Paljud ettevõtted annavad endast parima, et klientide kohta võimalikult palju andmeid koguda. Mõni annab oma tooteid isegi tasuta ära loa eest isiklike andmete kogumiseks.

Seetõttu on ka väiksematel ettevõtetel nüüd palju väärtuslikke andmeid. Ja üha rohkem ohutegijaid otsib võimalusi selle varastamiseks. Selle üks näide on küberrünnaku tüüp, mida nimetatakse kaugelearenenud püsivaks ohuks.

Mis on siis kaugele arenenud püsiv oht? Kuidas te ühte märkate? Ja mida peate tegema, kui arvate, et APT on teie süsteemi tabanud?

Mis on arenenud püsiv oht (APT)?

Täiustatud püsiv oht on rünnaku tüüp, mille korral sissetungija saab juurdepääsu süsteemile ja suudab seejärel seal pikka aega märkamatuks jääda.

Seda tüüpi rünnakud viiakse tavaliselt läbi spionaaži eesmärgil. Kui eesmärk oleks lihtsalt süsteemi kahjustada, poleks põhjust kinni jääda. Neid rünnakuid korraldavad inimesed ei püüa arvutisüsteeme hävitada. Nad tahavad lihtsalt juurdepääsu neile kuuluvatele andmetele.

Enamik arenenud püsivaid ohte kasutab keerukat häkkimistehnikat ja on kohandatud individuaalsetele arvutisüsteemidele.

instagram viewer

See muudab nende rünnakute avastamise väga raskeks. Kuid nende keerukuse üks eelis on see, et keskmine arvutikasutaja ei pea nende pärast tavaliselt muretsema.

Erinevalt pahavarast, mis on tavaliselt mõeldud võimalikult paljude arvutite sihtimiseks, on arenenud püsivad ohud tavaliselt mõeldud konkreetset sihtmärki silmas pidades.

Kuidas APT juhtub?

Laienenud püsiv oht on suhteliselt lai mõiste. Sellises rünnakus kasutatav keerukuse tase on seetõttu väga erinev.

Enamiku saab aga hõlpsasti jagada kolmeks erinevaks etapiks.

1. etapp: infiltratsioon

Avaetapil otsivad häkkerid lihtsalt teed. Nende käsutuses olevad võimalused sõltuvad ilmselt süsteemi turvalisusest.

Üks võimalus oleks andmepüük. Võib-olla suudavad nad kedagi pahatahtliku meilisõnumi saatmisega kogemata oma sisselogimistunnuseid avaldama. Või kui see pole võimalik, võivad nad proovida sama saavutada sotsiaalse inseneri kaudu.

2. etapp: laiendamine

Järgmine samm on laienemine. Kui ründajatel on kehtiv viis süsteemi sisenemiseks, soovivad nad laiendada oma haardeulatust ja tõenäoliselt veenduda, et nende olemasolevat juurdepääsu ei saa tühistada.

Tavaliselt teevad nad seda teatud tüüpi pahavara puhul. Näiteks võimaldab klahviloger neil teiste serverite jaoks täiendavaid paroole koguda.

Seotud: Mis on klahviloger?

Ja tagauksega troojalane tagab tulevase sissetungi ka siis, kui varastatud algset parooli muudetakse.

3. etapp: ekstraheerimine

Kolmandas etapis on aeg andmeid varastada. Teavet kogutakse tavaliselt mitmest serverist ja hoiustatakse seejärel ühes kohas, kuni see on otsinguks valmis.

Siinkohal võivad ründajad proovida süsteemi turvalisusega üle jõu käia midagi DDOS-rünnaku taolist. Selle etapi lõpus varastatakse andmed tegelikult ja kui neid ei avastata, jäetakse uks tulevaste rünnakute jaoks lahti.

APT hoiatusmärgid

Kuigi tavaliselt on APT loodud spetsiaalselt avastamise vältimiseks, pole see alati võimalik. Enamasti on vähemalt mõni tõend sellise rünnaku toimumise kohta.

Odapüük

Odapüügimeil võib olla märk sellest, et APT hakkab toimuma või on varajases staadiumis. Andmepüügimeilid on mõeldud andmete varastamiseks valimatult suurtelt inimestelt. Spear andmepüügi meilid on kohandatud versioonid, mis on kohandatud konkreetsetele inimestele ja / või ettevõtetele.

Kahtlased sisselogimised

Käimasoleva APT ajal logib ründaja tõenäoliselt teie süsteemi regulaarselt sisse. Kui seaduslik kasutaja logib ootamatult oma kontole sisse paaritu kellaajal, võib see seega olla märk, et tema volitused on varastatud. Muud märgid hõlmavad suurema sisselogimisega sisselogimist ja vaatamist asjadele, mis ei tohiks olla.

Troojalased

Troojalane on peidetud rakendus, mis pärast installimist võib pakkuda teie süsteemile kaugjuurdepääsu. Sellised rakendused võivad olla veelgi suurem oht ​​kui varastatud volikirjad. Selle põhjuseks on asjaolu, et need ei jäta jälge, st teil pole sisselogimisajalugu, mida saaksite kontrollida, ja parooli muutmine neid ei mõjuta.

Ebatavalised andmeedastused

APT esinemise suurim märk on lihtsalt see, et andmeid äkitselt teisaldatakse, näiliselt ilma nähtava põhjuseta. Sama loogika kehtib ka siis, kui näete andmete salvestamist sinna, kus neid ei tohiks olla, või mis veelgi hullem, tegelikult teie välise serveri üle viimisel.

Mida teha, kui kahtlustate APT-d

Kui APT on tuvastatud, on oluline liikuda kiiresti. Mida rohkem aega ründajal teie süsteemis on, seda suurem on võimalik kahju. On isegi võimalik, et teie andmeid pole veel varastatud, pigem on need varsti tulemas. Siin on, mida peate tegema.

  1. Peatage rünnak: APT peatamise sammud sõltuvad suuresti selle olemusest. Kui usute, et ainult teie süsteemi segmenti on rikutud, peaksite kõigepealt selle isoleerima. Pärast seda töötage juurdepääsu eemaldamisega. See võib tähendada varastatud mandaatide tühistamist või troojalase puhul oma süsteemi puhastamist.
  2. Hinnake kahju: Järgmine samm on välja selgitada, mis juhtus. Kui te ei saa aru, kuidas APT tekkis, ei takista miski selle kordumist. Samuti on võimalik, et sarnane oht on praegu käimas. See tähendab süsteemide sündmuste logide analüüsimist või lihtsalt marsruudi väljamõtlemist, mida ründaja juurdepääsu saamiseks kasutas.
  3. Teavitage kolmandaid isikuid: Sõltuvalt sellest, milliseid andmeid teie süsteemis hoitakse, võib APT-i tekitatud kahju olla pikk. Kui salvestate praegu andmeid, mis ei kuulu ainult teile, s.t klientide, klientide või töötajate isiklikke andmeid, peate võib-olla neist inimestele teada andma. Enamasti võib selle tegemata jätmine saada juriidiliseks probleemiks.

Tea APT märke

Oluline on mõista, et täielikku kaitset pole olemas. Inimlikud eksimused võivad põhjustada mis tahes süsteemi ohtu sattumist. Ja need rünnakud määratluse järgi kasutavad selliste vigade kasutamiseks täiustatud tehnikaid.

Ainus tõeline kaitse APT eest on seetõttu teada nende olemasolu ja mõista, kuidas ühe esinemise märke ära tunda.

E-post
Mis on adaptiivne turvalisus ja kuidas see aitab ohtude ennetamisel?

Reaalajas turvaseire mudel, adaptiivne turvalisus kasutab pidevalt arenevate küberohtude leevendamiseks tänapäevaseid taktikaid.

Loe edasi

Seotud teemad
  • Turvalisus
  • Veebiturvalisus
  • Arvutiturve
Autori kohta
Elliot Nesbo (6 artiklit on avaldatud)

Elliot on vabakutseline tehnikakirjanik. Ta kirjutab peamiselt fintechist ja küberturvalisusest.

Veel Elliot Nesbolt

Telli meie uudiskiri

Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!

Veel üks samm !!!

Palun kinnitage oma e-posti aadress e-kirjas, mille just teile saatsime.

.