Bevezetés az előrehaladott tartós fenyegetésekbe (APT)

Az előrehaladott perzisztens fenyegetések olyan célzott támadások, amelyek az alkotók (hackerek) által végrehajtott hosszú távú műveletek, a támadások hasznos terhelésének kifinomult módszerekkel történő továbbításával (azaz a hagyományos végpont-védelmi megoldások megkerülésével), amelyek ezt követően titokban végzik el a tervezett műveleteket (például információlopás). felismerésre kerülnek.
Az ilyen támadások célpontját rendszerint nagyon gondosan választják meg, és előbb gondos felderítést végeznek. Az ilyen támadások általában nagyvállalatok, kormányzati szervezetek, gyakran a kormányok közötti riválisok, és ilyen támadásokat indítanak egymás ellen, és rendkívül érzékeny információkat bányásznak.

A fejlett tartós fenyegetések néhány példája a következő:

  • Titán eső (2003)
  • GhostNet (2009) -Stuxnet (2010), amely majdnem levette Irán nukleáris programját
  • Hydra
  • Deep Panda (2015)

Az előrehaladott tartós fenyegetések jellemzése és progressziója

Az APT sokféleképpen különbözik a hagyományos fenyegetésektől:

  • Korszerű és összetett módszereket alkalmaznak a hálózatba való bejutáshoz.
  • Sokkal hosszabb ideig észrevétlenül maradnak, míg a hagyományos fenyegetést csak fel lehet észlelni a hálózatban vagy a végpont védelmi szintjén, vagy akár akkor is, ha szerencséjük van és haladnak végpont megoldásokkal, rendszeres sérülékenységi ellenőrzés és folyamatos figyelés fogja elérni a míg a folyamatos fenyegetések csak a biztonság minden rétegét elhaladnak, és végül a hostok felé vezetnek, hosszabb ideig ott maradnak, és elvégzik a műveletet.
  • Az APT-k célzott támadások, míg a tradicionális támadások célzottan támadhatnak.
  • Céljuk a teljes hálózat beszivárgása.

Az előrehaladott tartós fenyegetések progressziója

  1. Cél kiválasztása és meghatározása - Meg kell határozni a célt, azaz azt, hogy melyik szervezet legyen a támadó áldozata. Ehhez a támadó először lábnyomással és felderítésen keresztül gyűjt minél több információt.
  2. Társak keresése és szervezése - Az APT fejlett, kifinomult technikákat foglal magában, amelyeket támadásra használnak, és az ATP mögött álló támadó általában nem egyedül. Tehát a második az lenne, ha megtalálnánk a „bűncselekmény partnerét”, amely rendelkezik ezzel a képzettségi szinttel az APT támadások végrehajtására szolgáló kifinomult technikák kidolgozására.
  3. Útdíjak készítése és / vagy beszerzése - Az APT támadások végrehajtásához a megfelelő eszközöket ki kell választani. Az eszközök felépíthetők egy APT létrehozásához is.
  4. Felderítés és információgyűjtés - Az APT-támadás végrehajtása előtt a támadó megpróbál minél több információt összegyűjteni, hogy meglévő IT-rendszerét készítsék. Az információgyűjtés példája lehet a hálózat topológiája, a DNS és a DHCP szerverek, a DMZ (zónák), ​​a belső IP tartományok, a webszerverek stb. Érdemes megjegyezni, hogy a cél meghatározása a méret méretétől függően eltarthat egy ideig egy szervezet. Minél nagyobb a szervezet, annál több időt vesz igénybe a terv elkészítése.
  5. A detektálás tesztje - Ebben a fázisban sebezhetőségeket és gyenge pontokat keresünk, és megpróbálunk telepíteni a felderítő szoftver kisebb verzióját.
  6. Belépési és telepítési pont - Itt jön a nap, az a nap, amikor a teljes csomag kihelyezésre kerül egy belépési ponton keresztül, amelyet sok más gyenge pont közül választottak ki alapos ellenőrzés után.
  7. Kezdeti behatolás - Most a támadó végre belépett a megcélzott hálózatba. Innentől kezdve el kell döntenie, hová kell mennie, és meg kell találnia az első célt.
  8. Kimenő kapcsolat kezdeményezve - Ha az APT eléri a célt, beállítja magát, akkor megpróbál létrehozni egy alagutat, amelyen keresztül az adatok kiszűrődnek.
  9. A hozzáférés és a hitelesítő adatok keresésének bővítése - Ebben a fázisban az APT megpróbálja elterjedni a hálózatban, és megpróbál minél több hozzáférést megszerezni anélkül, hogy észlelést tenné.
  10. A láb megerősítése - Itt megpróbálunk más sebezhetőségeket keresni és kihasználni. Ezzel a hackerek növelik annak esélyét, hogy más magas szintű hozzáférési helyekre is hozzáférjenek. A hackerek növelik az esélyét, hogy több zombit hozzanak létre. A zombi egy olyan számítógép az interneten, amelyet egy hacker veszélyeztetett.
  11. Adatok kiszűrése - Ez az adatküldés folyamata a hackerek bázisához. A hackerek általában megpróbálják felhasználni a vállalat erőforrásait az adatok titkosítására, majd elküldik a bázisukhoz. A hackerek gyakran elvonják a figyelmet a zaj taktikájával, hogy elvonják a biztonsági csoport figyelmét, hogy az érzékeny információkat észlelés nélkül kiszállíthassák.
  12. Fedje le a nyomokat, és maradjon észrevétlenül - a hackerek ügyeljenek arra, hogy az összes nyomot törölje a támadási folyamat során, és amint kilépnek. Próbálnak a lehető leggazább maradni.

Az Apt támadások észlelése és megelőzése

Először próbáljuk megnézni a megelőző intézkedéseket:

  • Tudatosság és a szükséges biztonsági képzés - A szervezetek jól tudják, hogy a napjainkban bekövetkező legtöbb biztonsági megsértés azért történik, mert a felhasználók valamit megtettek, amit nem kellett volna megtenni, esetleg csaltak vagy nem követték meg a megfelelő biztonságot. intézkedéseket tesz, miközben bármit csinál az irodákban, például szoftver letöltése a rossz webhelyekről, olyan webhelyek látogatása, amelyek rosszindulatú szándékkal bírnak, és az adathalász áldozatává váltak és még sok más! Tehát egy szervezetnek folytatnia kell a biztonsági tudatosság üléseit, és munkatársait rá kell mutatnia arra, hogyan kell biztonságos környezetben dolgozni, a biztonsági szabálysértések kockázatairól és hatásairól.
  • Hozzáférés-vezérlés (NAC és IAM) - A NAC vagy a hálózati hozzáférés-vezérlőknek számos hozzáférési házirendje van, amelyek végrehajthatók a támadások blokkolására. Ennek oka az, hogy ha egy eszköz meghiúsul a biztonsági ellenőrzések egyikén, akkor a NAC blokkolja. Az identitás- és hozzáféréskezelés (IAM) segíthet távol tartani a hackereket, akik megpróbálják ellopni a jelszavunkat, és megpróbálják feltörni a jelszót.
  • Behatolási tesztelés - ez egy nagyszerű módszer a hálózat tesztelésére a penetráció ellen. Tehát itt a szervezeti emberek hackerekké válnak, akiket gyakran etikus hackereknek hívnak. Úgy kell gondolkodniuk, mint egy hacker, hogy behatoljanak a szervezeti hálózatba, és így vannak! Kihúzza a már létező ellenőrzéseket és biztonsági réseket. Az expozíció alapján a szervezet végrehajtja a szükséges biztonsági ellenőrzéseket.
  • Adminisztratív ellenőrzések - Az adminisztratív és biztonsági ellenőrzéseknek sértetleneknek kell lenniük. Ez magában foglalja a rendszerek és a szoftverek rendszeres javítását, a behatolásérzékelő rendszerek telepítésével és tűzfalakkal. A szervezet nyilvános IPS-jét (például proxy, webszerverek) a DMZ-be (Demilitarizált zóna) kell elhelyezni, hogy elválaszthassa a belső hálózattól. Ezzel még akkor is, ha a hackerek megszerzik a szerver irányítását a DMZ-ben, akkor nem fog hozzáférni a belső szerverhez, mivel a másik oldalon fekszenek, és a különálló hálózat részét képezik.

Most a nyomozó intézkedésekről fogunk beszélni

  • Hálózati megfigyelés - Parancs- és Vezérlő (C&C) központ az előrehaladott perzisztens fenyegetések szárnyai a hasznos rakományok, illetve a bizalmas adatok be- és kivitele során. A fertőzött gazdaszervezet a parancs- és vezérlőközpontra támaszkodik a következő műveletsor végrehajtására, és általában rendszeresen kommunikálnak. Tehát, ha megpróbáljuk felismerni azokat a programokat, domain név lekérdezéseket, amelyek periodikus ciklusban zajlanak, akkor érdemes ezeket az eseteket kivizsgálni.
  • Felhasználói magatartási elemzés - Ez magában foglalja a mesterséges intelligencia és olyan megoldások használatát, amelyek figyelemmel kísérik a felhasználó tevékenységét. A várakozás az, hogy a megoldásnak képesnek kell lennie bármilyen rendellenesség észlelésére a gazdaszervezet által végzett tevékenységekben.
  • Megtévesztő technológia használata - Ez kettős előnyt jelent a szervezet számára. Először a támadókat csaló szervereket és egyéb erőforrásokat csalogatják, ezáltal védve egy szervezet eredeti vagyonát. Most a szervezet ezeket a hamis szervereket is felhasználja azoknak a módszereknek a megtanulására, amelyeket a támadók miközben támadnak a szervezethez, és megtanulják a számítógépes ölési láncokat.

Javítás és reagálás

Azt is meg kell tanulnunk a reagálási és javítási eljárást, ha bármilyen előrehaladott perzisztens fenyegetés (APT) támadás történik. Az APT kezdetben bekapcsolódhat a kezdeti szakaszába, ha a megfelelő eszközöket és technológiákat használjuk, és a kezdeti szakaszban a hatás sokkal kevésbé lesz, mert az APT fő motívuma az, hogy hosszabb ideig maradjon és észrevétlenül maradjon. A felismerés után meg kell próbálnunk annyi információt szerezni a biztonsági naplókból, a kriminalisztikából és más eszközökből. A fertőzött rendszert újraképpel kell ellátni, és ügyelnie kell arra, hogy az összes fertőzött rendszer és hálózat semmilyen veszélyt ne szüntessen meg. Ezután a szervezetnek alaposan ellenőriznie kell az összes rendszert annak ellenőrzésére, hogy elérte-e több helyet. A biztonsági irányítást ezután módosítani kell a jövőben esetlegesen támadások vagy hasonló támadások megelőzése érdekében.
Most, ha az Advanced Persistent Threats (APT) napokat töltött és sokkal később észlelték, a rendszereket azonnal offline állapotba kell helyezni, különféle hálózatoktól elkülönítve, minden érintett fájlszolgáltatást szintén ellenőrizni kell. . Ezután az érintett gazdaszervezeteket át kell imitálni, mélyreható elemzést kell készíteni a követett kibernetikus ölési lánc feltárására. A CIRT-t (a számítógépes események elhárítására szolgáló csoportot) és a számítógépes kriminalisztikát be kell vonni az esetleges adatsértések kezelésére.

Következtetés

Ebben a cikkben láttuk, hogyan működik az APT támadás, és hogyan tudjuk megakadályozni, felderíteni és reagálni az ilyen fenyegetésekre. Alapvető elképzelést kell kapniuk egy tipikus számítógépes ölési láncról, amely az APT támadásainak részét képezi. Remélem tetszett az oktatóprogram.

Ajánlott cikkek

Ez egy útmutató az előrehaladott perzisztens fenyegetésekhez (APT). Itt tárgyaljuk az előrehaladott tartós fenyegetések bevezetését, jellemzőit és előrehaladását, felismerve és megelőzve az APT támadásait. További információkért áttekintheti a többi javasolt cikket is.

  1. Mi a WebSocket?
  2. Webes alkalmazások biztonsága
  3. Kiberbiztonsági kihívások
  4. A webtárhely típusai
  5. Tűzfal eszközök

Kategória:

Szoftverfejlesztés