Advanced Persistent Threats (APT) — це атаки, під час яких хакери отримують доступ до системи чи мережі та залишаються там непоміченими протягом тривалого періоду часу. Це особливо небезпечно для компаній, оскільки дає кіберзлочинцям постійний доступ до конфіденційних даних.
Ці APT-атаки також ухиляються від виявлення традиційними заходами безпеки завдяки їхній складній тактиці ухилення та обфускації. У наведеній нижче статті описано, як кіберзлочинці підходять до своїх атак, як організації можуть помітити попереджувальні ознаки атаки APT, а також найкращі практики для зменшення ризику цих загроз.
Як працюють Advanced Persistent Threats – APT
APT зазвичай не завдають шкоди мережам компанії чи локальним комп’ютерам. Натомість їх метою зазвичай є крадіжка даних. Ці загрози використовують різні методи для отримання початкового доступу до мережі. Наприклад, зловмисники можуть поширювати зловмисне програмне забезпечення онлайн, фізично заражати пристрої безпосередньо зловмисним програмним забезпеченням або використовувати вразливі місця в системах, щоб отримати доступ до захищених мереж.
Ці атаки відрізняються від багатьох традиційних загроз, таких як типи вірусів і зловмисного програмного забезпечення, які поводяться однаково знову і знову та просто перепрофільовані для атаки на різні системи чи організації. APT не дотримуються загального, широкого підходу, але ретельно сплановані та розроблені з метою націлювання на конкретну організацію та обхід існуючих заходів безпеки.
Хакери часто використовують фішинг
Хакери часто використовують надійні з’єднання, щоб отримати початковий доступ. Таким чином зловмисники можуть зловживати даними для входу співробітників або ділових партнерів, які вони перехопили, наприклад, за допомогою фішингових атак або іншими методами. Це дозволяє їм залишатися непоміченими достатньо довго, щоб перевірити системи та дані компанії та розробити стратегічний план атаки для крадіжки даних.
Розширене шкідливе програмне забезпечення має вирішальне значення для успіху APT-атаки. Після атаки на мережу Advanced Malware може ховатися від певних систем виявлення, переходити мережею від системи до системи, збирати дані та контролювати мережеву активність. Здатність злочинців віддалено контролювати Advanced Persistent Threat також є критичною. Це дозволяє хакерам переміщатися по всій корпоративній мережі, щоб ідентифікувати критичні дані, отримати доступ до потрібної інформації та розпочати її викрадання.
Попереджувальний знак про розширені постійні загрози
Розширені постійні загрози важко виявити. Насправді ці типи атак покладаються на свою здатність залишатися непоміченими для досягнення своєї мети. Однак є кілька важливих червоних прапорців, які вказують на те, що організація може постраждати від атаки APT:
- Збільшення кількості входів у систему в неробочий час або коли певні працівники зазвичай не мають доступу до мережі.
- Виявлення поширених бекдор-троянів: бекдор-трояни зазвичай використовуються хакерами під час спроби атаки APT, щоб гарантувати збереження доступу до мережі, навіть якщо користувач, чиї облікові дані було скомпрометовано, виявляє злом і його облікові дані змінюються.
- Великі, незвичайні потоки даних: групи безпеки повинні знати про великі потоки даних із внутрішніх джерел на внутрішні або зовнішні комп’ютери. Ці потоки мають відрізнятися від типового базового рівня компанії.
- Виявлення незвичайних пакетів даних: зловмисники, які здійснюють атаку на розширену постійну загрозу, часто групують дані в мережі, перш ніж спробувати витягнути дані. Ці пакети даних часто виявляються там, де дані зазвичай не зберігаються в організації, а іноді запаковані в архівні формати, які організація зазвичай не використовує.
- Виявляти атаки з передачі хешу: атаки, які викрадають хеші паролів із баз даних або сховища для створення нових автентифікованих сеансів, не завжди використовуються з APT. Однак виявлення цих атак на мережу компанії завжди потребує подальшого розслідування.
Розширені постійні загрози, які раніше були націлені в першу чергу на високопоставлені організації або компанії з цінними даними, тепер все частіше зустрічаються в невеликих організаціях. Оскільки зловмисники використовують дедалі витонченіші методи атак, організації будь-якого розміру повинні подбати про впровадження суворих заходів безпеки, здатних виявляти ці загрози та реагувати на них.
Найкращі методи боротьби з розширеними постійними загрозами
Тім Бандос, директор з інформаційної безпеки Digital Guardian
Удосконалені методи уникнення та обфускації зловмисного програмного забезпечення роблять багато традиційних рішень безпеки неефективними для виявлення або пом’якшення атак APT. Ось чому командам безпеки потрібні рішення, які використовують визначення на основі контексту та поведінки, щоб ідентифікувати та зупиняти зловмисне програмне забезпечення на основі його дій, а не сигнатур. Щоб покращити виявлення атак APT, команди безпеки повинні спостерігати за підвищеною активністю загроз або іншими аномаліями в системах. На рівні кінцевої точки зверніть увагу на попереджувальні ознаки атаки APT, такі як розвідка мережі, підозрілі передачі файлів і зв’язок із підозрілими командними й контрольними серверами.
Сучасні передові технології виявлення загроз забезпечують ізольоване середовище та моніторинг для виявлення атак APT. Ізольоване програмне середовище дозволяє запускати підозрілий файл і спостерігати за ним в ізольованому середовищі, перш ніж він буде допущений до мережі, потенційно виявляючи загрозу до того, як він матиме шанс проникнути в системи та завдати шкоди.
Профілактика та захист від APT
Удосконалена профілактика та захист від зловмисного програмного забезпечення повинні зосереджуватися на захисті векторів загрози (як точок проникнення, так і точок ексфільтрації), щоб мінімізувати можливість зараження та крадіжки даних. Застосування засобів керування такими векторами, як електронна пошта, підключення до Інтернету, передача файлів і USB, забезпечує захист від зараження зловмисним програмним забезпеченням на ранніх стадіях атак, а також викрадання даних у разі успішного зараження зловмисним програмним забезпеченням на останніх етапах атаки. Як остання лінія захисту, усі активи конфіденційних даних мають бути зашифровані, а всі ключі мають зберігатися в безпеці. Це гарантує, що збиток залишається низьким, навіть якщо мережа проникла, а інцидент залишився непоміченим.
Оскільки атаки соціальної інженерії дуже поширені, організації також повинні забезпечувати своїх співробітників обширним і постійним навчанням. Фішингові атаки є популярним методом APT-атак. Тому важливо, щоб співробітники були знайомі з тактикою, яку використовують зловмисники. За допомогою багаторівневого підходу з використанням різних технологій безпеки та навчених співробітників можна значно посилити захист від атак APT.
Більше на Digitalguardian.com
Про Digital Guardian Digital Guardian пропонує безкомпромісну безпеку даних. Хмарну платформу захисту даних створено спеціально для запобігання втраті даних через внутрішні загрози та зовнішніх зловмисників в операційних системах Windows, Mac і Linux. Платформу захисту даних Digital Guardian можна розгорнути в корпоративній мережі, традиційних кінцевих точках і хмарних програмах. Понад 15 років Digital Guardian дозволяє компаніям, які потребують великих даних, захистити свої найцінніші активи на основі SaaS або повністю керованих послуг. Унікальна видимість даних Digital Guardian без політики та гнучкі елементи керування дозволяють організаціям захищати свої дані, не сповільнюючи бізнес-операції.