Tartalomjegyzék:
- Mi az APT?
- Miben különböznek az APT-k?
- Néhány példa az APT-kre
- Hol APT-k?
- A 21. századi biztonsági fenyegetések
A számítógépes hálózat elleni támadás már nem hírek, de van egy másik támadás, amely a kiberbiztonsági aggályokat a következő szintre helyezi. Ezeket a támadásokat fejlett perzisztens fenyegetéseknek (APT) hívják. Néhány, az elmúlt években bekövetkezett, nagy horderejű eset áttekintése során megtudhatja, mennyiben különböznek a mindennapi fenyegetésektől, és miért képesek annyira kárt okozni. (A háttérolvasáshoz olvassa el az 5 legfélelmetesebb fenyegetést.)
Mi az APT?
Az előrehaladott perzisztens fenyegetés (APT) kifejezés olyan támadóra vonatkozhat, amelynek jelentős eszközei, szervezete és motivációja van arra, hogy tartós cyberatámadást hajtson végre egy célpont ellen.
Az APT nem meglepő módon fejlett, kitartó és fenyegető. Fejlett, mert lopakodó és több támadási módszert alkalmaz a cél, gyakran nagy értékű vállalati vagy kormányzati erőforrás veszélyeztetésére. Az ilyen típusú támadásokat szintén nehéz felfedezni, eltávolítani és hozzárendelni egy adott támadóhoz. Sőt, ami még rosszabb, ha egy célt megsértnek, gyakran létrejönnek a hátsó ajtók, hogy a támadó folyamatos hozzáférést biztosítson a veszélyeztetett rendszerhez.
Az APT-k tartósnak tekinthetők abban az értelemben, hogy a támadó hónapokon keresztül töltsön információkat a célról és gyűjtsön információkat arra, hogy hosszabb ideig több támadást indítson. Fenyegető, mert az elkövetők gyakran nagyon érzékeny információkat, például atomerőművek elrendezését vagy kódokat követik el, hogy behatoljanak az amerikai védelmi vállalkozókba.
Az APT támadásnak általában három elsődleges célja van:
- Az érzékeny információk lopása a céltól
- A cél felügyelete
- A cél Sabotage-je
Az APT elkövetői gyakran használnak megbízható kapcsolatokat a hálózatokhoz és rendszerekhez való hozzáféréshez. Ezeket a kapcsolatokat például egy együttérző bennfentes vagy egy öntudatlan alkalmazott révén lehet megtalálni, aki a lándzsás adathalász támadás áldozatává válik.
Miben különböznek az APT-k?
Az APT-k számos szempontból különböznek a többi kibertámadástól. Először is, az APT-k gyakran testreszabott eszközöket és behatolástechnikákat használnak - mint például a sebezhetőség kihasználása, vírusok, férgek és rootkit-ek -, amelyeket kifejezetten a célszervezet behatolására terveztek. Ezen túlmenően az APT-k gyakran egyszerre több támadást indítanak, hogy megszerezzék célpontjukat, és biztosítsák a folyamatos hozzáférést a célzott rendszerekhez, ideértve egy csalót is, hogy megcsapják a célt, hogy gondolják, hogy a támadást sikeresen visszatartják.
Másodszor, az APT támadások hosszú ideig történnek, amelyek során a támadók lassan és csendesen mozognak az észlelés elkerülése érdekében. A tipikus számítógépes bűnözők által elindított sok támadás gyors taktikájával ellentétben az APT célja, hogy észrevétlenül maradjon, miközben folyamatosan figyeli és folytatja az "alacsony és lassú" mozgást, amíg a támadók elérik meghatározott céljaikat.
Harmadszor, az APT-ket úgy tervezték, hogy megfeleljenek a kémkedés és / vagy szabotázs követelményeinek, általában rejtett állami szereplők bevonásával. Az APT célja a katonai, politikai vagy gazdasági hírszerzés, bizalmas adatok vagy üzleti titok fenyegetése, a műveletek megszakítása vagy akár a felszerelések megsemmisítése.
Negyedszer, az APT-k a nagyon értékes célok korlátozott körére irányulnak. Az APT támadásokat indítottak kormányzati ügynökségek és létesítmények, védelmi vállalkozók és a csúcstechnológiájú termékek gyártói ellen. A nemzeti infrastruktúrát fenntartó és működtető szervezetek és vállalatok szintén valószínű célok.
Néhány példa az APT-kre
Az Aurora mûvelet volt az elsõ széles körûen közzétett APT; az amerikai vállalatok elleni támadások sorozata kifinomult, célzott, lopakodó és a célok manipulálására készült.A 2009 közepén végrehajtott támadások kihasználták az Internet Explorer böngészőjének sebezhetőségét, lehetővé téve a támadók számára a számítógépes rendszerekhez való hozzáférést és a rosszindulatú programok letöltését ezekre a rendszerekre. A számítógépes rendszereket távoli szerverhez kötötték, és a társaságoktól, beleértve a Google-t, a Northrop Grumman-t és a Dow Chemical-t, ellopták a szellemi tulajdonokat. (Olvassa el a rosszindulatú szoftverek egyéb káros támadásait: férgek, trójaiak és botok, Oh My!)
A Stuxnet volt az első APT, amely cyberack-t használt a fizikai infrastruktúra megzavarására. Úgy gondolják, hogy az Egyesült Államok és Izrael fejlesztette ki, a Stuxnet féreg egy iráni atomerőmű ipari vezérlőrendszereit célozta meg.
Noha úgy tűnik, hogy a Stuxnet-t az iráni nukleáris létesítmények támadására fejlesztették ki, messze meghaladta a tervezett célt, és fel lehetne használni a nyugati országok, köztük az Egyesült Államok ipari létesítményei ellen.
Az APT egyik legjelentősebb példája az RSA, a számítógépes és hálózati biztonsági társaság megsértése volt. 2011 márciusában az RSA szivárgást váltott ki, amikor áthatolt egy lándzsás-adathalász támadás, amely az egyik alkalmazottát összekapcsolta, és óriási fogást eredményezett a cyberackerezők számára.
Art Coviello ügyvezetõ elnöke, az ügyfelek által a társaság weboldalára 2011. márciusában közzétett nyílt levelében Art Coviello elmondta, hogy egy kifinomult APT-támadás értékes információkat bocsátott ki SecurID kétfaktoros hitelesítési termékével kapcsolatban, amelyet a távoli munkavállalók használtak a vállalati hálózathoz való biztonságos eléréshez. .
"Bár ebben az időben biztosak vagyunk abban, hogy a kinyert információk nem teszik lehetővé az RSA SecurID ügyfeleink bármelyikének sikeres közvetlen támadását, ezeket az információkat potenciálisan felhasználhatjuk a jelenlegi kéttényezős hitelesítési megvalósítás hatékonyságának csökkentésére egy szélesebb körű részeként. támadás - mondta Coviello.
Kiderült, hogy Coviello tévedett ebben, mivel számos RSA SecurID token ügyfél, köztük az amerikai védelmi óriás Lockheed Martin, beszámoltak az RSA megsértése miatti támadásokról. A károk korlátozása érdekében az RSA beleegyezett abba, hogy cseréli a kulcsfontosságú vásárlóinak tokeneit.
Hol APT-k?
Egy dolog biztos: az APT-k folytatódni fognak. Mindaddig, amíg van érzékeny információ a lopáshoz, a szervezett csoportok ezt követik. És amíg nemzetek léteznek, ott lesz kémkedés és szabotázs - fizikai vagy számítógépes.
Már megfigyelés alatt áll a Duqu néven elnevezett Stuxnet féreg, amelyet 2011 őszén fedeztek fel. Mint alvó ügynök, Duqu gyorsan beágyazódott a kulcsfontosságú ipari rendszerekbe, és összegyűjtötte az intelligenciát, és megfékezi az idejét. Biztos lehet abban, hogy a tervezési dokumentumokat tanulmányozza, hogy gyenge pontokat találjon a jövőbeli támadásokhoz.
A 21. századi biztonsági fenyegetések
A Stuxnet, Duqu és örökösei minden bizonnyal egyre inkább a kormányokat, a kritikus infrastruktúrát üzemeltetőket és az információbiztonsági szakembereket vonják be. Ideje ezeket a fenyegetéseket olyan komolyan venni, mint a XXI . Század mindennapi életének hétköznapi információbiztonsági problémáit.
