Introduzione alle minacce persistenti avanzate (APT)

Una Advanced Persistent Threats è attacchi mirati che sono operazioni a lungo termine eseguite dai suoi creatori (hacker) consegnando il payload di attacco attraverso metodi sofisticati (ovvero aggirando le tradizionali soluzioni di protezione degli endpoint) che quindi esegue segretamente le azioni previste (come il furto di informazioni) senza essere rilevato.
Di solito, il bersaglio di tali attacchi viene scelto con molta attenzione e prima viene effettuata un'attenta ricognizione. L'obiettivo di tali attacchi sono di solito grandi imprese, organizzazioni governative, spesso intergovernative creano rivali e si lanciano attacchi reciproci e estraggono informazioni altamente sensibili.

Alcuni degli esempi di minacce persistenti avanzate sono:

  • Titan rain (2003)
  • GhostNet (2009) -Stuxnet (2010) che ha quasi abbattuto il programma nucleare iraniano
  • Idra
  • Deep Panda (2015)

Le caratteristiche e la progressione delle minacce persistenti avanzate

L'APT differisce dalle minacce tradizionali in molti modi diversi:

  • Usano metodi sofisticati e complessi per penetrare nella rete.
  • Rimangono inosservati per un periodo di tempo molto più lungo, mentre una minaccia tradizionale potrebbe essere rilevata solo sulla rete o al livello di protezione dell'endpoint o anche se fosse fortunata e passasse da soluzioni endpoint, un controllo periodico della vulnerabilità e un monitoraggio continuo cattureranno il minaccia mentre le minacce persistenti anticipate passano da tutti i livelli di sicurezza e infine si dirigono verso gli host e rimangono lì per un periodo di tempo più lungo e svolgono la loro operazione.
  • Gli APT sono attacchi mirati mentre gli attacchi tradizionali possono / non possono essere presi di mira.
  • Mirano anche a infiltrarsi nell'intera rete.

Progressione delle minacce persistenti avanzate

  1. Selezione e definizione del bersaglio : è necessario definire un bersaglio, ovvero quale organizzazione dovrebbe essere vittima di un utente malintenzionato. Per questo, l'attaccante prima raccoglie quante più informazioni possibili attraverso l'impronta e la ricognizione.
  2. Trova e organizza i complimenti - L'APT prevede tecniche sofisticate avanzate che vengono utilizzate per attaccare e, la maggior parte delle volte, l'attaccante dietro ATP non è solo. Quindi, il secondo sarebbe quello di trovare il "partner nel crimine" che possiede quel livello di abilità per sviluppare tecniche sofisticate per eseguire attacchi APT.
  3. Costruire e / o acquisire pedaggi - Per eseguire gli attacchi APT, è necessario selezionare gli strumenti giusti. Gli strumenti possono anche essere creati per creare un APT.
  4. Ricognizione e raccolta di informazioni - Prima di eseguire un attacco APT, l'attaccante cerca di raccogliere quante più informazioni possibile per creare un modello del sistema IT esistente. L'esempio di raccolta di informazioni potrebbe essere la topologia della rete, server DNS e DHCP, DMZ (zone), intervalli IP interni, server Web, ecc. Vale la pena notare che la definizione di un obiettivo potrebbe richiedere del tempo, date le dimensioni di un'organizzazione. Più un'organizzazione è grande, più tempo ci vorrà per preparare un progetto.
  5. Test per il rilevamento - In questa fase, cerchiamo vulnerabilità e punti deboli e proviamo a distribuire una versione più piccola del software di ricognizione.
  6. Punto di entrata e distribuzione - Arriva il giorno, il giorno in cui l'intera suite viene distribuita attraverso un punto di entrata che è stato scelto tra molti altri punti deboli dopo un'attenta ispezione.
  7. Iniziale intrusione - Ora l'attaccante è finalmente all'interno della rete di destinazione. Da qui, deve decidere dove andare e trovare il primo obiettivo.
  8. Connessione in uscita avviata : una volta che l'APT raggiunge la destinazione, si imposta da sé, tenta quindi di creare un tunnel attraverso il quale avverrà l'esfiltrazione dei dati.
  9. Espansione della caccia all'accesso e alle credenziali - In questa fase, l'APT tenta di diffondersi nella rete e cerca di ottenere il maggior accesso possibile senza essere rilevato.
  10. Rafforzare il punto d'appoggio - Qui proviamo a cercare e sfruttare altre vulnerabilità. In questo modo, un hacker aumenta la possibilità di ottenere l'accesso ad altre posizioni di accesso elevate. Gli hacker aumentano anche la possibilità di stabilire più zombi. Uno zombi è un computer su Internet che è stato compromesso da un hacker.
  11. Exfiltration of Data - Questo è il processo di invio dei dati alla base dell'hacker. Il pirata informatico generalmente cerca di utilizzare le risorse dell'azienda per crittografare i dati e quindi inviarli alla loro base. Spesso per distrarre, gli hacker sfruttano le tattiche del rumore per distrarre il team di sicurezza in modo che le informazioni sensibili possano essere spostate senza essere rilevate.
  12. Coprire le tracce e rimanere inosservato - Gli hacker si assicurano di cancellare tutte le tracce durante il processo di attacco e una volta che escono. Tentano di rimanere il più furtivi possibile.

Rilevamento e prevenzione degli attacchi Apt

Proviamo prima a vedere le misure preventive:

  • Consapevolezza e formazione sulla sicurezza richiesta - Le organizzazioni sono ben consapevoli del fatto che la maggior parte delle violazioni della sicurezza che si verificano in questi giorni, accade perché gli utenti hanno fatto qualcosa che non avrebbe dovuto essere fatto, forse sono stati attirati o non hanno seguito la sicurezza adeguata misure mentre si fa qualsiasi cosa negli uffici come scaricare software da siti dannosi, visitare siti con intenzioni dannose, è diventato vittima di phishing e molti altri! Pertanto, un'organizzazione dovrebbe continuare a tenere sessioni di sensibilizzazione sulla sicurezza e impegnare i propri dipendenti su come lavorare in un ambiente protetto, sui rischi e sull'impatto delle violazioni della sicurezza.
  • Controlli di accesso (NAC e IAM): i controlli di accesso NAC o di rete dispongono di una varietà di criteri di accesso che possono essere implementati per bloccare gli attacchi. È così perché se un dispositivo fallisce uno dei controlli di sicurezza, verrà bloccato da NAC. La gestione dell'identità e degli accessi (IAM) può aiutare a tenere lontani gli hacker che cercano di rubare la nostra password e tentano di decifrare la password.
  • Test di penetrazione - Questo è un ottimo modo per testare la tua rete contro la penetrazione. Quindi, qui l'organizzazione stessa persone diventa hacker che viene spesso chiamato come hacker etici. Devono pensare come un hacker per penetrare all'interno della rete organizzativa e lo fanno! Espone i controlli e le vulnerabilità esistenti. In base all'esposizione, l'organizzazione mette i controlli di sicurezza richiesti.
  • Controlli amministrativi - I controlli amministrativi e di sicurezza dovrebbero essere intatti. Ciò comporta patch regolari di sistemi e software, con sistemi di rilevamento delle intrusioni in atto accompagnati da firewall. L'IPS pubblico dell'organizzazione (come proxy, web server) dovrebbe essere collocato in DMZ (zona demilitarizzata) in modo che sia separato dalla rete interna. In questo modo, anche se un hacker ottiene il controllo di un server in DMZ, non sarà in grado di accedere ai server interni perché si trovano dall'altra parte e fanno parte della rete separata.

Ora parleremo delle misure investigative

  • Il centro di monitoraggio e controllo della rete - C&C è l'ala in cui le minacce persistenti avanzate possono trasportare rispettivamente dentro e fuori payload e dati riservati. L'host infetto si affida al centro di comando e controllo per eseguire la prossima serie di azioni e generalmente comunicano periodicamente. Quindi, se proviamo a rilevare i programmi, le query sui nomi di dominio che si verificano in un ciclo periodico, varrebbe la pena indagare su questi casi.
  • Analisi del comportamento degli utenti: ciò implica l'utilizzo dell'intelligenza artificiale e soluzioni che terranno d'occhio l'attività dell'utente. L'aspettativa è che la soluzione dovrebbe essere in grado di rilevare eventuali anomalie nelle attività che un host sta svolgendo.
  • Uso della tecnologia dell'inganno: ciò costituisce un doppio vantaggio per l'organizzazione. Inizialmente, gli aggressori vengono attirati da server fasulli e altre risorse, proteggendo così le risorse originali di un'organizzazione. Ora, l'organizzazione utilizza anche quei server falsi per apprendere i metodi che gli aggressori usano mentre attaccano l'organizzazione, imparano la loro catena di cyber kill.

Riparazione e risposta

Dobbiamo anche apprendere la procedura di risposta e riparazione in caso di attacchi APT (Advanced Persistent Threats). All'inizio, l'APT potrebbe rimanere intrappolato nella sua fase iniziale se stiamo usando gli strumenti e le tecnologie giuste e nella sua fase iniziale, l'impatto sarà molto meno perché il motivo principale dell'APT è di rimanere più a lungo e non essere individuato. Una volta rilevato, dovremmo cercare di ottenere quante più informazioni dai registri di sicurezza, dalla medicina legale e da altri strumenti. Il sistema infetto deve essere reinventato e si dovrebbe assicurarsi che nessuna minaccia venga rimossa da tutti i sistemi e le reti infetti. Quindi l'organizzazione dovrebbe eseguire accuratamente un controllo su tutti i sistemi per verificare se ha raggiunto più posti. Il controllo di sicurezza dovrebbe quindi essere modificato per prevenire tali attacchi o simili simili che potrebbero verificarsi in futuro.
Ora, se Advanced Persistent Threats (APT) ha trascorso giorni ed è stato rilevato in una fase molto successiva, i sistemi dovrebbero essere immediatamente messi offline, separati da tutti i tipi di reti, anche tutti i file che sono interessati devono essere controllati . Quindi dovrebbe essere effettuato un re-imaging completo degli host interessati, un'analisi approfondita dovrebbe essere effettuata per rivelare la catena di cyber kill seguita. Il CIRT (Cyber ​​Incident Response Team) e Cyber ​​Forensics dovrebbero essere coinvolti per affrontare tutte le violazioni dei dati che si sono verificate.

Conclusione

In questo articolo, abbiamo visto come funziona un attacco APT e come possiamo prevenire, rilevare e rispondere a tali minacce. Si dovrebbe avere un'idea di base su una tipica catena di cyber kill coinvolta negli attacchi APT. Spero ti sia piaciuto il tutorial.

Articoli consigliati

Questa è una guida alle minacce persistenti avanzate (APT). Qui discutiamo l'introduzione e le caratteristiche e la progressione delle minacce persistenti avanzate, il rilevamento e la prevenzione degli attacchi APT. Puoi anche consultare i nostri altri articoli suggeriti per saperne di più.

  1. Che cos'è WebSocket?
  2. Sicurezza delle applicazioni Web
  3. Sfide per la sicurezza informatica
  4. Tipi di Web Hosting
  5. Dispositivi firewall

Categoria:

Sviluppo software