Šta su to APT napadi

APT ( Advanced Persistent Threat) je zapravo napad na mrežu, u kom neovlašćena osoba obezbjeđuje pristup na mrežu i ostaje tamo neprimjećeno za duži vremenski period. Namjera APT napada je da se ukradu podaci, a ne da izazove oštećenja mreže ili organizacije. APT napadi ciljaju organizacije u sektorima sa informacijama visoke vrijednosti, kao što su nacionalne odbrane, državne organizacije, konkurentna proizvodnja i finansijska industrija.

U jednostavnom, klasičnom napadu, uljez pokušava da uđe i izađe što je brže moguće da bi se izbjeglo otkrivanje upada putem sistema detekcije mreze (IDS) . U APT napadu, međutim, cilj nije da se samo uđe, napravi šteta ili krađa i izađe , već da se obezbijedi kontinuiran pristup . Za održavanje pristupa bez otkrivanja, uljez mora stalno da inovira kod i primjenjuje sofisticirane tehnike izbjegavanja. Dok industrijski hakeri obično biraju jedan metod napada i upere ga u nekoliko ciljeva, APT koriste jednu za drugom više vrsta napada protiv jedne mete dok ne pronađu slabost u odbrani. Neki APT napadi su toliko kompleksni da zahtijevaju puno administratorsko vrijeme.

APT napadač često koristi “spear phishing” metodu, neku vrstu socijalnog inženjeringa (varanje putem mejla koji dolazi od naizgled provjerenog pošiljaoca, a da se obezbijede pristupni podaci), za pristup mreži legitimnim sredstvima. Kada je postignut pristup, napadač uspostavlja tzv. zadnja vrata (“back door”). Sljedeći korak je da se prikupe validni korisnički akreditivi (posebno administrativni), a zatim poprečnim kretanjem kroz mrežu instalira još “zadnjih vrata”.

Ti prilazi, zadnja vrata, omogućavaju napadaču da instalira lažne usluge u vidu malih aplikacija (“utilities”), i stvori " ghost infrastrukturu " za distribuciju malvera  koji ostaje neprimijećen.

Iako se  APT napadi teško identifikuju, krađa podataka nikada ne može biti potpuno nevidljiva. Otkrivanje anomalija u izlaznim, dijeljenim podacima je možda najbolji način za administratora da otkrije da je njegova mreža je bila meta napada APT .

Preduzeća obično dostignu odgovarajući nivo IT odbrane u trenutku kad za kiber kriminalce postaje isplativije da ciljaju nekog drugog. Ali problem nastaje kada organizacije ne uspijevaju prepoznati da su na meti APT prijetnji, koje su upravo dizajnirane da zaobiđu odbranu. Kao što im samo ime govori, ti napadi su perzistentni, napadačima nije potreban veliki budžet, samo dovitljivost i vrijeme kojeg imaju napretek da neometano rade. Upornost i neodustajanje dok ne postignu cilj motiviše i velika vrijednost prikupljenih informacija.

Kako se odbraniti?

Serija napada koji se pojavljuju na različitim mjestima u sistemu ili infrastrukturi  su prva stvar koju treba tražiti. Dok klasični kiber napadi imaju tendenciju da se fokusiraju na jednoj lokaciji, APT obično kreću od primjene do primjene sekvencijalno, pokušavajući da nađu način da prodru u mrežu.  

Organizacije ne mogu da se oslone na SIEM sisteme da pokupe ove vrste napada, jer SIEM prati dešavanja u mreži u jednom trenutku, ali ne vezuje sekvencijalne događaje.

Većina APT počinje na nivou aplikacije, pa je dobro prvo provjeriti imamo li rupe u veb aplikacijama, što je najočigledniji poligon za napad u savremenim organizacijama.

Organizacije koje sumnjaju da su u opasnosti od APT zbog vrste informacija koje posjeduju na svojim mrežama, treba odmah da uspostave proces razmatranja svih bezbjednosnih upozorenja i pokušaja napada, čak i onih koji su blokirani. Problem je upravo u tome što većina organizacija zanemaruje ovu informaciju, srećni su što njihov firewall i antivirus blokiraju prijetnje i ne gledaju šta je to čemu je blokiran pristup, iako uravo to mogu biti dijelovi APT pokušaja, i upravo analizom blokiranih sadržaja dolazimo do eventualnog uočavanja pokušaja proboja mreže. 

Takođe, profesionalci IT bezbjednosti moraju paziti na to, da dok obezbjeđuju zaštitu protiv novih prijetnji, ne zaboravljaju i one stare metode, jer ih napadači neće zaboraviti.

Na kraju, a zapravo je trebalo biti na početku, organizacije moraju imati dobru klasifikaciju informacija, i znati šta je ona suština koja se zapravo štiti, jer ako se hiljade dokumenata proglase “povjerljivim” , zaštita je osuđena na neuspjeh.