Ανατομία μίας επίθεσης APT (Advanced Persistent Threat)

Τα APT είναι μακροπρόθεσμα μοτίβα εκμετάλλευσης δικτύου που παραμένουν απαρατήρητα για παρατεταμένες χρονικές περιόδους και συνήθως έχουν στόχους υψηλού προφίλ. Συχνά υποκινούνται από πολιτικούς και οικονομικούς λόγους και οι επιθέσεις τείνουν να είναι ιδιαίτερα στοχευμένες και ανεκτικές.

Φάση 1η: Διείσδυση - Αρχική έκθεση

Ο δράστης αποκτά πρόσβαση στο δίκτυο. Ο πιο συνηθισμένος τρόπος με τον οποίο αποκτά έδαφος είναι μέσω του spearphishing και εξαιρετικά στοχευμένων επιθέσεων social engineering. Προηγείται μια φάση αναγνώρισης, όπου οι εισβολείς συλλέγουν πληροφορίες σχετικά με τον οργανισμό που σκοπεύουν να παραβιάσουν και που θα τους επιτρέψουν να παραμείνουν απαρατήρητοι.

Φάση 2η: Πλευρική κίνηση στο δίκτυο

Σε αυτή τη φάση, οι χάκερ ενοποιούν την παρουσία τους στο δίκτυο και ανοίγουν ένα κανάλι επικοινωνίας μεταξύ του παραβιασμένου συστήματος και του διακομιστή εντολών και ελέγχου. Αυτό συνήθως απαιτεί κλοπή διαπιστευτηρίων, όπου χρησιμοποιούν τεχνικές Man-in-the-Middle ή keyloggers για να αποκτήσουν πρόσβαση σε συγκεκριμένες περιοχές του δικτύου.

Με τα κλεμμένα διαπιστευτήρια, οι εισβολείς μπορούν να επεκταθούν περαιτέρω για να ελέγξουν υπολογιστές ή να αποκτήσουν διαπιστευτήρια domain για να συνδεθούν σε συστήματα, servers και switches.

Φάση 3η: Διήθηση σχετικών πληροφοριών

Σε αυτό το στάδιο, οι εισβολείς πιθανότατα έχουν αποκτήσει πρόσβαση στον τύπο των δεδομένων που προσπαθούν να κλέψουν (πιστωτικές κάρτες, PII, κ.λπ.) και μπορούν να αρχίσουν να μετακινούν αυτά τα δεδομένα εκτός δικτύου για να μην εντοπιστούν.

Φάση 4η: Καλύπτοντας τα ίχνη

Είναι προς το συμφέρον του δράστη να μην τον βλέπουν, ώστε να μπορούν να διατηρήσουν την παρουσία τους στο δίκτυο για μελλοντικές πρωτοβουλίες. Για το λόγο αυτό, μετά την εξαγωγή δεδομένων, οι επιτιθέμενοι συνήθως καλύπτουν οποιοδήποτε κομμάτι της δραστηριότητάς τους, κάτι που σημαίνει ότι τα θύματα μπορεί να αγνοούν μια απειλή στο δίκτυό τους ακόμη και για χρόνια.

Τα APT αποτελούν ανησυχία για οργανισμούς κάθε μεγέθους

Αν και τα APT κατά βάση στοχεύουν σε στόχους υψηλού προφίλ, αυτοί έχουν συχνά τα υψηλότερα μέτρα ασφάλειας, ακριβώς επειδή γνωρίζουν ότι είναι πιθανοί στόχοι. Για να μη μπουν στη διαδικασία να παρακάμψουν τέτοια αυστηρά αμυντικά συστήματα ασφαλείας, οι δράστες εισβάλλουν στο δίκτυο μικρότερων, λιγότερο προστατευμένων εταιρειών. Μπορούν επίσης να επιτεθούν σε συνεργάτη του πραγματικού τους στόχου. Αυτές οι μικρές εταιρείες συνήθως έχουν πιο περιορισμένους πόρους ασφαλείας.

Μόλις έχουν πρόσβαση στον μικρότερο οργανισμό, μπορούν να διεξάγουν επιθέσεις από αυτόν τον οργανισμό εναντίον του τελικού τους στόχου. Οι μικρότερες επιχειρήσεις δεν πρέπει να υποτιμούν την αξία των ψηφιακών τους περιουσιακών στοιχείων: ακόμη και φαινομενικά ασήμαντες πληροφορίες μπορούν να πωληθούν στη μαύρη αγορά με σκοπό το κέρδος και να χρησιμοποιηθούν σε περαιτέρω εγκληματικές προσπάθειες.

Είναι εύκολο να θεωρηθεί η προστασία APT ως άχρηστη επένδυση λόγω της μικρής πιθανότητας επίθεσης, αλλά είναι εξίσου πραγματικές με πιο εμφανείς επιθέσεις, όπως ransomware ή DDoS. Συχνά, οι εξελιγμένες απειλές χρησιμοποιούν επιθέσεις ανοιχτού κώδικα, εργαλεία ή τεχνικές για να υπονομεύσουν περιουσιακά στοιχεία.

Ολοκληρωμένη πλατφόρμα προστασίας endpoint και EDR επόμενης γενιάς

Το GravityZone Business Security Enterprise αποτελεί μία νέας γενιάς προστασία endpoint, ενισχυμένη με ανάλυση Human Risk.

Είναι σχεδιασμένο για την αντιμετώπιση απειλών σε όλο τον κύκλο ζωής και εμπεριέχει τις τεχνολογίες EDR, Risk Analytics και Hardening σε μία ενιαία κονσόλα, ενώ η υπηρεσία Managed Detection and Response (MDR) προσφέρει μέγιστη δυνατή κάλυψη της υποδομής από επιθέσεις APT.

Πρόληψη

Αν και η πιθανότητα επίθεσης μπορεί να είναι μικρότερη, θα πρέπει να δημιουργήσετε ένα μοντέλο πρόληψης.

- Ξεκινήστε εξετάζοντας ποια στοιχεία συνδέονται με το internet και πόσο μεγάλα είναι τα δίκτυα. Η πρώτη αρχή προστασίας του δικτύου είναι η ορατότητα: δεν μπορείτε να προστατευθείτε από κάτι που δεν ξέρατε ότι υπήρχε.

- Όλα τα πιθανά σημεία εισόδου στην υποδομή θα πρέπει να χαρτογραφούνται και να παρακολουθούνται συνεχώς.

- Παραμείνετε σε επαγρύπνηση. Οι εισβολείς χρησιμοποιούν μεθόδους όπως το phishing, το Business Email Compromise (BEC) και το spearphishing για να αποκτήσουν πρόσβαση σε ένα δίκτυο. Για να αποτρέψετε τους τύπους επίθεσης που βασίζονται στο ηλεκτρονικό ταχυδρομείο, επενδύστε σε σταθερό φιλτράρισμα email. 

- Βεβαιωθείτε ότι οι υπάλληλοί σας είναι εξοικειωμένοι με την ασφάλεια στον κυβερνοχώρο διοργανώνοντας μαθήματα κατάρτισης και ασκήσεις προσομοίωσης. Αν και αυτό μπορεί να μην είναι χρήσιμο σε καλά σχεδιασμένα email, οι χρήστες που γνωρίζουν τις βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο είναι λιγότερο πιθανό να κάνουν κλικ σε ύποπτους συνδέσμους ή να κάνουν λήψη συνημμένων από μη αναγνωρισμένους αποστολείς.

- Σχεδιάστε πολιτικές και διαδικασίες διαχείρισης πρόσβασης, ώστε να ακολουθούν την αρχή του ελάχιστου προνομίου. Έτσι θα γνωρίζετε ποιος έχει πρόσβαση σε τι και πότε και θα μπορείτε να παρακολουθείτε όλες τις δραστηριότητες στις πιο κρίσιμες περιοχές του δικτύου.

Η οικοδόμηση άμυνας έναντι εξελιγμένων απειλών θα βοηθήσει στον μετριασμό των ζημιών (επιπτώσεις στη δημοσιότητα, απώλεια εμπιστοσύνης πελατών, αγωγές) έναντι του συμβάντος, εάν συμβεί, και θα ενισχύει ολόκληρο το σχέδιο ασφαλείας σας. Εάν μπορείτε να αποκλείσετε τα APT, μπορείτε να αποκλείσετε και κακόβουλο λογισμικό χαμηλότερου κινδύνου.

Πηγή: itsecurityguru

Στην Cloud Concept στόχο αποτελεί η αδιάλειπτη τεχνική υποστήριξη των αναγκών σας, η προσφορά managed υπηρεσιών υψηλού επιπέδου και η παροχή πρόσβασης σε χρήσιμες προτάσεις για την αποδοτική διαχείριση των δεδομένων σας.

Ακολουθήστε μας σε LinkedIn, Facebook & Instagram ή εγγραφείτε στο Newsletter μας, για να μένετε ενημερωμένοι!