APT
( Advanced Persistent Threat) je zapravo napad na mrežu, u kom neovlašćena
osoba obezbjeđuje pristup na mrežu i ostaje tamo neprimjećeno za duži vremenski
period. Namjera APT napada je da se ukradu podaci, a ne da izazove oštećenja
mreže ili organizacije. APT napadi ciljaju organizacije u sektorima sa
informacijama visoke vrijednosti, kao što su nacionalne odbrane, državne
organizacije, konkurentna proizvodnja i finansijska industrija.
U
jednostavnom, klasičnom napadu, uljez pokušava da uđe i izađe što je brže
moguće da bi se izbjeglo otkrivanje upada putem sistema detekcije mreze (IDS)
. U APT napadu, međutim, cilj nije da se samo uđe, napravi šteta ili krađa i
izađe , već da se obezbijedi kontinuiran pristup . Za održavanje pristupa bez otkrivanja,
uljez mora stalno da inovira kod i primjenjuje sofisticirane tehnike izbjegavanja.
Dok industrijski hakeri obično biraju jedan metod napada i upere ga u nekoliko
ciljeva, APT koriste jednu za drugom više vrsta napada protiv jedne mete dok ne
pronađu slabost u odbrani. Neki APT napadi su toliko kompleksni da zahtijevaju
puno administratorsko vrijeme.
APT
napadač često koristi “spear phishing” metodu, neku vrstu socijalnog
inženjeringa (varanje putem mejla koji dolazi od naizgled provjerenog
pošiljaoca, a da se obezbijede pristupni podaci), za pristup mreži legitimnim
sredstvima. Kada je postignut pristup, napadač uspostavlja tzv. zadnja vrata (“back
door”). Sljedeći korak je da se prikupe validni korisnički akreditivi (posebno
administrativni), a zatim poprečnim kretanjem kroz mrežu instalira još “zadnjih
vrata”.
Ti
prilazi, zadnja vrata, omogućavaju napadaču da instalira lažne usluge u vidu
malih aplikacija (“utilities”), i stvori " ghost infrastrukturu " za
distribuciju malvera koji ostaje neprimijećen.
Iako
se APT napadi teško identifikuju, krađa
podataka nikada ne može biti potpuno nevidljiva. Otkrivanje anomalija u izlaznim,
dijeljenim podacima je možda najbolji način za administratora da otkrije da je
njegova mreža je bila meta napada APT .
Preduzeća
obično dostignu odgovarajući nivo IT odbrane u trenutku kad za kiber
kriminalce postaje isplativije da ciljaju nekog drugog. Ali problem nastaje
kada organizacije ne uspijevaju prepoznati da su na meti APT prijetnji, koje su
upravo dizajnirane da zaobiđu odbranu. Kao što im samo ime govori, ti napadi su
perzistentni, napadačima nije potreban veliki budžet, samo dovitljivost i
vrijeme kojeg imaju napretek da neometano rade. Upornost i neodustajanje dok ne
postignu cilj motiviše i velika vrijednost prikupljenih informacija.
Kako
se odbraniti?
Serija
napada koji se pojavljuju na različitim mjestima u sistemu ili infrastrukturi su prva stvar koju treba tražiti. Dok klasični kiber napadi imaju tendenciju da se fokusiraju na jednoj lokaciji, APT obično kreću od primjene do primjene sekvencijalno, pokušavajući da nađu način da prodru u mrežu.
Organizacije
ne mogu da se oslone na SIEM sisteme da pokupe ove vrste napada, jer SIEM prati
dešavanja u mreži u jednom trenutku, ali ne vezuje sekvencijalne događaje.
Većina
APT počinje na nivou aplikacije, pa je dobro prvo provjeriti imamo li rupe u
veb aplikacijama, što je najočigledniji poligon za napad u savremenim
organizacijama.
Organizacije
koje sumnjaju da su u opasnosti od APT zbog vrste informacija koje posjeduju na
svojim mrežama, treba odmah da uspostave proces razmatranja svih bezbjednosnih
upozorenja i pokušaja napada, čak i onih koji su blokirani. Problem je upravo u tome što većina organizacija zanemaruje ovu informaciju, srećni su što njihov firewall i antivirus blokiraju prijetnje i ne gledaju šta je to čemu je blokiran pristup, iako uravo to mogu biti dijelovi APT pokušaja, i upravo analizom blokiranih sadržaja dolazimo do eventualnog uočavanja pokušaja proboja mreže.
Takođe,
profesionalci IT bezbjednosti moraju paziti na to, da dok obezbjeđuju zaštitu
protiv novih prijetnji, ne zaboravljaju i one stare metode, jer ih napadači
neće zaboraviti.
Na
kraju, a zapravo je trebalo biti na početku, organizacije moraju imati dobru
klasifikaciju informacija, i znati šta je ona suština koja se zapravo štiti,
jer ako se hiljade dokumenata proglase “povjerljivim” , zaštita je osuđena na
neuspjeh.
Нема коментара:
Постави коментар