Introdução às ameaças persistentes avançadas (APT)

Ameaças persistentes avançadas são ataques direcionados que são operações de longo prazo executadas por seus criadores (hackers), fornecendo a carga útil do ataque por métodos sofisticados (por exemplo, ignorando as soluções tradicionais de proteção de endpoints) que, em seguida, realiza secretamente as ações pretendidas (como roubo de informações) sem sendo detectado.
Geralmente, o alvo de tais ataques é escolhido com muito cuidado e um reconhecimento cuidadoso é realizado primeiro. O alvo de tais ataques geralmente são grandes empresas, organizações governamentais, geralmente intergovernamentais criam rivais e lançam esses ataques uns contra os outros e extraem informações altamente sensíveis.

Alguns dos exemplos de ameaças persistentes avançadas são:

  • Chuva de Titã (2003)
  • GhostNet (2009) -Stuxnet (2010) que quase derrubou o programa nuclear do Irã
  • Hidra
  • Deep Panda (2015)

As características e a progressão das ameaças persistentes avançadas

O APT difere das ameaças tradicionais de várias maneiras diferentes:

  • Eles usam métodos sofisticados e complexos para penetrar na rede.
  • Eles permanecem sem serem detectados por um período de tempo muito maior, enquanto uma ameaça tradicional pode ser detectada na rede ou no nível de proteção de endpoint ou mesmo se tiverem sorte e passarem por soluções de endpoint, uma verificação regular de vulnerabilidades e um monitoramento contínuo capturam a ameaça. ameaças enquanto as ameaças persistentes avançadas passam por todas as camadas de segurança e finalmente chegam aos hosts, permanecendo lá por um período mais longo e realizando sua operação.
  • Os APTs são ataques direcionados, enquanto ataques tradicionais podem / não podem ser direcionados.
  • Eles também pretendem se infiltrar em toda a rede.

Progressão de ameaças persistentes avançadas

  1. Selecionando e definindo o alvo - Um alvo deve ser definido, ou seja, qual organização deve ser vítima de um invasor. Para isso, o atacante primeiro reúne o máximo de informações possível através de pegada e reconhecimento.
  2. Encontre e organize cúmplices - O APT envolve técnicas avançadas e sofisticadas usadas para atacar e, na maioria das vezes, o atacante por trás do ATP não está sozinho. Portanto, o segundo seria encontrar o “parceiro no crime”, que possui esse nível de habilidade para desenvolver técnicas sofisticadas para realizar ataques de APT.
  3. Construir e / ou adquirir pedágios - Para realizar os ataques do APT, as ferramentas corretas precisam ser selecionadas. As ferramentas também podem ser construídas para criar um APT.
  4. Reconhecimento e coleta de informações - Antes de realizar um ataque do APT, o invasor tenta coletar o máximo de informações possível para criar uma planta do sistema de TI existente. O exemplo de coleta de informações pode ser a topologia da rede, servidores DNS e DHCP, DMZ (zonas), intervalos de IP interno, servidores da web etc. Vale a pena notar que definir um destino pode demorar um pouco, considerando o tamanho de uma organização. Quanto maior a organização, mais tempo levará para preparar um projeto.
  5. Teste de detecção - Nesta fase, procuramos vulnerabilidades e pontos fracos e tentamos implantar uma versão menor do software de reconhecimento.
  6. Ponto de entrada e implantação - Aí chega o dia em que o conjunto completo é implantado por meio de um ponto de entrada que foi escolhido entre muitos outros pontos fracos após uma inspeção cuidadosa.
  7. Intrusão inicial - Agora o atacante está finalmente dentro da rede de destino. A partir daqui, ele precisa decidir para onde ir e encontrar o primeiro alvo.
  8. Conexão de saída iniciada - Depois que o APT vai para o destino, se define, ele tenta criar um túnel através do qual a exfiltração de dados ocorrerá.
  9. Expansão da busca de acesso e credenciais - Nesta fase, o APT tenta se espalhar na rede e tenta obter o máximo de acesso possível sem ser detectado.
  10. Fortalecer o ponto de apoio - Aqui tentamos procurar e explorar outras vulnerabilidades. Ao fazer isso, um hacker aumenta a chance de obter acesso a outros locais de acesso elevado. Os hackers também aumentam a chance de estabelecer mais zumbis. Um zumbi é um computador na internet que foi comprometido por um hacker.
  11. Exfiltração de dados - Esse é o processo de envio dos dados para a base do hacker. O hacker geralmente tenta usar os recursos da empresa para criptografar os dados e depois enviá-los para sua base. Freqüentemente para distrair, os hackers exploram táticas de ruído para distrair a equipe de segurança, para que as informações confidenciais possam ser removidas sem serem detectadas.
  12. Cobrir os rastros e permanecer sem ser detectado - Os hackers limpam todos os rastros durante o processo de ataque e depois que eles saem. Eles tentam permanecer o mais furtivamente possível.

Detectando e impedindo ataques Apt

Vamos primeiro tentar ver as medidas preventivas:

  • Conscientização e treinamento de segurança exigido - As organizações estão cientes de que a maioria das violações de segurança que estão ocorrendo atualmente ocorre porque os usuários fizeram algo que não deveria ter sido feito, talvez tenham sido atraídos ou não seguiram a segurança adequada As medidas ao fazer qualquer coisa nos escritórios, como baixar software de sites ruins, visitar sites com intenção maliciosa, tornaram-se vítimas de phishing e muito mais! Portanto, uma organização deve continuar executando sessões de conscientização de segurança e instruir seus funcionários sobre como trabalhar em um ambiente seguro, sobre riscos e impacto de violações de segurança.
  • Controles de acesso (NAC e IAM) - O NAC ou os controles de acesso à rede têm uma variedade de políticas de acesso que podem ser implementadas para bloquear os ataques. Isso ocorre porque, se um dispositivo falhar em qualquer uma das verificações de segurança, ele será bloqueado pelo NAC. O gerenciamento de identidade e acesso (IAM) pode ajudar a manter os hackers afastados que tentam roubar nossa senha e tentam decifrá-la.
  • Teste de penetração - Essa é uma ótima maneira de testar sua rede contra penetração. Então, aqui, o próprio pessoal da organização se torna hacker, muitas vezes chamado de hackers éticos. Eles precisam pensar como um hacker para penetrar na rede organizacional e o fazem! Isso expõe os controles e vulnerabilidades existentes que estão em vigor. Com base na exposição, a organização coloca os controles de segurança necessários.
  • Controles administrativos - Os controles administrativos e de segurança devem estar intactos. Isso envolve o patch regular de sistemas e software, com sistemas de detecção de intrusão, acompanhados por firewalls. O IPS público da organização (como proxy, servidores Web) deve ser colocado na DMZ (zona desmilitarizada) para que seja separado da rede interna. Ao fazer isso, mesmo que um hacker obtenha o controle de um servidor na DMZ, ele não poderá acessar servidores internos porque eles ficam do outro lado e fazem parte da rede separada.

Agora, falaremos sobre medidas de detetive

  • O centro de Monitoramento de Rede - Comando e Controle (C&C) é a base para as Ameaças Persistentes Avançadas levarem e receberem cargas úteis e dados confidenciais, respectivamente. O host infectado conta com o centro de comando e controle para executar a próxima série de ações e geralmente se comunica periodicamente. Portanto, se tentarmos detectar os programas, consultas de nomes de domínio que estão acontecendo em um ciclo periódico, vale a pena investigar esses casos.
  • Análise do comportamento do usuário - envolve o uso de inteligência artificial e soluções que acompanharão a atividade do usuário. A expectativa é: a solução deve ser capaz de detectar qualquer anomalia nas atividades que um host está executando.
  • Uso da Tecnologia de Decepção - Isso serve como um benefício duplo para a organização. Inicialmente, os atacantes são atraídos para servidores falsos e outros recursos, protegendo assim os ativos originais de uma organização. Agora, a organização também usa esses servidores falsos para aprender os métodos que os invasores usam enquanto atacam a organização, eles aprendem sua cadeia de mortes cibernéticas.

Reparo e resposta

Também devemos aprender o procedimento de resposta e reparo se ocorrer algum ataque de Ameaça Persistente Avançada (APT). A princípio, o APT pode ser pego em sua fase inicial se estivermos usando as ferramentas e tecnologias certas e, em sua fase inicial, o impacto será muito menor porque o principal motivo do APT é permanecer mais tempo e permanecer sem ser detectado. Uma vez detectados, devemos tentar obter o máximo de informações dos logs de segurança, forenses e outras ferramentas. O sistema infectado deve ser reinventado e deve-se garantir que nenhuma ameaça seja removida de todos os sistemas e redes infectados. Em seguida, a organização deve executar uma verificação completa de todos os sistemas para verificar se alcançou mais locais. O controle de segurança deve ser modificado para impedir ataques desse tipo ou similares que possam ocorrer no futuro.
Agora, se as ameaças persistentes avançadas (APT) passaram dias e foram detectadas muito mais tarde, os sistemas devem ser imediatamente colocados offline, separados de todos os tipos de redes, qualquer serviço de arquivo afetado também deve ser verificado . Em seguida, uma nova imagem completa deve ser feita dos hosts afetados, uma análise profunda deve ser feita para revelar a cadeia de mortes virtuais que foi seguida. A CIRT (Equipe de resposta a incidentes cibernéticos) e a Forense cibernética devem estar engajadas para lidar com todas as violações de dados que ocorreram.

Conclusão

Neste artigo, vimos como um ataque do APT funciona e como podemos prevenir, detectar e responder a essas ameaças. Deve-se ter uma idéia básica sobre uma cadeia típica de cyber kill que está envolvida nos ataques do APT. Espero que tenham gostado do tutorial.

Artigos recomendados

Este é um guia para ameaças persistentes avançadas (APT). Aqui discutimos a introdução e as características e progressão de ameaças persistentes avançadas, detecção e prevenção de ataques APT. Você também pode consultar nossos outros artigos sugeridos para saber mais.

  1. O que é o WebSocket?
  2. Segurança de aplicativos da Web
  3. Desafios de segurança cibernética
  4. Tipos de hospedagem na web
  5. Dispositivos de firewall

Categoria:

Desenvolvimento de software