Что такое Advanced Persistent Threat (APT)?

Advanced Persistent Threat (APT) - это изощренная устойчивая кибератака, при которой злоумышленник устанавливает незамеченное присутствие в сети с целью кражи конфиденциальных данных в течение длительного периода времени. APT-атака тщательно спланирована и разработана таким образом, чтобы проникнуть в конкретную организацию, обойти существующие меры безопасности и остаться незамеченной.

Выполнение APT-атаки требует более высокой степени настройки и сложности, чем традиционная атака. Злоумышленники, как правило, хорошо финансируемые, опытные команды киберпреступников, которые нацелены на организации с высокой ценностью. Они потратили много времени и ресурсов на исследование и выявление уязвимостей внутри организации.

Цели APT делятся на четыре основные категории:

- Кибершпионаж, включая кражу интеллектуальной собственности или государственной тайны

- Электронное преступление с целью получения финансовой выгоды

- Хактивизм

- Разрушение

Каковы 3 этапа APT-атаки?

Чтобы предотвратить, обнаружить и устранить APT, вы должны распознать ее характеристики. Большинство APT следуют одному и тому же базовому жизненному циклу проникновения в сеть, расширения доступа и достижения цели атаки, которая чаще всего заключается в краже данных путем их извлечения из сети.

Этап 1: Проникновение

На первом этапе сложные передовые постоянные угрозы часто получают доступ с помощью методов социальной инженерии. Одним из признаков APT является фишинговое электронное письмо, которое выборочно нацелено на высокопоставленных лиц, таких как руководители высшего звена или технические лидеры, часто используя информацию, полученную от других членов команды, которые уже были скомпрометированы. Атаки по электронной почте, нацеленные на конкретных лиц, называются «целевым фишингом».

Может показаться, что электронное письмо пришло от члена команды и содержит ссылки на текущий проект. Если несколько руководителей сообщают о том, что их обманули в результате целевой фишинговой атаки, начните искать другие признаки APT.

Этап 2: Эскалация и боковое движение

После получения первоначального доступа злоумышленники внедряют вредоносное ПО в сеть организации, чтобы перейти ко второму этапу — расширению. Они перемещаются в стороны, чтобы составить карту сети и собрать учетные данные, такие как имена учетных записей и пароли, для доступа к важной бизнес-информации.

Они также могут установить «черный ход» — схему, которая позволяет им позже проникнуть в сеть для проведения скрытых операций. Часто устанавливаются дополнительные точки входа, чтобы гарантировать, что атака может продолжаться, если скомпрометированная точка будет обнаружена и закрыта.

Этап 3: Эксфильтрация

Чтобы подготовиться к третьему этапу, киберпреступники обычно хранят украденную информацию в безопасном месте в сети до тех пор, пока не будет собрано достаточно данных. Затем они извлекают или «эксфильтрируют» информацию без обнаружения.

Они могут использовать такие тактики, как атака типа «отказ в обслуживании» (DoS), чтобы отвлечь команду безопасности и блокировать сетевой персонал во время кражи данных. Сеть может оставаться скомпрометированной, ожидая возвращения воров в любое время.

Характеристики APT-атаки

Поскольку инновационные постоянные угрозы используют методы, отличные от методов обычных хакеров, они оставляют после себя разные следы. В дополнение к целевым фишинговым кампаниям, нацеленным на руководителей организаций, симптомы APT-атаки с передовыми постоянными угрозами включают:

- Необычная активность в учетных записях пользователей, например увеличение числа входов в систему на высоком уровне поздно ночью.

- Широкое распространение бэкдор-троянов.

- Неожиданные или необычные пакеты данных, которые могут указывать на то, что данные были собраны при подготовке к эксфильтрации.

- Неожиданные информационные потоки, такие как аномалии в исходящих данных или внезапное, нехарактерное увеличение операций с базой данных, связанных с большими объемами данных.

Примеры передовых постоянных угроз

В настоящее время эксперты отслеживают более 150 противников по всему миру, включая национальные государства, киберпреступников и хактивистов.

Вот несколько ярких примеров APT, обнаруженных за последнее время:

GOBLIN PANDA (APT27) впервые был замечен в сентябре 2013 года, когда эксперты обнаружили признаки атаки (IOA) в сети технологической компании, работающей в нескольких секторах. Этот злоумышленник из Китая использует два эксплойта Microsoft Word с темами, связанными с обучением, чтобы сбрасывать вредоносные файлы при открытии.

FANCY BEAR (APT28), злоумышленник из России, использует фишинговые сообщения и поддельные веб-сайты, очень похожие на настоящие, чтобы получить доступ к обычным компьютерам и мобильным устройствам.

Cozy Bear (APT29) — кибератака российского происхождения. Эта атака была идентифицирована, так как использовала крупномасштабные кампании целевого фишинга для доставки широкого спектра типов вредоносных программ в рамках усилий по нацеливанию на политические, научные организации и организации национальной безопасности в различных секторах.

Ocean Buffalo (APT32) — базирующийся во Вьетнаме злоумышленник целевого вторжения, который, как сообщается, активен по крайней мере с 2012 года. Известно, что этот злоумышленник использует широкий спектр тактик, методов и процедур (TTP), включая использование как пользовательских, так и нестандартных готовых инструментов, а также распространение вредоносных программ с помощью операций Strategic Web Compromise (SWC) и адресных фишинговых писем, содержащих вредоносные вложения.

HELIX KITTEN (APT34) активен по крайней мере с конца 2015 года и, вероятно, базируется в Иране. Он нацелен на организации в аэрокосмической, энергетической, финансовой, правительственной, гостиничной и телекоммуникационной сферах и использует хорошо изученные и структурированные фишинговые сообщения, которые очень важны для целевого персонала.

Wicked Panda (APT41) был одним из самых результативных и эффективных злоумышленников в Китае с середины 2010-х по 2020-е годы. Эксперты приходят к выводу, что Wicked Panda состоит из расширенного набора групп, включающих нескольких подрядчиков, работающих в интересах китайского государства, но при этом осуществляющих преступную, коммерческую деятельность, вероятно, с некоторой формы молчаливого одобрения со стороны официальных лиц.

Как защититься от APT-атак?

Существует множество решений в области кибербезопасности и аналитики, которые помогают организациям лучше защищаться от APT-атак. Вот некоторые из лучших тактик, которые можно использовать:

Полное покрытие. Организации должны использовать возможности, которые обеспечивают их защитникам полную видимость своей среды, чтобы избежать слепых зон, которые могут стать убежищем для киберугроз.

Технический интеллект. Используйте техническую информацию, такую ​​как индикаторы компрометации (IOC), и используйте их в диспетчере информации и событий безопасности (SIEM) для обогащения данных. Это позволяет использовать дополнительный интеллект при проведении корреляции событий, потенциально выделяя события в сети, которые в противном случае могли бы остаться незамеченными.

Решение безопасности. Партнерство с лучшей в своем классе фирмой в области кибербезопасности является необходимостью. Если произойдет непредвиденное, организации может потребоваться помощь в реагировании на сложные киберугрозы.

Брандмауэр веб-приложений (WAF). Это устройство безопасности, предназначенное для защиты организаций на уровне приложений путем фильтрации, мониторинга и анализа трафика протокола передачи гипертекста (HTTP) и безопасного протокола передачи гипертекста (HTTPS) между веб-приложением и Интернетом.

Аналитика угроз. Аналитика угроз помогает в профилировании субъектов угроз, отслеживании кампаний и семейств вредоносных программ. В наши дни важнее понять контекст атаки, чем просто знать, что атака произошла сама по себе, и именно в этом жизненно важную роль играет информация об угрозах.

Охота за угрозами. Многие организации обнаружат необходимость круглосуточного и управляемого поиска угроз с участием человека в дополнение к уже установленным технологиям кибербезопасности.

Передовая защита от угроз: важность скорости

Наиболее важным понятием в кибербезопасности сегодня является скорость. Чтобы защитить себя, вы должны быть быстрее, чем ваш противник. Эксперты кибербезопасности используют время выхода, чтобы оценить операционную изощренность злоумышленника и оценить скорость, с которой требуется ответ.

Время выхода — это время, которое требуется злоумышленнику, чтобы начать боковое перемещение в сети после получения доступа. Это важный показатель для отслеживания того, насколько быстро могут действовать злоумышленники, а также для оценки времени обнаружения и реагирования группы безопасности.

Обнаружение и реагирование конечных точек (EDR), еще одна важная часть платформы кибербезопасности, ищет IOA, чтобы остановить атаки до того, как данные будут потеряны. Платформа позволяет организациям любого размера быстрее реагировать и опережать следующую APT-атаку. Решение помогает в расследовании инцидентов и ускоряет реагирование на нарушения за счет беспрепятственной интеграции автоматизированной аналитики угроз и настраиваемых индикаторов в защиту конечных точек.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.