Što je napredna uporna prijetnja i kako se APT može otkriti?

Mnoge tvrtke čine sve da prikupe što više podataka o kupcima. Neki čak svoje proizvode poklanjaju u zamjenu za dopuštenje za prikupljanje osobnih podataka.

Kao rezultat toga, čak i manja poduzeća sada imaju mnoštvo vrijednih podataka. I sve više i više aktera prijetnji traži načine da je ukradu. Jedan od primjera za to je vrsta cyber napada, poznata kao napredna uporna prijetnja.

Pa, što je napredna uporna prijetnja? Kako prepoznati jednog? I što biste trebali učiniti ako mislite da je vaš sustav pogodio APT?

Što je napredna uporna prijetnja (APT)?

Napredna uporna prijetnja vrsta je napada kojim uljez dobiva pristup sustavu, a zatim uspijeva ostati tamo neotkriven dulje vrijeme.

Ova vrsta napada uglavnom se izvodi s ciljem špijunaže. Da je cilj jednostavno oštetiti sustav, ne bi bilo razloga za zadržavanje. Ljudi koji provode ove napade ne pokušavaju uništiti računalne sustave. Oni jednostavno žele pristup podacima koje posjeduju.

Najnaprednije uporne prijetnje koriste sofisticirane tehnike hakiranja i prilagođene su pojedinačnim računalnim sustavima.

Zbog toga je ove napade vrlo teško otkriti. No, jedna od prednosti njihove složenosti je ta što prosječni korisnik računala obično ne mora brinuti o njima.

Za razliku od zlonamjernog softvera koji je obično dizajniran za ciljanje što više računala, napredne uporne prijetnje obično su dizajnirane s određenim ciljem na umu.

Kako se događa APT?

Napredna uporna prijetnja relativno je širok pojam. Razina sofisticiranosti koja se koristi u takvom napadu stoga se vrlo razlikuje.

Većina se, međutim, lako može podijeliti u tri različita stupnja.

Faza 1: Infiltracija

U fazi otvaranja, hakeri jednostavno traže put. Opcije koje su im dostupne očito će ovisiti o tome koliko je sustav siguran.

Jedna od mogućnosti bila bi krađa identiteta. Možda mogu natjerati nekoga da slučajno otkrije svoje vjerodajnice za prijavu tako što će im poslati zlonamjernu e-poštu. Ili ako to nije moguće, mogu pokušati postići isto kroz socijalni inženjering.

Faza 2: Proširenje

Sljedeći korak je širenje. Nakon što napadači uđu u sustav, poželjet će proširiti svoj domet i vjerojatno se pobrinuti da se njihov postojeći pristup ne može opozvati.

Obično to čine s nekom vrstom zlonamjernog softvera. Na primjer, Keylogger će im omogućiti prikupljanje dodatnih lozinki za druge poslužitelje.

Povezano: Što je Keylogger?

A backdoor trojanac jamčit će buduće upade čak i ako se promijeni izvorna ukradena lozinka.

Faza 3: ekstrakcija

Tijekom treće faze vrijeme je da se zapravo ukradu podaci. Informacije će se obično prikupljati s više poslužitelja i potom pohranjivati ​​na jednom mjestu dok ne budu spremne za preuzimanje.

U ovom trenutku napadači mogu pokušati zatrpati sigurnost sustava nešto poput DDOS napada. Na kraju ove faze podaci se zapravo kradu i ako se ne otkriju, ostaju otvorena vrata za buduće napade.

Znakovi upozorenja APT-a

Iako je APT obično dizajniran posebno za izbjegavanje otkrivanja, to nije uvijek moguće. Većinu vremena postojat će barem neki dokazi da se takav napad događa.

Podvodno krađa koplja

E-mail s krađom koplja može biti znak da će se APT dogoditi ili je u ranoj fazi. Phishing e-poruke osmišljene su tako da neselektivno kradu podatke velike količine ljudi. Spear phishing e-adrese prilagođene su verzije prilagođene ciljanju određenih ljudi i / ili tvrtki.

Sumnjive prijave

Tijekom aktivnog APT-a napadač će se vjerojatno redovito prijavljivati ​​u vaš sustav. Ako se legitimni korisnik iznenada prijavi na svoj račun u neparno vrijeme, to bi mogao biti znak da su mu vjerodajnice ukradene. Ostali znakovi uključuju češću prijavu i gledanje stvari koje ne bi trebale biti.

Trojanci

Trojanski program je skriveni program koji jednom instaliran može pružiti daljinski pristup vašem sustavu. Takve prijave mogu biti još veća prijetnja od ukradenih vjerodajnica. To je zato što ne ostavljaju otisak, tj. Ne postoji povijest prijave koju biste mogli provjeriti i promjene lozinke na njih ne utječu.

Neobični prijenosi podataka

Najveći znak APT-a pojavljuje se jednostavno u tome što se podaci iznenada premještaju, naizgled bez očiglednog razloga. Ista logika primjenjuje se ako vidite da se podaci pohranjuju tamo gdje ne bi trebali biti, ili još gore, zapravo u procesu prijenosa na vanjski poslužitelj izvan vaše kontrole.

Što učiniti ako sumnjate na APT

Jednom kada se otkrije APT, važno je kretati se brzo. Što više napadača ima vremena u vašem sustavu, veća šteta može nastati. Moguće je čak i da vaši podaci još nisu ukradeni, već će uskoro biti. Evo što trebate učiniti.

1. Zaustavite napad: Koraci zaustavljanja APT-a uvelike ovise o njegovoj prirodi. Ako smatrate da je ugrožen samo segment vašeg sustava, trebali biste ga početi izolirati od svega ostalog. Nakon toga, radite na uklanjanju pristupa. To može značiti opoziv ukradenih vjerodajnica ili, u slučaju trojanaca, čišćenje vašeg sustava.
2. Procijenite štetu: Sljedeći je korak shvatiti što se dogodilo. Ako ne razumijete kako se dogodio APT, ništa neće spriječiti da se ponovi. Također je moguće da je slična prijetnja trenutno u tijeku. To znači analizirati zapisnike događaja sustava ili jednostavno shvatiti rutu kojom je napadač pristupio.
3. Obavijestite treće strane: Ovisno o tome koji su podaci pohranjeni u vašem sustavu, šteta uzrokovana APT-om može biti dugotrajna. Ako trenutno pohranjujete podatke koji ne pripadaju samo vama, tj. Osobne podatke kupaca, klijenata ili zaposlenika, možda ćete ih trebati obavijestiti. U većini slučajeva, ako to ne učine, može postati pravni problem.

Znajte znakove APT-a

Važno je shvatiti da ne postoji potpuna zaštita. Ljudske pogreške mogu dovesti do ugrožavanja bilo kojeg sustava. A ovi se napadi, po definiciji, koriste naprednim tehnikama za iskorištavanje takvih pogrešaka.

Jedina prava zaštita od APT-a je stoga znati da oni postoje i razumjeti kako prepoznati znakove koji se javljaju.

Što je prilagodljiva sigurnost i kako pomaže u prevenciji prijetnji?

Model praćenja sigurnosti u stvarnom vremenu, prilagodljiva sigurnost koristi suvremene taktike za ublažavanje neprestano razvijajućih se cyber prijetnji.

Pročitajte Dalje

O autoru