Wiele firm dokłada wszelkich starań, aby zebrać jak najwięcej danych o klientach. Niektórzy nawet oddają swoje produkty bezpłatnie w zamian za pozwolenie na gromadzenie danych osobowych.
W rezultacie nawet mniejsze firmy mają teraz bogactwo cennych danych. Coraz więcej aktorów zagrażających szuka sposobów na kradzież. Przykładem tego jest rodzaj cyberataku znany jako zaawansowane trwałe zagrożenie.
Czym więc jest zaawansowane trwałe zagrożenie? Jak ją rozpoznajesz? A co powinieneś zrobić, jeśli uważasz, że twój system został uderzony przez APT?
Co to jest zaawansowane trwałe zagrożenie (APT)?
Zaawansowane trwałe zagrożenie to rodzaj ataku, w którym intruz uzyskuje dostęp do systemu, a następnie pozostaje w nim niewykryty przez długi czas.
Ten rodzaj ataku jest zwykle przeprowadzany w celu szpiegostwa. Gdyby celem było po prostu uszkodzenie systemu, nie byłoby powodu, by się tu trzymać. Osoby przeprowadzające te ataki nie próbują niszczyć systemów komputerowych. Chcą po prostu dostępu do posiadanych przez siebie danych.
Większość zaawansowanych trwałych zagrożeń wykorzystuje zaawansowane techniki hakerskie i jest dostosowana do indywidualnych systemów komputerowych.
To sprawia, że te ataki są bardzo trudne do wykrycia. Ale jedną z zalet ich złożoności jest to, że przeciętny użytkownik komputera zwykle nie musi się o nie martwić.
W przeciwieństwie do złośliwego oprogramowania, które jest generalnie przeznaczone do atakowania jak największej liczby komputerów, zaawansowane trwałe zagrożenia są zwykle projektowane z myślą o konkretnym celu.
Jak dzieje się APT?
Zaawansowane trwałe zagrożenie to stosunkowo szerokie pojęcie. Dlatego poziom zaawansowania zastosowany w takim ataku jest bardzo zróżnicowany.
Większość z nich można jednak łatwo podzielić na trzy odrębne etapy.
Etap 1: Infiltracja
Na początkowym etapie hakerzy po prostu szukają sposobu na wejście. Dostępne dla nich opcje będą oczywiście zależeć od tego, jak bezpieczny jest system.
Jedną z opcji byłby phishing. Być może uda im się skłonić kogoś do przypadkowego ujawnienia danych logowania, wysyłając mu złośliwą wiadomość e-mail. A jeśli nie jest to możliwe, mogą próbować osiągnąć to samo poprzez inżynierię społeczną.
Etap 2: Ekspansja
Następnym krokiem jest ekspansja. Gdy napastnicy uzyskają prawidłową drogę do systemu, będą chcieli zwiększyć swój zasięg i prawdopodobnie upewnić się, że ich istniejący dostęp nie może zostać cofnięty.
Zwykle robią to z jakimś rodzajem złośliwego oprogramowania. Na przykład keylogger pozwoli im zebrać dodatkowe hasła do innych serwerów.
Związane z: Co to jest Keylogger?
A trojan z tylnym wejściem zagwarantuje przyszłe włamania, nawet jeśli oryginalne skradzione hasło zostanie zmienione.
Etap 3: Ekstrakcja
W trzeciej fazie nadszedł czas, aby faktycznie ukraść dane. Informacje są zazwyczaj zbierane z wielu serwerów, a następnie umieszczane w jednym miejscu, aż będą gotowe do pobrania.
W tym momencie osoby atakujące mogą próbować przerwać ochronę systemu za pomocą coś w rodzaju ataku DDOS. Pod koniec tego etapu dane są faktycznie kradzione i, jeśli nie zostaną wykryte, drzwi pozostają otwarte dla przyszłych ataków.
Znaki ostrzegawcze APT
Chociaż APT jest zwykle zaprojektowany specjalnie w celu uniknięcia wykrycia, nie zawsze jest to możliwe. W większości przypadków będą przynajmniej pewne dowody na to, że taki atak ma miejsce.
Spear Phishing
Wiadomość e-mail typu spear phishing może oznaczać, że APT ma się wkrótce wydarzyć lub jest na wczesnym etapie. E-maile phishingowe mają na celu masową kradzież danych dużej liczby osób. Wiadomości e-mail typu spear phishing to dostosowane wersje, które są dostosowane do określonych osób i / lub firm.
Podejrzane logowania
Podczas trwającego APT osoba atakująca prawdopodobnie regularnie loguje się do systemu. Jeśli legalny użytkownik nagle loguje się na swoje konto o dziwnych godzinach, może to oznaczać, że jego dane uwierzytelniające zostały skradzione. Inne oznaki obejmują logowanie się z większą częstotliwością i patrzenie na rzeczy, którymi nie powinny.
Trojany
Trojan to ukryta aplikacja, która po zainstalowaniu może zapewnić zdalny dostęp do systemu. Takie aplikacje mogą być jeszcze większym zagrożeniem niż kradzież danych uwierzytelniających. Dzieje się tak, ponieważ nie pozostawiają śladu, tj. Nie ma historii logowania, którą możesz sprawdzić, i zmiana hasła nie ma na nie wpływu.
Nietypowe przekazywanie danych
Największą oznaką wystąpienia APT jest po prostu to, że dane są nagle przenoszone, pozornie bez wyraźnego powodu. Ta sama logika ma zastosowanie, gdy widzisz, że dane są przechowywane tam, gdzie nie powinny, lub, co gorsza, w rzeczywistości są one przesyłane na zewnętrzny serwer poza Twoją kontrolą.
Co zrobić, jeśli podejrzewasz APT
Po wykryciu APT ważne jest, aby działać szybko. Im więcej czasu atakujący ma w twoim systemie, tym większe mogą wystąpić szkody. Jest nawet możliwe, że Twoje dane nie zostały jeszcze skradzione, a raczej mają być. Oto, co musisz zrobić.
- Zatrzymaj atak: Kroki mające na celu zatrzymanie APT zależą w dużej mierze od jego natury. Jeśli uważasz, że tylko część Twojego systemu została naruszona, powinieneś zacząć od odizolowania go od wszystkiego innego. Następnie popracuj nad usunięciem dostępu. Może to oznaczać cofnięcie skradzionych danych uwierzytelniających lub, w przypadku trojana, wyczyszczenie systemu.
- Oceń szkody: Następnym krokiem jest ustalenie, co się stało. Jeśli nie rozumiesz, jak doszło do APT, nic nie stoi na przeszkodzie, aby to się powtórzyło. Możliwe jest również, że obecnie trwa podobne zagrożenie. Oznacza to analizę dzienników zdarzeń systemowych lub po prostu ustalenie trasy, którą wykorzystał atakujący, aby uzyskać dostęp.
- Powiadom osoby trzecie: W zależności od tego, jakie dane są przechowywane w twoim systemie, szkody spowodowane przez APT mogą być długotrwałe. Jeśli obecnie przechowujesz dane, które nie należą tylko do Ciebie, np. Dane osobowe klientów, klientów lub pracowników, być może będziesz musiał powiadomić te osoby. W większości przypadków zaniedbanie tego może stać się problemem prawnym.
Poznaj oznaki APT
Ważne jest, aby zrozumieć, że nie ma czegoś takiego jak pełna ochrona. Błąd ludzki może doprowadzić do naruszenia bezpieczeństwa dowolnego systemu. Ataki te z definicji wykorzystują zaawansowane techniki w celu wykorzystania takich błędów.
Dlatego jedyną prawdziwą ochroną przed APT jest wiedza o ich istnieniu i zrozumienie, jak rozpoznać oznaki ich występowania.
Adaptacyjne zabezpieczenia, model monitorowania bezpieczeństwa w czasie rzeczywistym, wykorzystują nowoczesne taktyki do łagodzenia stale ewoluujących zagrożeń cybernetycznych.
Czytaj dalej
- Bezpieczeństwo
- Bezpieczeństwo online
- Bezpieczeństwo komputera
Elliot jest niezależnym pisarzem technicznym. Pisze przede wszystkim o fintech i cyberbezpieczeństwie.
Zapisz się do naszego newslettera
Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Jeszcze jeden krok…!
Potwierdź swój adres e-mail w wiadomości e-mail, którą właśnie wysłaliśmy.