✅ Устойчиви постоянни заплахи - Характеристики и прогресия на APT

Въведение в напредналите постоянни заплахи (APT)

Въведение в напредналите постоянни заплахи (APT)

Устойчиви постоянни заплахи са целенасочени атаки, които са дългосрочни операции, извършвани от неговите създатели (хакери), като доставят полезния товар за атака чрез сложни методи (т.е. заобикаляйки традиционните решения за защита на крайните точки), които след това тайно извършва планираните действия (като кражба на информация) без да бъдат открити.
Обикновено целта на подобни атаки се избира много внимателно и първо се провежда внимателна разузнавателна дейност. Целта на подобни атаки обикновено са големи предприятия, правителствена организация, често междуправителствените създават съперници и започват такива атаки помежду си и минават високо чувствителна информация.

Някои от примерите за напреднали постоянни заплахи са:

Титан дъжд (2003)
GhostNet (2009) -Stuxnet (2010), който почти свали ядрената програма на Иран
хидра
Deep Panda (2015)

Характеристиките и прогресията на напредналите постоянни заплахи

APT се различават от традиционните заплахи по много различни начини:

Те използват сложни и сложни методи за проникване в мрежата.
Те остават неоткрити за много по-дълго време, докато традиционната заплаха може просто да бъде открита в мрежата или на нивото на защита на крайната точка или дори ако имат късмет и преминат чрез решения за крайни точки, редовната проверка на уязвимостта и непрекъснат мониторинг ще обхванат заплаха, докато предварително постоянните заплахи просто минават през всички слоеве на сигурност и най-накрая си проправят път към хостовете и те остават там за по-дълъг период от време и извършват своята операция.
APT са целенасочени атаки, докато традиционните атаки могат / не могат да бъдат насочени.
Те имат за цел също да проникнат в цялата мрежа.

Прогресия на напредналите устойчиви заплахи

Избор и дефиниране на цел - Трябва да се определи целта, т.е. коя организация трябва да бъде жертва на нападател. За целта нападателят първо събира възможно най-много информация чрез отпечатък и разузнаване.
Намиране и организиране на съучастници - APT включва усъвършенствани като сложни техники, които се използват за атака и през повечето време нападателят зад ATP не е сам. И така, второто би било да се намери „партньор в престъплението“, който притежава това ниво на умения, за да разработи сложни техники за извършване на атаки срещу APT.
Изграждане и / или придобиване на такси - За да извършите APT атаките, трябва да изберете правилните инструменти. Инструментите могат да бъдат изградени и за създаване на APT.
Проучване и събиране на информация - Преди да извърши APT атака, нападателят се опитва да събере възможно най-много информация, за да създаде план на съществуващата ИТ система. Примерът за събиране на информация може да бъде топологията на мрежата, DNS и DHCP сървъри, DMZ (зони), вътрешни IP диапазони, уеб сървъри и др. Заслужава да се отбележи, че определянето на цел може да отнеме известно време, като се има предвид размерът на организация. Колкото по-голяма е организацията, толкова повече време ще отнеме, за да се подготви план.
Тест за откриване - В тази фаза търсим уязвимости и слаби места и се опитваме да разгърнем по-малка версия на разузнавателния софтуер.
Точка на влизане и разполагане - Тук идва денят, денят, в който пълният пакет е разположен през входна точка, която е избрана сред много други слаби места след внимателна проверка.
Първоначално проникване - сега нападателят най-накрая е в целевата мрежа. От тук той трябва да реши къде да отиде и да намери първата цел.
Инициирана изходяща връзка - След като APT премине към цел, зададе себе си, след това се опитва да създаде тунел, през който ще се извърши ексфилтрация на данни.
Разширяване на достъпа и поверителността - В тази фаза APT се опитва да се разпространи в мрежата и се опитва да получи възможно най-много достъп, без да бъде открит.
Укрепване на краката - тук се опитваме да търсим и използваме други уязвимости. По този начин хакер увеличава шанса да получи достъп до други места с повишен достъп. Хакерите също увеличават шанса за установяване на повече зомбита. Зомбито е компютър в интернет, който е компрометиран от хакер.
Exfiltration of Data - Това е процесът на изпращане на данните в базата на хакера. По принцип Hacker се опитва да използва ресурсите на компанията, за да криптира данните и след това да ги изпрати до тяхната база. Често, за да отвлекат вниманието си, хакерите използват шумовите тактики, за да отвлекат вниманието на екипа по сигурността, така че чувствителната информация да може да бъде преместена, без да бъде открита.
Покрийте следите и останете неоткрити - Хакерите не забравяйте да изчистите всички следи по време на атаката и след като излязат. Те се опитват да останат възможно най-скрити.

Откриване и предотвратяване на Apt атаки

Нека първо се опитаме да видим превантивните мерки:

Информираност и необходимо обучение за сигурност - Организациите са добре запознати, че повечето нарушения на сигурността, които се случват в наши дни, се случват, защото потребителите са направили нещо, което не би трябвало да бъде направено, може би са били примамвани или не са спазвали правилната сигурност мерки, докато правите каквото и да било в офиси като изтегляне на софтуер от лоши сайтове, посещение на сайтове, които имат злонамерено намерение, стана жертва на фишинг и много други! Така че една организация трябва да продължава да провежда сесии за повишаване на сигурността и да накара служителите си как да работят в защитена среда, за рисковете и въздействието на нарушенията на сигурността.
Контроли на достъпа (NAC и IAM) - NAC или контролите за достъп до мрежата имат различни политики за достъп, които могат да бъдат приложени за блокиране на атаките. Така е, защото ако дадено устройство не успее да извърши някоя от проверките за сигурност, то ще бъде блокирано от NAC. Управлението на самоличността и достъпа (IAM) може да помогне да се избегнат хакерите, които се опитват да откраднат нашата парола, се опитват да пробият паролата.
Тестване на проникване - Това е един чудесен начин да тествате мрежата си срещу проникване. И така, тук самите хора от организацията стават хакери, които често са наричани етични хакери. Те трябва да мислят като хакер, за да проникнат в организационната мрежа и го правят! Излага съществуващите контроли и уязвимости, които съществуват. Въз основа на експозицията организацията поставя необходимите контроли за сигурност.
Административен контрол - Административният контрол и контролът за сигурност трябва да бъдат непокътнати. Това включва редовно кръпка на системите и софтуера, разполагайки със системи за откриване на проникване, придружени от защитни стени. Общественият IPS на организацията (като прокси, уеб сървъри) трябва да бъде поставен в DMZ (Демилитаризирана зона), така че да бъде отделен от вътрешната мрежа. По този начин, дори ако хакер придобие контрол върху сървър в DMZ, той няма да има достъп до вътрешни сървъри, защото те лежат от другата страна и са част от отделната мрежа.

Сега ще говорим за детективски мерки

Мрежов мониторинг - Център за управление и управление (C&C) са крилата за напреднали постоянни заплахи за съответно пренасяне и извеждане на полезни товари и поверителни данни. Заразеният хост разчита на командно-контролния център за изпълнение на следващата серия от действия и те обикновено комуникират периодично. Така че, ако се опитаме да открием програмите, заявките за имена на домейни, които се случват в периодичен цикъл, би било полезно да проучим тези случаи.
Анализ на поведението на потребителите - Това включва използване на изкуствен интелект и решения, които ще следят дейността на потребителя. Очакването е - решението трябва да бъде в състояние да открие всяка аномалия в дейности, които хост извършва.
Използване на технологията на измамата - Това служи като двойна полза за организацията. Отначало нападателите са примамвани да фалшиви сървъри и други ресурси, като по този начин защитават първоначалните активи на дадена организация. Сега организацията също използва тези фалшиви сървъри, за да научи методите, които атакуващите използват, докато атакуват организацията, те научават своята верига за кибер убийства.

Ремонт и реакция

Трябва също да научим процедурата за реакция и поправяне, ако се появят някакви атаки на Advanced Persistent Threats (APT). В началото APT може да се хване в началната си фаза, ако използваме правилните инструменти и технологии, а в началната си фаза въздействието ще бъде много по-малко, защото основният мотив на APT е да остане по-дълго и да остане неоткрит. След като бъде открит, трябва да се опитаме да получим възможно най-много информация от журналите за сигурност, криминалистиката и други инструменти. Заразената система трябва да бъде преизградена и човек трябва да се увери, че няма опасност да бъде премахната от всички заразени системи и мрежи. Тогава организацията трябва старателно да извърши проверка на всички системи, за да провери дали е достигнала повече места. След това контролът върху сигурността трябва да бъде променен, за да се предотвратят подобни атаки или подобни, които могат да се случат в бъдеще.
Сега, ако напредналите постоянни заплахи (APT) са прекарали дни и са били открити на много по-късен етап, системите трябва незабавно да бъдат премахнати офлайн, отделени от всякакви мрежи, всички файлови обслужвания, които са засегнати, също трябва да бъдат проверени., Тогава трябва да се направи цялостно преиздаване на засегнатите хостове, трябва да се направи задълбочен анализ, за да се разкрие веригата за кибер убийства, която е била последвана. CIRT (Cyber Incident Response Team) и Cyber Forensics трябва да бъдат ангажирани за справяне с всички нарушения на данните, които са се случили.

заключение

В тази статия видяхме как работи APT атаката и как можем да предотвратим, открием и реагираме на такива заплахи. Човек трябва да добие основна идея за типична кибер убийствена верига, която участва в APT атаките. Дано ви е харесало урока.

Препоръчителни статии

Това е ръководство за напреднали постоянни заплахи (APT). Тук обсъждаме въвеждането и Характеристиките и прогресията на напредналите постоянни заплахи, откриване и предотвратяване на APT атаки. Можете също да прегледате и другите ни предложени статии, за да научите повече.

Какво е WebSocket?
Сигурност на уеб приложенията
Предизвикателства за киберсигурност
Видове уеб хостинг
Устройства за защитна стена

Категория:

Разработване на софтуер

Устойчиви постоянни заплахи - Характеристики и прогресия на APT

Въведение в напредналите постоянни заплахи (APT)

Характеристиките и прогресията на напредналите постоянни заплахи

Прогресия на напредналите устойчиви заплахи

Откриване и предотвратяване на Apt атаки

Ремонт и реакция

заключение

Препоръчителни статии

8 страхотни съвета, за да поискате гъвкаво работно време (полезно)

Как да Ace скринингови интервюта - 7 съвета за успех edu CBA

Как да прилагаме теории за управление на работното място - edu CBA

Как да станете учен с данни - Какво е Data Science в подробности

10 най-успешни Mulesoft въпроси за интервю и отговори

Mudbox vs Zbrush - 5 основни и важни точки на разликата

Подвижни средни стойности в Excel (примери) - Как да се изчисли?

MTBF Формула - Как да се изчисли средното време между неуспех?

Формула за възвръщаемост на общите активи - Изчисляване - Примери (шаблон на Excel)

Приходи срещу печалба - Топ 5 разлики (с инфографика)

Обратно инженерство - Използване, етични въпроси и правно прилагане

Приходи срещу доходи - Топ 9 полезни разлики (с инфографика)

Въведение в напредналите постоянни заплахи (APT)

Характеристиките и прогресията на напредналите постоянни заплахи

Прогресия на напредналите устойчиви заплахи

Откриване и предотвратяване на Apt атаки

Ремонт и реакция

заключение

Препоръчителни статии

Прочетете Повече