Awareness

Що таке розширені стійкі загрози (APT)?

by Альянс Лазаря 0 Коментар
Надійний звіт про аудит кібербезпеки від Lazarus Alliance  

На відміну від традиційних кібератак, розширені стійкі загрози часто здійснюються добре фінансованими та висококваліфікованими діячами загроз, які використовують низку методів, щоб отримати та підтримувати доступ до мережі та даних цілі протягом тривалого періоду часу. Оскільки кількість атак APT продовжує зростати, компаніям будь-якого розміру необхідно розуміти ландшафт загроз і вживати заходів для захисту своїх мереж і даних від APT. 

У цій публікації в блозі ми розглянемо APT, як вони працюють, потенційні наслідки успішної APT-атаки та найкращі методи запобігання APT.

Що таке розширена постійна загроза?

Розширена постійна загроза — це тип кібератаки або хакерської організації, яка використовує складні вектори атак для запуску та підтримки довготривалих атак проти державних і приватних організацій. Зазвичай вони здійснюються добре фінансованою, висококваліфікованою та організованою групою хакерів із конкретними цілями, часто спонсорованими державою та пов’язаними з урядовою установою (доречно чи іншим чином). 

APT характеризуються своєю здатністю наполегливо та непомітно націлюватися на жертву протягом тривалого періоду, часто для вилучення конфіденційних даних або зриву критичних операцій. APT використовують складні методи соціальної інженерії, цільове зловмисне програмне забезпечення та інші приховані методи доступу до мережі жертви та збереження її присутності непоміченою.

Визначальним аспектом будь-якого APT є концепція «бокового переміщення», коли організація використовує доступ для отримання підвищених привілеїв, які дозволяють їм успішно переміщатися між підключеними системами. Це вказує на один із найнебезпечніших аспектів APT — вони можуть витратити місяці або навіть роки, закопуючись у IT або хмарні системи, перш ніж їх виявлять.

 

Які загальні вектори атак розширеної постійної загрози?

передові стійкі загрози

APT використовують різноманітні вектори атак, щоб отримати доступ до мереж своїх жертв і підтримувати стійкість протягом тривалого часу. Ось деякі з найпоширеніших векторів атак, які використовують APT:

  • Фішинг: APT зазвичай не зацікавлений у невеликому доступі чи атаках. Тому вони часто використовують цільові фішингові електронні листи, щоб обманом змусити високопоставлених осіб в організації розкрити конфіденційну інформацію або завантажити зловмисне програмне забезпечення. Ця атака може поширитися на складну соціальну інженерію, як-от атаки водопою, компроміс бізнес-електронної пошти (BEC) або вішинг.
  • Подвиги нульового дня: Zero-days — це вразливості, які щойно були виявлені та оприлюднені та ще не отримали виправлення. APT можуть використовувати раніше невідомі вразливості програмного забезпечення чи операційної системи або використовувати невиправлене обладнання для доступу до мережевих систем.
  • Malware: APT часто використовують спеціально створене шкідливе програмне забезпечення, таке як трояни віддаленого доступу (RAT) або клавіатурні шпигуни, щоб отримати доступ до мережі жертви та підтримувати тривалий час. Ці форми зловмисного програмного забезпечення часто створюють складні проблеми для адміністраторів, використовуючи механізми контрвиявлення, щоб приховати свою діяльність. 
  • Атаки продавців: APT можуть скомпрометувати надійного продавця або постачальника, щоб отримати доступ до мереж своїх клієнтів. Деякі з найвідоміших атак APT загрожують інфраструктурі хмарних додатків таким чином, що згодом загрожує сотням, якщо не тисячам, користувачів. 
  • Фізичний доступ: У деяких випадках APT можуть використовувати фізичний доступ до мережі жертви, наприклад, викрадення пристроїв, доступ до зон зберігання даних або використання обширних досліджень, щоб визначити, як атакувати апаратне забезпечення, підключене до локальних систем. 

Варто зазначити, що APT часто використовують комбінацію цих векторів атак та інших методів для здійснення своїх атак. Це може зробити їх надзвичайно складними для виявлення та захисту.

 

Які є деякі помітні прогресивні стійкі загрози?

За останні роки було кілька гучних прикладів APT. 

  • Elderwood Group: Цей APT був вперше виявлений у 2009 році та був націлений на кілька відомих компаній, включаючи Google і Adobe, через серію атак, відомих як операція «Аврора». Зловмисники використовували фішингові електронні листи, щоб отримати початковий доступ до мереж своїх жертв, а потім використовували комбінацію спеціального зловмисного програмного забезпечення та викрадених облікових даних для переміщення в бік і вилучення конфіденційних даних.
  • APT10: Вважається, що ця група, також відома як MenuPass і Stone Panda, базується в Китаї. APT10, який діє з 2009 року, націлений на широкий спектр галузей, включаючи аерокосмічну, оборонну та технологічну, і був пов’язаний із низкою гучних витоків даних.
  • FIN7: Вважається, що ця група APT, також відома як Blackcat, базується в Росії та діє щонайменше з 2015 року. FIN7 націлилася на численні американські ресторанні та готельні компанії, викравши мільйони записів кредитних карток і продавши їх на чорному ринку. .

 

Які деякі наслідки успішної атаки APT?

APT мають інший масштаб, ніж типові хаки. Вони спеціально створені та організовані, щоб загрожувати великим галузям промисловості, державним установам і великим технологічним компаніям довгостроковими витоками даних. 

Наслідки успішної атаки APT можуть бути тяжкими та далекосяжними. Ось деякі потенційні продукти успішної APT-атаки:

  • Фінансові втрати: APT можуть призвести до значних фінансових втрат для організації. Це може включати прямі втрати від крадіжки або знищення даних, а також непрямі втрати від простою та втрати продуктивності.
  • Шкода репутації: Успішна атака APT може завдати значних репутаційних збитків організації. Це може включати втрату довіри клієнтів, негативне висвітлення в засобах масової інформації та шкоду репутації бренду.
  • Регуляторні збитки: APT часто потрапляють через дірку в безпеці, яку можна було заповнити належним дотриманням вимог. Після цього, якщо порушення APT сталося через невідповідність, покарання можуть бути суворими, включаючи великі штрафи або втрату сертифікації.
  • Зрив: APT-атаки можуть порушити бізнес-операції через пошкодження ІТ-систем або (що стає все більш поширеним) повне блокування через встановлене програмне забезпечення-вимагач.
  • Національна безпека: Інтеграція національних агенцій із приватними ІТ-провайдерами та хмарними провайдерами пропонує хакерам кілька високопоставлених цілей, які, у свою чергу, ведуть до доступу до урядової інформації. Очевидно, це величезна проблема для компаній, які працюють у середовищах із високим рівнем безпеки, як-от Міністерство оборони ланцюжка поставок

 

Які найкращі методи запобігання ГПТ?

Запобігання загрозам APT вимагає комплексного та багаторівневого підходу до безпеки, який не сприймає як належне будь-які загрози, специфічні чи загальні.

Деякі найкращі практики, які організації можуть застосовувати для зменшення цих ризиків, включають:

  • Сильний контроль доступу: Використовуйте надійні паролі, багатофакторну автентифікацію та принцип найменших привілеїв, щоб посилити безпеку та мінімізувати шкоду, яку може завдати зламаний обліковий запис.
  • Патч програмного забезпечення та прошивки: Регулярно виправляйте програмне забезпечення, операційні системи та мікропрограми пристроїв, щоб усунути добре відомі вразливості та нові нульові дні.
  • Запровадити сегментацію мережі: Відокремлення мереж одна від одної може мінімізувати бічні переміщення APT, особливо між простором користувача та внутрішньою інфраструктурою. 
  • Використовуйте Endpoint Security: Розгорніть рішення безпеки кінцевих точок, такі як антивірус і засоби виявлення кінцевих точок і реагування, щоб виявляти та запобігати зараженню зловмисним програмним забезпеченням.
  • Проводити регулярне навчання: Розкажіть співробітникам про ризики APT і навчіть їх виявляти підозрілу діяльність і повідомляти про неї.
  • Дотримуйтесь принципів нульової довіри: Розробляйте та розгортайте системи, які за замовчуванням не довіряють користувачам у будь-якому випадку. Це означає потребу повторної автентифікації та авторизації, коли обліковий запис переміщається через системні ресурси, моніторинг внутрішніх і зовнішніх мережевих з’єднань, а також регулярний аудит і сканування внутрішніх систем.
  • Впровадження надійних резервних копій: Резервне копіювання може допомогти організаціям, які постраждали від APT, стерти та відновити системні ресурси та пом’якшити проблеми, які виникають через програми-вимагачі. 

Важливо зазначити, що APT є високопродуманими та добре фінансованими зловмисниками, тому немає ідеального рішення для їх запобігання. Однак, запровадивши багаторівневий підхід до безпеки та дотримуючись найкращих практик, організації можуть зменшити ризик стати жертвою APT-атаки.

 

Будьте попереду APT з Lazarus Alliance

APTs є основною загрозою для великих і малих підприємств у двадцять першому столітті. Хоча одноразового методу запобігання не існує, прихильність до регулярних оцінок безпеки, суворе дотримання відповідності та постійна розробка ризиків і стратегій пом’якшення можуть мінімізувати вашу поверхню атак. 

Як поєднувати всі ці обов’язки, зосереджуючись на бізнесі? Довірте Lazarus Alliance.

Завантажте брошуру нашої компанії.

Без зображення Пусто

Альянс Лазаря

Веб-сайт: