Inleiding tot geavanceerde aanhoudende bedreigingen (APT)

Een Advanced Persistent Threats zijn gerichte aanvallen die langetermijnoperaties zijn die door de makers (hackers) worden uitgevoerd door de aanvalsbelasting te leveren via geavanceerde methoden (dwz voorbijgaan aan traditionele oplossingen voor eindpuntbescherming) die vervolgens in het geheim de beoogde acties uitvoert (zoals het stelen van informatie) zonder wordt gedetecteerd.
Meestal wordt het doelwit van dergelijke aanvallen zeer zorgvuldig gekozen en wordt eerst een zorgvuldige verkenning uitgevoerd. Het doelwit van dergelijke aanvallen zijn meestal grote ondernemingen, overheidsorganisaties, vaak intergouvernementele creëert rivalen en lanceren dergelijke aanvallen op elkaar en ontginnen zeer gevoelige informatie.

Enkele voorbeelden van geavanceerde aanhoudende bedreigingen zijn:

  • Titan Rain (2003)
  • GhostNet (2009) -Stuxnet (2010) waarbij het nucleaire programma van Iran bijna werd afgebroken
  • Hydra
  • Deep Panda (2015)

De kenmerken en progressie van geavanceerde aanhoudende bedreigingen

De APT verschillen op veel verschillende manieren van traditionele bedreigingen:

  • Ze gebruiken geavanceerde en complexe methoden om het netwerk binnen te dringen.
  • Ze blijven veel langer onopgemerkt, terwijl een traditionele dreiging misschien gewoon wordt gedetecteerd op het netwerk of op het niveau van eindpuntbeveiliging of zelfs als ze geluk hebben en voorbijgaan aan eindpuntoplossingen, een regelmatige kwetsbaarheidscontrole en continue monitoring de vangst bedreiging terwijl de aanhoudende hardnekkige bedreigingen gewoon langs alle beveiligingslagen komen en eindelijk hun weg vinden naar hosts en ze daar voor langere tijd blijven en hun operatie uitvoeren.
  • De APT's zijn gerichte aanvallen, terwijl traditionele aanvallen wel of niet het doelwit kunnen zijn.
  • Ze willen ook het hele netwerk infiltreren.

Vooruitgang van geavanceerde aanhoudende bedreigingen

  1. Doel selecteren en definiëren - Er moet een doel worden gedefinieerd, dwz welke organisatie het slachtoffer moet worden van een aanvaller. Hiervoor verzamelt de aanvaller eerst zoveel mogelijk informatie via footprinting en verkenning.
  2. Zoek en organiseer compomplices - De APT omvat geavanceerde als geavanceerde technieken die worden gebruikt voor aanvallen en meestal is de aanvaller achter ATP niet alleen. Het tweede zou dus zijn om de 'partner in crime' te vinden die dat vaardigheidsniveau bezit om geavanceerde technieken te ontwikkelen voor het uitvoeren van APT-aanvallen.
  3. Bouw en / of verwerf tol - Om de APT-aanvallen uit te voeren, moeten de juiste hulpmiddelen worden geselecteerd. De tools kunnen ook worden gebouwd om een ​​APT te maken.
  4. Verkenning en informatievergaring - Voordat de aanvaller een APT-aanval uitvoert, probeert hij zoveel mogelijk informatie te verzamelen om een ​​blauwdruk van het bestaande IT-systeem te maken. Het voorbeeld van het verzamelen van informatie kan de topologie van het netwerk, DNS- en DHCP-servers, DMZ (zones), interne IP-reeksen, webservers, enz. Zijn. Het is de moeite waard om op te merken dat het definiëren van een doel enige tijd kan duren, gezien de grootte van een organisatie. Hoe groter een organisatie, hoe meer tijd het kost om een ​​blauwdruk op te stellen.
  5. Test voor detectie - In deze fase zoeken we naar kwetsbaarheden en zwakke plekken en proberen we een kleinere versie van verkenningssoftware te implementeren.
  6. Ingang en implementatie - Hier komt de dag, de dag waarop de volledige suite wordt geïmplementeerd via een toegangspunt dat werd gekozen uit vele andere zwakke plekken na zorgvuldige inspectie.
  7. Eerste inbraak - Nu bevindt de aanvaller zich eindelijk in het beoogde netwerk. Vanaf hier moet hij beslissen waar hij heen gaat en het eerste doelwit vinden.
  8. Geïnitieerde uitgaande verbinding - Zodra de APT naar doel gaat, zichzelf instelt, probeert deze vervolgens een tunnel te maken waardoor gegevensuitfiltratie zal plaatsvinden.
  9. Uitbreiding van toegang en referenties zoeken - In deze fase probeert de APT zich te verspreiden in het netwerk en probeert zo veel mogelijk toegang te krijgen zonder te worden gedetecteerd.
  10. Versterk Foothold - Hier proberen we andere kwetsbaarheden te zoeken en te exploiteren. Door dit te doen, verhoogt een hacker de kans om toegang te krijgen tot andere locaties met verhoogde toegang. Hackers vergroten ook de kans om meer zombies te vestigen. Een zombie is een computer op internet die is aangetast door een hacker.
  11. Exfiltratie van gegevens - Dit is het proces waarbij de gegevens naar de hackersbasis worden verzonden. Hacker probeert over het algemeen de bedrijfsbronnen te gebruiken om de gegevens te coderen en deze vervolgens naar hun basis te verzenden. Vaak om af te leiden, gebruiken de hackers ruistactieken om het beveiligingsteam af te leiden, zodat de gevoelige informatie kan worden verplaatst zonder te worden gedetecteerd.
  12. Bedek de sporen en blijf onopgemerkt - De hackers zorgen ervoor dat alle sporen worden gewist tijdens het aanvalsproces en zodra ze worden afgesloten. Ze proberen zo sluimerend mogelijk te blijven.

Apt-aanvallen detecteren en voorkomen

Laten we eerst proberen de preventieve maatregelen te zien:

  • Bewustwording en vereiste beveiligingstraining– De organisaties zijn zich er terdege van bewust dat de meeste beveiligingsinbreuken die tegenwoordig plaatsvinden, gebeuren omdat gebruikers iets hebben gedaan dat niet had moeten worden gedaan, misschien zijn ze gelokt of hebben ze geen goede beveiliging gevolgd maatregelen tijdens het doen van alles op kantoor, zoals het downloaden van software van slechte sites, het bezoeken van sites die kwaadaardige bedoelingen hebben, werd het slachtoffer van phishing en nog veel meer! Daarom moet een organisatie beveiligingsbewustzijnssessies blijven houden en hun werknemers laten weten hoe ze in een beveiligde omgeving moeten werken, over risico's en de gevolgen van inbreuken op de beveiliging.
  • Toegangscontroles (NAC en IAM) - De NAC of de netwerktoegangscontroles hebben een verscheidenheid aan toegangsbeleid dat kan worden geïmplementeerd om de aanvallen te blokkeren. Dit komt omdat als een apparaat een van de beveiligingscontroles niet doorstaat, het wordt geblokkeerd door NAC. Het identiteits- en toegangsbeheer (IAM) kan helpen om de hackers weg te houden die proberen ons wachtwoord te stelen en proberen het wachtwoord te kraken.
  • Penetratietest– Dit is een geweldige manier om uw netwerk tegen penetratie te testen. Dus, hier worden de organisatiemensen zelf hacker die vaak ethische hackers worden genoemd. Ze moeten denken als een hacker om binnen het organisatienetwerk te dringen en dat doen ze! Het toont de bestaande besturingselementen en kwetsbaarheden die aanwezig zijn. Op basis van blootstelling stelt de organisatie de vereiste beveiligingsmaatregelen in.
  • Administratieve controles– De administratieve en beveiligingscontroles moeten intact zijn. Dit houdt in dat systemen en software regelmatig moeten worden gepatcht, met inbraakdetectiesystemen en firewalls. De openbare IPS van de organisatie (zoals proxy, webservers) moet in DMZ (Gedemilitariseerde zone) worden geplaatst, zodat deze wordt gescheiden van het interne netwerk. Door dit te doen, zelfs als een hacker de controle over een server in DMZ krijgt, zal hij geen toegang kunnen krijgen tot interne servers omdat deze aan de andere kant liggen en deel uitmaken van het afzonderlijke netwerk.

Nu zullen we het hebben over detectiemaatregelen

  • Netwerk Monitoring– Command and Control (C&C) centrum zijn de vleugels voor Advanced Persistent Threats om respectievelijk payloads en vertrouwelijke gegevens in en uit te voeren. De geïnfecteerde host vertrouwt op het commando- en controlecentrum om de volgende reeks acties uit te voeren en ze communiceren over het algemeen periodiek. Dus als we proberen de programma's, domeinnaamquery's die in een periodieke cyclus plaatsvinden, te detecteren, is het de moeite waard om die gevallen te onderzoeken.
  • Analyse van gebruikersgedrag– Dit houdt in dat gebruik wordt gemaakt van kunstmatige intelligentie en oplossingen die de activiteit van de gebruiker in de gaten houden. De verwachting is - de oplossing moet in staat zijn om eventuele afwijkingen in activiteiten die een host doet te detecteren.
  • Gebruik van Deception Technology- Dit dient als dubbel voordeel voor de organisatie. Aanvankelijk worden de aanvallers gelokt naar nepservers en andere bronnen, waardoor de oorspronkelijke activa van een organisatie worden beschermd. Nu gebruikt de organisatie die nepservers ook om de methoden te leren die aanvallers gebruiken terwijl ze de organisatie aanvallen. Ze leren hun keten van cyberdoden.

Reparatie en reactie

We moeten ook de reactie- en reparatieprocedure leren als er APT-aanvallen (Advanced Persistent Threats) plaatsvinden. In het begin kan APT verstrikt raken in de beginfase als we de juiste tools en technologieën gebruiken en in de beginfase zal de impact veel minder zijn omdat het belangrijkste motief van APT is om langer te blijven en onopgemerkt te blijven. Eenmaal gedetecteerd, moeten we proberen zoveel mogelijk informatie uit de beveiligingslogboeken, forensisch onderzoek en andere tools te halen. Het geïnfecteerde systeem moet opnieuw worden afgebeeld en men moet ervoor zorgen dat er geen bedreiging wordt verwijderd uit alle geïnfecteerde systemen en netwerken. Vervolgens moet de organisatie alle systemen grondig controleren om te controleren of er meer plaatsen zijn bereikt. De beveiligingscontrole moet vervolgens worden aangepast om dergelijke aanvallen of soortgelijke aanvallen in de toekomst te voorkomen.
Als de Advanced Persistent Threats (APT) dagen heeft doorgebracht en het in een veel later stadium is gedetecteerd, moeten de systemen onmiddellijk offline worden gehaald, gescheiden van allerlei netwerken, alle getroffen bestanden dienen ook te worden gecontroleerd . Vervolgens moet een volledige re-imaging worden uitgevoerd van de getroffen hosts, een diepgaande analyse moet worden uitgevoerd om de cyber-kill-keten te onthullen die is gevolgd. Het CIRT (Cyber ​​Incident Response Team) en Cyber ​​Forensics moeten worden ingeschakeld om alle datalekken aan te pakken die zich hebben voorgedaan.

Conclusie

In dit artikel hebben we gezien hoe een APT-aanval werkt en hoe we dergelijke bedreigingen kunnen voorkomen, detecteren en erop kunnen reageren. Men zou een basisidee moeten krijgen over een typische cybermoordketen die betrokken is bij APT-aanvallen. Ik hoop dat je de tutorial leuk vond.

Aanbevolen artikelen

Dit is een handleiding voor Advanced Persistent Threats (APT). Hier bespreken we de introductie en de kenmerken en progressie van geavanceerde aanhoudende bedreigingen, het detecteren en voorkomen van APT-aanvallen. U kunt ook onze andere voorgestelde artikelen doornemen voor meer informatie.

  1. Wat is WebSocket?
  2. Beveiliging van webapplicaties
  3. Cyber ​​Security-uitdagingen
  4. Soorten webhosting
  5. Firewall-apparaten

Categorie:

Software ontwikkeling