Dom sigurnosti Napredne uporne prijetnje: prvo salvo u nadolazećem cybernatu?

Napredne uporne prijetnje: prvo salvo u nadolazećem cybernatu?

Sadržaj:

Anonim

Napad na računalnu mrežu više nije naslov vijesti, ali postoji drugačija vrsta napada koja podiže pitanje kibernetičke sigurnosti na novu razinu. Ti se napadi nazivaju naprednim upornim prijetnjama (APT). Otkrijte kako se razlikuju od svakodnevnih prijetnji i zašto mogu nanijeti toliko štete u našem pregledu nekih značajnih slučajeva koji su se dogodili u posljednjih nekoliko godina. (Za čitanje u pozadini pogledajte pet najstrašnijih prijetnji tehnike.)

Što je APT?

Izraz napredna uporna prijetnja (APT) može se odnositi na napadača značajnim sredstvima, organizacijom i motivacijom za izvođenje dugotrajnog cyber-napada prema metu.


APT, ne iznenađuje, napredan je, uporan i prijeteći. Napredan je jer koristi metode prikrivanja i višestrukih napada za kompromitiranje cilja, često korporativnog ili vladinog resursa visoke vrijednosti. Ovu vrstu napada je također teško otkriti, ukloniti i pripisati određenom napadaču. Što je još gore, nakon što se meta probije, često se izrađuju pozadine kako bi se napadaču omogućio stalni pristup kompromitiranom sustavu.


APT-ovi se smatraju postojanim u smislu da napadač može provesti mjesece prikupljajući obavještajne podatke o meta i upotrijebiti tu inteligenciju za pokretanje višestrukih napada tokom dužeg vremenskog razdoblja. Prijetnja je zato što počinitelji često nakon vrlo osjetljivih informacija, poput rasporeda nuklearnih elektrana ili kodova, provale u američke obrambene izvođače.


APT napad uglavnom ima tri osnovna cilja:

  • Krađa osjetljivih podataka iz cilja
  • Praćenje cilja
  • Sabotaža meta
Napadač se nada da će moći postići svoje ciljeve ostajući neotkriven.


Počinitelji APT-ova često koriste pouzdane veze za pristup mrežama i sustavima. Te se veze mogu naći, na primjer, kroz simpatičnog insajdera ili nesvjesnog zaposlenika koji postaje plijen napadom krađe identiteta.

Po čemu se APT-ovi razlikuju?

APT se razlikuju od drugih cyber napada na različite načine. Prvo, APT-ovi često koriste prilagođene alate i tehnike upada - poput iskorištavanja ranjivosti, virusa, crva i rootkita - dizajniranih posebno kako bi prodrli u ciljnu organizaciju. Pored toga, APT-i često pokreću više napada istovremeno kako bi prekršili svoje ciljeve i osigurali stalni pristup ciljanim sustavima, ponekad uključujući i prikrivač kako bi zaveli metu misleći da je napad uspješno odbijen.


Drugo, napadi APT-a događaju se tijekom dugog razdoblja tijekom kojeg se napadači kreću polako i tiho kako bi izbjegli otkrivanje. Za razliku od brzih taktika mnogih napada koje su pokrenuli tipični cyber-kriminalci, cilj APT-a je ostati neotkriven pomicanjem „nisko i sporo“ uz kontinuirano nadgledanje i interakciju dok napadači ne postignu zadane svoje ciljeve.


Treće, APT-ovi dizajnirani su tako da udovolje zahtjevima špijunaže i / ili sabotaže, obično uključuju prikrivene državne aktere. Cilj APT-a uključuje vojno, političko ili ekonomsko prikupljanje obavještajnih podataka, povjerljive podatke ili prijetnju poslovnom tajnom, prekid operacija ili čak uništenje opreme.


Četvrto, APT usmjereni su na ograničen raspon vrlo vrijednih ciljeva. Pokrenuti su APT napadi na vladine agencije i objekte, obrambene izvođače i proizvođače visokotehnoloških proizvoda. Organizacije i tvrtke koje održavaju i upravljaju nacionalnom infrastrukturom također su vjerojatne mete.

Neki primjeri APT-ova

Operacija Aurora bila je jedna od prvih široko objavljenih APT-ova; serija napada na američke kompanije bila je sofisticirana, ciljana, prikrivena i osmišljena za manipuliranje ciljevima.

Napadi, izvršeni sredinom 2009., iskoristili su ranjivost u pregledniku Internet Explorer, omogućujući napadačima pristup pristupa računalnim sustavima i preuzimanje zlonamjernog softvera u te sustave. Računalni sustavi bili su spojeni na udaljeni poslužitelj, a intelektualno vlasništvo ukradeno je od tvrtki, uključujući Google, Northrop Grumman i Dow Chemical. (Pročitajte o drugim štetnim napadima zlonamjernog softvera: Crvi, Trojanci i Botovi, Oh moj!)


Stuxnet je bio prvi APT koji je koristio cyberatni napad kako bi poremetio fizičku infrastrukturu. Vjerovali su da su ga razvili SAD i Izrael, crv Stuxnet ciljao je na industrijske sustave upravljanja iranske nuklearne elektrane.


Iako se čini da je Stuxnet razvijen za napad na iranska nuklearna postrojenja, proširio se daleko iznad predviđenog cilja i mogao bi se koristiti i protiv industrijskih postrojenja u zapadnim zemljama, uključujući Sjedinjene Države.


Jedan od najistaknutijih primjera APT-a bilo je kršenje RSA, tvrtke za računalnu i mrežnu sigurnost. U ožujku 2011. godine, RSA je procurila curenje kad je probio napad podmetanjem kopljem koji je zakačio jednog zaposlenika i rezultirao velikim ulovom za cyberattack.


U otvorenom pismu RSA-u koje su kupci objavili na web stranici tvrtke u ožujku 2011. godine, izvršni predsjedavajući Art Coviello rekao je da je sofisticirani APT napad izvukao vrijedne informacije u vezi sa proizvodom za identifikaciju sa dva faktora SecurID koji koriste udaljeni radnici za siguran pristup mreži svoje tvrtke.,


"Iako smo u ovom trenutku sigurni da izvučene informacije ne omogućavaju uspješan izravan napad na bilo kojeg od naših korisnika RSA SecurID-a, ove bi se informacije potencijalno mogle upotrijebiti za smanjenje učinkovitosti trenutne implementacije dvofaktorske provjere autentičnosti kao dijela šireg napada ", rekao je Coviello.


No, pokazalo se da Coviello nije u tome bio u krivu, jer su brojni kupci žetona RSA SecurID, uključujući američkog obrambenog giganta Lockheed Martin, izvijestili o napadima uslijed kršenja RSA. U nastojanju da ograniči štetu, RSA je pristala zamijeniti tokene za svoje ključne kupce.

Gdje su APT-ovi?

Jedno je sigurno: APT-ovi će se nastaviti. Sve dok postoje osjetljive informacije za krađu, organizirane skupine će ići nakon toga. I dok nacije postoje, postojat će špijunaža i sabotaže - fizičke ili cyber.


Već postoji praćenje crva Stuxnet, nazvanog Duqu, koji je otkriven u jesen 2011. Kao i uspavani agent, Duqu se brzo ugradio u ključne industrijske sustave i prikuplja inteligenciju i čeka svoje vrijeme. Budite sigurni da proučava dizajnerske dokumente kako bi pronašao slabe točke budućih napada.

Prijetnje sigurnosti 21. stoljeća

Zasigurno će Stuxnet, Duqu i njihovi nasljednici sve više mučiti vlade, kritične operatore infrastrukture i stručnjake za informacijsku sigurnost. Vrijeme je da se te prijetnje shvate ozbiljno kao i svakodnevni problemi informacijske sigurnosti svakodnevnog života u 21. stoljeću.

Napredne uporne prijetnje: prvo salvo u nadolazećem cybernatu?