика часто предписывает тщательное тестирование новых обновлений перед развертыванием на рабочих машинах. Это может избавить вас от многих проблем в случае несовместимости, но также оставляет эти системы открытыми для использования. В других случаях уязвимости Wi-Fi, мосты смартфонов или даже проникновение в сеть облачного провайдера могут открыть доступ для APT.


В компании любого размера, если сотрудники посещают веб-сайты, пользуются электронной почтой (особенно почтой в формате HTML), передают файлы и т. д., эти действия можно использовать для доставки компонентов APT. Вредоносное ПО может передаваться через попутные загрузки, зараженные вложения и зараженные файлы. Компании с отличной периферийной защитой по-прежнему не застрахованы от внутреннего заражения через зараженные съемные накопители (флешки, флешки), ноутбуки, которые были заражены где-то еще, и тому подобные средства.


Какие формы принимают APT?


Он называется «продвинутым», потому что у тех, кто стоит за APT, есть сложный план, основанный на определенной стратегии, даже если они используют относительно простые механизмы для их выполнения. Другими словами, операторы APT не обязательно должны быть мастерами-хакерами; они могут использовать сценарии, доступные в Интернете, и модифицировать чужие вредоносные программы, чтобы они работали на них. Или они могут создавать специальные вредоносные программы для достижения своих конкретных целей. Часто они используют множество различных типов атак против одной и той же цели и возвращаются снова и снова; таким образом, описание «постоянный». Однако, в зависимости от конечной цели, это может быть сделано скрытно и незаметно, а не мощной, подавляющей атакой. На самом деле, операторы APT часто являются мастерами скрытности, предпринимая шаги, чтобы замести следы и как можно дольше не оставлять контрольных свидетельств своих вторжений в журналах.


С этой целью операторы APT также используют методы социальной инженерии и/или вербовку инсайдеров для получения действительных учетных данных. Филиалы, которые могут иметь менее строгие меры предосторожности, чем основное местоположение, но имеют доверительные отношения, иногда проникают для более легкого удаленного доступа для внедрения вредоносного ПО в целевые системы. Как только это вредоносное программное обеспечение установлено, они могут получить доступ к вашим системам и управлять ими из любого места или автоматизировать процесс, чтобы вредоносное ПО отправило им ваши конфиденциальные данные.


Инструменты, используемые операторами APT, будут зависеть от их целей и состояния конфигурации и безопасности вашей собственной сети. Вот простая аналогия: грабитель может использовать кредитную карту, чтобы открыть дверь в дом с простыми замками, но если все двери заперты на засовы, ему потребуются другие инструменты, чтобы проникнуть внутрь. Оператор обычно использует простейший инструмент, который выполнит работу. Зачем тратить специализированный сложный инструмент на работу, которая в нем не нуждается? Это просто дает вам возможность проанализировать его, выяснить, как защититься от него и предупредить других о его существовании.


Операторы APT часто используют ботнеты, которые дают им больше ресурсов для запуска атаки, а также затрудняют отслеживание источников атаки. Хотя ботнеты часто ассоциируются со спамом, их можно использовать для многих типов атак. Один сервер управления и контроля может управлять тысячами компьютеров, расположенных в сотнях различных организаций. Вредоносное ПО на этих машинах может постоянно обновляться, чтобы опережать ваши методы обнаружения. Даже если ваша компания не является целью APT-атаки, она может быть использована без вашего ведома в качестве инструмента для совершения преступления — размещения зараженных «зомби-агентов», которые являются частью ботнета, используемого для атак на другие сети. Средство отслеживания ботнетов сообщило о более чем 2000 подозреваемых ботнетов по состоянию на 1 сентября 2011 года.


Обнаружение точки доступа


Важно понимать, что APT — это не конкретный метод атаки — скорее, он описывает «кто, что и почему», а не «как». Это означает, что не существует коммерческого решения, которое может претендовать на обнаружение или защиту от APT. К сожалению, APT стал популярным словечком и маркетинговой фразой среди поставщиков систем безопасности (многие из которых даже не знают, что это значит).


Решения, основанные на определениях известных атак, скорее всего, не смогут обнаружить сложные APT-атаки, предназначенные для работы в «невидимом режиме». Для обнаружения APT требуется хорошее решение для мониторинга, способное выявлять и анализировать тонкие изменения и аномалии на серверах и клиентах, характерные для APT-атак. Независимо от того, насколько блестяще преступник планирует и совершает преступление, он неизбежно должен оставить на месте происшествия что-то от себя; в физическом уголовном расследовании это означает следовые улики - улики, которые не заметны и могут быть даже невидимы невооруженным глазом. В цифровом мире оператор APT для выполнения своей задачи (вход в сеть, внедрение вредоносного ПО, копирование данных) оставляет неясный след где-то в системе. Ваше программное обеспечение безопасности должно быть способно распознавать эти маркеры как признаки возможной вредоносной активности. Программное обеспечение не только быстрее, но и может быть более эффективным в этом, чем ручная проверка файлов, поскольку операторы APT часто используют такие уловки, как присвоение файлам вредоносных программ имен, очень похожих на обычные файлы Windows. Программное обеспечение может обнаружить малейшее различие в имени файла (например, замену прописной буквы I на строчную букву L (l), которую человеческий глаз не распознал бы.


Как только аномалии будут обнаружены, это должно привести к более тщательному изучению затронутых машин. Другим ключевым элементом является своевременное уведомление, поэтому машины могут быть полностью проверены как можно скорее, а доказательства APT могут быть сохранены для проверки, поскольку знающий оператор APT попытается удалить как можно больше маркеров, чтобы избежать обнаружение.


В то время как технология лучше всего подходит для обнаружения аномалий в сети, другой аспект обнаружения APT требует человеческого фактора. Это означает людей, которые могут собирать информацию о том, что происходит в киберпреступном подполье. Подобно тому, как более традиционные террористы часто сигнализируют о неизбежности атаки с помощью усиленной «болтовни», операторы APT могут сигнализировать о том, что атаки планируются или уже осуществляются (необнаружены) с помощью различных средств связи. Вам не обязательно иметь кого-то в вашей собственной организации, который перехватывает и анализирует болтовню, но вы должны быть в курсе того, что происходит в мире киберпреступности, через соответствующие публикации, отношения с соответствующими специалистами правоохранительных органов и так далее.


Защита вашей сети


Многие из защитных мер, которые защищают от APT, — это те же самые меры, которые вы, вероятно, уже развернули, для защиты от более «заурядных» вредоносных программ и угроз вторжения. Хорошее антивирусное и антивредоносное программное обеспечение имеет решающее значение, но также важно понимать, что в случае APT злоумышленники часто располагают ресурсами, которые намного превосходят ресурсы среднего хакера/злоумышленника. Это означает, что они могут нанять программистов, способных создавать или модифицировать вредоносное ПО «на лету», для которого ни один поставщик средств защиты не создал определений — угрозы нулевого дня.


Поскольку APT по определению является целенаправленной атакой, публичные действия и репутация вашей компании могут повлиять на то, станет ли она жертвой APT-атаки. Таким образом, мониторинг и управление репутацией/брендом может быть важным компонентом предотвращения таких атак. «Злые корпорации» и организации, занимающие позицию (политическую, социальную или иную), непопулярную среди операторов APT, скорее всего, станут мишенью. В некоторых случаях достаточно просто быть в той или иной отрасли (нефтяная компания, банковское дело и т. д.), чтобы сделать вас «злым» в глазах злоумышленников. Однако в некоторых случаях вы можете уменьшить свой риск, тщательно культивируя свой публичный имидж.


Присоединяйтесь к другим организациям, которые занимаются обнаружением, сообщением и уничтожением ботнетов. Обмен информацией и уведомление являются важными составляющими снижения угрозы ботнета, как предлагается здесь.


Уничтожив некоторые инструменты, используемые APT (например, ботнеты), мы можем помочь защитить не только наши собственные сети, но и всю экосистему Интернета от этой растущей угрозы.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023