Что такое расширенная постоянная угроза и как обнаружить APT?

Дядя Влад

Многие компании делают все возможное, чтобы собрать как можно больше данных о клиентах. Некоторые даже бесплатно раздают свою продукцию в обмен на разрешение на сбор личной информации.

В результате даже у небольших предприятий теперь есть огромное количество ценных данных. И все больше и больше злоумышленников ищут способы украсть его. Одним из примеров этого является тип кибератаки, известный как постоянная угроза повышенной сложности.

Так что же такое серьезная постоянная угроза? Как вы его заметили? И что делать, если вы считаете, что ваша система подверглась атаке APT?

Что такое расширенная постоянная угроза (APT)?

Продвинутая постоянная угроза – это тип атаки, при котором злоумышленник получает доступ к системе, а затем умудряется оставаться там незамеченным в течение длительного периода времени.

Этот тип атаки обычно проводится с целью шпионажа. Если бы целью было просто повредить систему, не было бы причин задерживаться. Люди, осуществляющие эти атаки, не пытаются разрушить компьютерные системы. Им просто нужен доступ к данным, которыми они владеют.

Наиболее продвинутые постоянные угрозы используют изощренные методы взлома и адаптированы к индивидуальным компьютерным системам.

Это делает эти атаки очень трудными для обнаружения. Но одним из преимуществ их сложности является то, что среднему пользователю компьютера обычно не нужно о них беспокоиться.

В отличие от вредоносных программ, которые обычно предназначены для нацеливания на как можно большее количество компьютеров, сложные постоянные угрозы обычно разрабатываются с учетом конкретной цели.

Как происходит APT?

Продвинутая постоянная угроза – это относительно широкий термин. Таким образом, уровень изощренности такой атаки широко варьируется.

Однако большинство из них можно легко разделить на три отдельных этапа.

Этап 1: проникновение

На начальном этапе хакеры просто ищут путь внутрь. Доступные им варианты, очевидно, будут зависеть от того, насколько безопасна система.

Один из вариантов – фишинг. Возможно, они смогут заставить кого-нибудь случайно раскрыть свои учетные данные, отправив им вредоносное электронное письмо. Или, если это невозможно, они могут попытаться достичь того же с помощью социальной инженерии .

Этап 2: Расширение

Следующий шаг – расширение. Как только злоумышленники получат действительный путь в систему, они захотят расширить свой охват и, вероятно, убедиться, что их существующий доступ не может быть отозван.

Обычно они делают это с помощью какого-либо вредоносного ПО. Кейлоггер, например, позволит им собирать дополнительные пароли для других серверов.

Связанный: Что такое кейлоггер?

А троян-бэкдор гарантирует будущие вторжения, даже если оригинальный украденный пароль будет изменен.

Этап 3: Извлечение

На третьем этапе пришло время фактически украсть данные. Информация обычно собирается с нескольких серверов, а затем хранится в одном месте до тех пор, пока не будет готова к извлечению.

На этом этапе злоумышленники могут попытаться нарушить безопасность системы с помощью чего-то вроде DDOS-атаки . В конце этого этапа данные фактически украдены, и, если они не обнаружены, дверь остается открытой для будущих атак.

Предупреждающие знаки APT

Хотя APT обычно разрабатывается специально, чтобы избежать обнаружения, это не всегда возможно. В большинстве случаев будут хотя бы некоторые свидетельства того, что такое нападение происходит.

Целевой фишинг

Электронное письмо с целевым фишингом может быть признаком того, что APT скоро произойдет или находится на ранней стадии. Фишинговые электронные письма предназначены для кражи данных у большого количества людей без разбора. Электронные письма с адресным фишингом представляют собой индивидуализированные версии, предназначенные для конкретных людей и / или компаний.

Подозрительные логины

Во время продолжающегося APT злоумышленник может регулярно входить в вашу систему. Если законный пользователь внезапно входит в свою учетную запись в неурочные часы, это может быть признаком того, что его учетные данные были украдены. Другие признаки включают более частый вход в систему и поиск того, чего быть не должно.

Трояны

Троянец – это скрытое приложение, которое после установки может предоставить удаленный доступ к вашей системе. Такие приложения могут стать даже большей угрозой, чем украденные учетные данные. Это связано с тем, что они не оставляют следов, т. Е. Вам не нужно проверять историю входа в систему, и на них не влияют изменения пароля.

Необычные передачи данных

Самым большим признаком возникновения APT является то, что данные внезапно перемещаются, по-видимому, без видимой причины. Та же логика применяется, если вы видите, что данные хранятся там, где их не должно быть, или, что еще хуже, фактически в процессе передачи на внешний сервер вне вашего контроля.

Что делать, если вы подозреваете APT

Как только APT обнаружен, важно действовать быстро. Чем больше времени у злоумышленника в вашей системе, тем больший ущерб может быть нанесен. Возможно даже, что ваши данные еще не были украдены, а, скорее, скоро будут. Вот что вам нужно сделать.

  1. Остановить атаку: шаги по остановке APT- атаки во многом зависят от ее характера. Если вы считаете, что был взломан только сегмент вашей системы, вам следует начать с изоляции его от всего остального. После этого работайте над снятием доступа. Это может означать отмену украденных учетных данных или, в случае трояна, очистку вашей системы.
  2. Оцените ущерб: следующий шаг – выяснить, что произошло. Если вы не понимаете, как произошло APT, ничто не может помешать этому повториться. Также возможно, что аналогичная угроза существует в настоящее время. Это означает анализ журналов событий системы или просто выяснение маршрута, который злоумышленник использовал для получения доступа.
  3. Уведомить третьи стороны: в зависимости от того, какие данные хранятся в вашей системе, ущерб, нанесенный APT, может быть значительным. Если вы в настоящее время храните данные, которые принадлежат не только вам, то есть личные данные клиентов, клиентов или сотрудников, вам может потребоваться сообщить этим людям. В большинстве случаев невыполнение этого требования может стать проблемой с законом.

Знайте признаки APT

Важно понимать, что полной защиты не бывает. Человеческая ошибка может привести к компрометации любой системы. И эти атаки, по определению, используют передовые методы для использования таких ошибок.

Таким образом, единственная реальная защита от APT – это знать, что они существуют, и понимать, как распознать признаки их появления.