Πολλές εταιρείες καταβάλλουν κάθε δυνατή προσπάθεια για τη συλλογή όσο το δυνατόν περισσότερων δεδομένων σχετικά με τους πελάτες. Μερικοί δίνουν ακόμη και τα προϊόντα τους δωρεάν σε αντάλλαγμα για την άδεια συλλογής προσωπικών πληροφοριών.

Ως αποτέλεσμα, ακόμη και οι μικρότερες επιχειρήσεις έχουν πλέον πληθώρα πολύτιμων δεδομένων. Και όλο και περισσότεροι απειλητικοί ηθοποιοί αναζητούν τρόπους για να το κλέψουν. Ένα παράδειγμα αυτού είναι ένας τύπος επίθεσης στον κυβερνοχώρο γνωστός ως μια προηγμένη επίμονη απειλή.

Τι είναι λοιπόν μια προχωρημένη επίμονη απειλή; Πώς εντοπίζετε ένα; Και τι πρέπει να κάνετε αν νομίζετε ότι το σύστημά σας έχει πληγεί από ένα APT;

Τι είναι μια προηγμένη επίμονη απειλή (APT);

Μια προχωρημένη επίμονη απειλή είναι ένας τύπος επίθεσης κατά τον οποίο ένας εισβολέας αποκτά πρόσβαση σε ένα σύστημα και στη συνέχεια καταφέρνει να παραμείνει εκεί χωρίς ανίχνευση για μεγάλο χρονικό διάστημα.

Αυτός ο τύπος επίθεσης γενικά πραγματοποιείται με σκοπό την κατασκοπεία. Εάν ο στόχος ήταν απλώς να καταστρέψετε ένα σύστημα, δεν θα υπήρχε λόγος να παραμείνετε. Οι άνθρωποι που πραγματοποιούν αυτές τις επιθέσεις δεν προσπαθούν να καταστρέψουν συστήματα υπολογιστών. Απλώς θέλουν πρόσβαση στα δεδομένα που διαθέτουν.

Οι περισσότερες προηγμένες επίμονες απειλές χρησιμοποιούν εξελιγμένες τεχνικές εισβολής και προσαρμόζονται σε μεμονωμένα συστήματα υπολογιστών.

Αυτό καθιστά αυτές τις επιθέσεις πολύ δύσκολο να εντοπιστούν. Αλλά ένα πλεονέκτημα της πολυπλοκότητάς τους είναι ότι ο μέσος χρήστης υπολογιστή συνήθως δεν χρειάζεται να ανησυχεί για αυτούς.

Σε αντίθεση με το κακόβουλο λογισμικό που έχει γενικά σχεδιαστεί για να στοχεύει όσο το δυνατόν περισσότερους υπολογιστές, οι προηγμένες επίμονες απειλές συνήθως σχεδιάζονται με γνώμονα έναν συγκεκριμένο στόχο.

Πώς συμβαίνει ένα APT;

Η προχωρημένη επίμονη απειλή είναι ένας σχετικά ευρύς όρος. Επομένως, το επίπεδο της πολυπλοκότητας που χρησιμοποιείται σε μια τέτοια επίθεση ποικίλλει ευρέως.

Τα περισσότερα, ωστόσο, μπορούν εύκολα να χωριστούν σε τρία διαφορετικά στάδια.

Στάδιο 1: Διήθηση

Στο εναρκτήριο στάδιο, οι χάκερ απλά αναζητούν έναν τρόπο. Οι διαθέσιμες επιλογές εξαρτώνται προφανώς από το πόσο ασφαλές είναι το σύστημα.

Μια επιλογή θα ήταν το ηλεκτρονικό ψάρεμα. Ίσως μπορεί να κάνει κάποιον να αποκαλύψει κατά λάθος τα διαπιστευτήριά του, στέλνοντάς του ένα κακόβουλο email. Ή εάν αυτό δεν είναι δυνατό, μπορεί να προσπαθήσουν να επιτύχουν το ίδιο πράγμα μέσω της κοινωνικής μηχανικής.

Στάδιο 2: Επέκταση

Το επόμενο βήμα είναι η επέκταση. Μόλις οι εισβολείς έχουν έναν έγκυρο τρόπο στο σύστημα, θα θελήσουν να επεκτείνουν την εμβέλειά τους και πιθανότατα να διασφαλίσουν ότι η υπάρχουσα πρόσβασή τους δεν μπορεί να ανακληθεί.

Συνήθως θα το κάνουν με κάποιο είδος κακόβουλου λογισμικού. Ένα keylogger, για παράδειγμα, θα τους επιτρέψει να συλλέξουν επιπλέον κωδικούς πρόσβασης για άλλους διακομιστές.

Σχετιζομαι με: Τι είναι το Keylogger;

Και ένα Trojan backdoor θα εγγυηθεί μελλοντικές εισβολές ακόμη και αν αλλάξει ο αρχικός κλεμμένος κωδικός πρόσβασης.

Στάδιο 3: Εξαγωγή

Κατά την τρίτη φάση, ήρθε η ώρα να κλέψετε πραγματικά δεδομένα. Οι πληροφορίες θα συλλέγονται συνήθως από πολλούς διακομιστές και στη συνέχεια θα κατατίθενται σε μία τοποθεσία μέχρι να είναι έτοιμες για ανάκτηση.

Σε αυτό το σημείο, οι εισβολείς μπορεί να προσπαθήσουν να κατακλύσουν την ασφάλεια του συστήματος κάτι σαν μια επίθεση DDOS. Στο τέλος αυτού του σταδίου, τα δεδομένα πραγματικά κλέβονται και, εάν δεν ανιχνευθούν, η πόρτα αφήνεται ανοιχτή για μελλοντικές επιθέσεις.

Προειδοποιητικά σημάδια APT

Ενώ ένα APT είναι συνήθως σχεδιασμένο ειδικά για να αποφεύγει τον εντοπισμό, αυτό δεν είναι πάντα δυνατό. Τις περισσότερες φορές, θα υπάρχουν τουλάχιστον κάποιες ενδείξεις ότι μια τέτοια επίθεση συμβαίνει.

Spear Phishing

Ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος μπορεί να είναι ένα σημάδι ότι ένα APT πρόκειται να συμβεί ή βρίσκεται στα αρχικά στάδια. Τα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" έχουν σχεδιαστεί για να κλέβουν δεδομένα από μεγάλο αριθμό ατόμων χωρίς διακρίσεις. Τα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (spear phishing) είναι προσαρμοσμένες εκδόσεις που είναι προσαρμοσμένες για να στοχεύουν συγκεκριμένα άτομα ή / και εταιρείες.

Ύποπτες συνδέσεις

Κατά τη διάρκεια ενός τρέχοντος APT, ο εισβολέας είναι πιθανό να συνδεθεί στο σύστημά σας σε τακτική βάση. Εάν ένας νόμιμος χρήστης συνδέεται ξαφνικά στον λογαριασμό του σε περίεργες ώρες, αυτό θα μπορούσε επομένως να αποτελεί ένδειξη ότι τα διαπιστευτήριά τους έχουν κλαπεί. Άλλα σημάδια περιλαμβάνουν τη σύνδεση με μεγαλύτερη συχνότητα και την εξέταση πραγμάτων που δεν πρέπει να είναι.

Τρώες

Το Trojan είναι μια κρυφή εφαρμογή που, μόλις εγκατασταθεί, μπορεί να παρέχει απομακρυσμένη πρόσβαση στο σύστημά σας. Τέτοιες εφαρμογές έχουν τη δυνατότητα να είναι ακόμη μεγαλύτερη απειλή από τα κλεμμένα διαπιστευτήρια. Αυτό συμβαίνει επειδή δεν αφήνουν αποτύπωμα, δηλαδή δεν υπάρχει ιστορικό σύνδεσης για έλεγχο και δεν επηρεάζονται από τις αλλαγές κωδικού πρόσβασης.

Ασυνήθιστες μεταφορές δεδομένων

Το μεγαλύτερο σημάδι ενός APT που συμβαίνει είναι απλά ότι τα δεδομένα μετακινούνται ξαφνικά, φαινομενικά χωρίς προφανή λόγο. Η ίδια λογική ισχύει αν βλέπετε τα δεδομένα να αποθηκεύονται όπου δεν θα έπρεπε, ή χειρότερα, να είναι πραγματικά στη διαδικασία μεταφοράς σε εξωτερικό διακομιστή εκτός του ελέγχου σας.

Τι να κάνετε αν υποψιάζεστε ένα APT

Μόλις εντοπιστεί ένα APT, είναι σημαντικό να κινηθείτε γρήγορα. Όσο περισσότερο χρόνο έχει ένας εισβολέας στο σύστημά σας, τόσο μεγαλύτερη είναι η ζημιά που μπορεί να συμβεί. Είναι ακόμη πιθανό ότι τα δεδομένα σας δεν έχουν κλαπεί ακόμη, αλλά μάλλον πρόκειται να είναι. Να τι πρέπει να κάνετε.

  1. Σταματήστε την επίθεση: Τα βήματα για τη διακοπή ενός APT εξαρτώνται σε μεγάλο βαθμό από τη φύση του. Εάν πιστεύετε ότι έχει παραβιαστεί μόνο ένα τμήμα του συστήματός σας, θα πρέπει να ξεκινήσετε με την απομόνωσή του από οτιδήποτε άλλο. Μετά από αυτό, εργαστείτε για την κατάργηση της πρόσβασης. Αυτό μπορεί να σημαίνει ανάκληση κλεμμένων διαπιστευτηρίων ή, στην περίπτωση Δούρειου Δήμου, καθαρισμό του συστήματός σας.
  2. Αξιολογήστε τη ζημιά: Το επόμενο βήμα είναι να καταλάβουμε τι συνέβη. Εάν δεν καταλαβαίνετε πώς συνέβη το APT, δεν υπάρχει τίποτα για να σταματήσετε να συμβαίνει ξανά. Είναι επίσης πιθανό ότι μια παρόμοια απειλή βρίσκεται σε εξέλιξη. Αυτό σημαίνει ανάλυση των αρχείων καταγραφής συμβάντων ή απλώς υπολογίζοντας τη διαδρομή που χρησιμοποίησε ένας εισβολέας για να αποκτήσει πρόσβαση.
  3. Ειδοποίηση τρίτων: Ανάλογα με τα δεδομένα που είναι αποθηκευμένα στο σύστημά σας, η ζημιά που προκαλείται από ένα APT μπορεί να είναι μακροχρόνια. Εάν αυτήν τη στιγμή αποθηκεύετε δεδομένα που δεν ανήκουν μόνο σε εσάς, δηλαδή τα προσωπικά στοιχεία πελατών, πελατών ή υπαλλήλων, ίσως χρειαστεί να ενημερώσετε αυτά τα άτομα. Στις περισσότερες περιπτώσεις, η αποτυχία να γίνει νομικό πρόβλημα.

Γνωρίστε τα σημάδια ενός APT

Είναι σημαντικό να κατανοήσετε ότι δεν υπάρχει πλήρης προστασία. Ανθρώπινο σφάλμα μπορεί να οδηγήσει σε παραβίαση κάθε συστήματος Και αυτές οι επιθέσεις, εξ ορισμού, χρησιμοποιούν προηγμένες τεχνικές για την εκμετάλλευση τέτοιων σφαλμάτων.

Η μόνη πραγματική προστασία από ένα APT είναι επομένως να γνωρίζουμε ότι υπάρχουν και να κατανοήσουμε πώς να αναγνωρίσουμε τα σημάδια ενός συμβάντος.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Τι είναι η προσαρμοστική ασφάλεια και πώς βοηθά στην πρόληψη απειλών;

Ένα μοντέλο παρακολούθησης ασφάλειας σε πραγματικό χρόνο, η προσαρμοστική ασφάλεια χρησιμοποιεί σύγχρονες τακτικές για τον μετριασμό των συνεχώς εξελισσόμενων απειλών στον κυβερνοχώρο.

Διαβάστε Επόμενο

Σχετικά θέματα
  • Ασφάλεια
  • Διαδικτυακή ασφάλεια
  • Ασφάλεια του υπολογιστή
Σχετικά με τον Συγγραφέα
Έλιοτ Νέσμπο (Δημοσιεύθηκαν 6 άρθρα)

Ο Έλιοτ είναι ανεξάρτητος συγγραφέας τεχνολογίας. Γράφει κυρίως για το fintech και την κυβερνοασφάλεια.

Περισσότερα από τον Elliot Nesbo

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.