Много компании правят всичко възможно, за да съберат възможно най-много данни за клиентите. Някои дори раздават продуктите си безплатно в замяна на разрешението за събиране на лична информация.

В резултат на това дори по-малките фирми вече разполагат с богатство от ценни данни. И все повече и повече участници в заплахата търсят начини да я откраднат. Един пример за това е вид кибератака, известна като напреднала постоянна заплаха.

И така, какво е напреднала постоянна заплаха? Как да забележите един? И какво трябва да правите, ако смятате, че системата ви е била засегната от APT?

Какво представлява усъвършенстваната постоянна заплаха (APT)?

Усъвършенстваната постоянна заплаха е вид атака, при която натрапникът получава достъп до система и след това успява да остане там неоткрит за дълъг период от време.

Този тип атака обикновено се извършва с цел шпионаж. Ако целта беше просто да повредите системата, нямаше да има причина да се придържате. Хората, извършващи тези атаки, не се опитват да унищожат компютърните системи. Те просто искат достъп до данните, които притежават.

instagram viewer

Най-напредналите постоянни заплахи използват усъвършенствани техники за хакерство и са съобразени с индивидуални компютърни системи.

Това прави тези атаки много трудни за откриване. Но една от ползите от тяхната сложност е, че обикновеният потребител на компютър обикновено не трябва да се притеснява за тях.

За разлика от зловредния софтуер, който обикновено е проектиран да насочва колкото се може повече компютри, напредналите постоянни заплахи обикновено се проектират с конкретна цел.

Как се случва APT?

Напредналата постоянна заплаха е относително широк термин. Следователно нивото на изтънченост, използвано при такава атака, варира в широки граници.

Повечето обаче лесно могат да бъдат разделени на три отделни етапа.

Етап 1: Инфилтрация

В началния етап хакерите просто търсят начин да влязат. Опциите, достъпни за тях, очевидно ще зависят от това колко е сигурна системата.

Единият вариант би бил фишинг. Може би те могат да накарат някой случайно да разкрие идентификационните си данни за влизане, като им изпрати злонамерен имейл. Или ако това не е възможно, те могат да се опитат да постигнат същото чрез социалното инженерство.

Етап 2: Разширяване

Следващата стъпка е разширяване. След като атакуващите имат валиден път в системата, те ще искат да разширят обхвата си и вероятно да се уверят, че съществуващият им достъп не може да бъде отнет.

Те обикновено правят това с някакъв вид зловреден софтуер. Кейлогърът например ще им позволи да събират допълнителни пароли за други сървъри.

Свързани: Какво е Keylogger?

А backdoor троянският коне ще гарантира бъдещи прониквания, дори ако оригиналната открадната парола бъде променена.

Етап 3: Екстракция

По време на третата фаза е време действително да се откраднат данни. Информацията обикновено се събира от множество сървъри и след това се депозира на едно място, докато е готова за изтегляне.

В този момент нападателите могат да се опитат да затрупат сигурността на системата нещо като DDOS атака. В края на този етап данните всъщност се крадат и ако не бъдат открити, вратата се оставя отворена за бъдещи атаки.

Предупредителни знаци на APT

Въпреки че APT обикновено е проектиран специално, за да се избегне откриването, това не винаги е възможно. През повечето време ще има поне някои доказателства, че се извършва такава атака.

Копие Фишинг

Имейл с фишинг за копие може да е знак, че APT е на път да се случи или е в ранните етапи. Имейлите с фишинг са предназначени да крадат данни от голямо количество хора безразборно. Имейлите за фишинг с копие са персонализирани версии, които са съобразени с конкретни хора и / или компании.

Подозрителни влизания

По време на текущ APT, нападателят вероятно ще влиза в системата ви редовно. Ако легитимен потребител внезапно влиза в акаунта си в нечетни часове, това може да е знак, че идентификационните му данни са откраднати. Други признаци включват по-често влизане и разглеждане на неща, които не би трябвало да бъдат.

Троянци

Троянецът е скрито приложение, което, след като бъде инсталирано, може да осигури отдалечен достъп до вашата система. Такива приложения могат да бъдат дори по-голяма заплаха от откраднатите пълномощия. Това е така, защото те не оставят отпечатък, т.е. няма история за влизане, която можете да проверите, и те не се влияят от промените в паролата.

Необичайни трансфери на данни

Най-големият признак на APT, който се случва, е просто, че данните внезапно се преместват, изглежда без видима причина. Същата логика се прилага, ако видите, че данните се съхраняват там, където не трябва или по-лошо, в действителност в процес на прехвърляне на външен сървър извън вашия контрол.

Какво да направите, ако подозирате APT

След като APT бъде открит, е важно да се движите бързо. Колкото повече време има нападателят във вашата система, толкова по-големи щети могат да възникнат. Възможно е дори данните ви все още да не са откраднати, а по-скоро предстои. Ето какво трябва да направите.

  1. Спрете атаката: Стъпките за спиране на APT зависят до голяма степен от неговата природа. Ако смятате, че само сегмент от вашата система е компрометиран, трябва да започнете, като го изолирате от всичко останало. След това се работи по премахване на достъпа. Това може да означава отнемане на откраднати идентификационни данни или, в случай на троянски кон, почистване на вашата система.
  2. Оценка на щетите: Следващата стъпка е да разберем какво се е случило. Ако не разбирате как се е случило APT, няма нищо, което да спре това да се повтори. Възможно е също подобна заплаха да продължава в момента. Това означава да анализирате регистрационните файлове на системните събития или просто да разберете маршрута, по който атакуващият е използвал, за да получи достъп.
  3. Уведомете трети страни: В зависимост от това какви данни се съхраняват във вашата система, щетите, причинени от APT, може да са дългосрочни. Ако в момента съхранявате данни, които не принадлежат само на вас, т.е. личните данни на клиенти, клиенти или служители, може да се наложи да уведомите тези хора. В повечето случаи, ако не го направите, може да се превърне в правен проблем.

Познайте знаците на APT

Важно е да разберете, че няма такова нещо като пълна защита. Човешката грешка може да доведе до компрометиране на всяка система. И тези атаки по дефиниция използват усъвършенствани техники за използване на такива грешки.

Следователно единствената истинска защита от APT е да се знае, че те съществуват и да се разбере как да се разпознаят признаците на възникващи.

електронна поща
Какво представлява адаптивната сигурност и как помага за предотвратяването на заплахите?

Модел за наблюдение на сигурността в реално време, адаптивната сигурност използва съвременни тактики за смекчаване на постоянно развиващите се кибер заплахи.

Прочетете Напред

Свързани теми
  • Сигурност
  • Онлайн сигурност
  • Компютърна сигурност
За автора
Елиът Несбо (6 статии публикувани)

Елиът е писател на свободна практика. Той пише предимно за финтех и киберсигурност.

Още от Елиът Несбо

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!

Още една стъпка…!

Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.

.