Multe companii fac tot posibilul să colecteze cât mai multe date despre clienți. Unii chiar își dau gratuit produsele în schimbul permisiunii de a colecta informații personale.

Drept urmare, chiar și întreprinderile mai mici au acum o multitudine de date valoroase. Și din ce în ce mai mulți actori de amenințări caută modalități de a o fura. Un exemplu în acest sens este un tip de atac cibernetic cunoscut ca o amenințare persistentă avansată.

Deci, ce este o amenințare persistentă avansată? Cum vezi unul? Și ce trebuie să faci dacă crezi că sistemul tău a fost lovit de un APT?

Ce este o amenințare persistentă avansată (APT)?

O amenințare persistentă avansată este un tip de atac prin care un intrus câștigă acces la un sistem și apoi reușește să rămână acolo nedetectat pentru o perioadă lungă de timp.

Acest tip de atac se desfășoară în general cu scopul spionajului. Dacă scopul ar fi pur și simplu să distrugă un sistem, nu ar exista niciun motiv să rămânem în jur. Persoanele care efectuează aceste atacuri nu încearcă să distrugă sistemele informatice. Ei doresc pur și simplu acces la datele pe care le dețin.

instagram viewer

Cele mai multe amenințări persistente avansate utilizează tehnici sofisticate de hacking și sunt adaptate sistemelor informatice individuale.

Acest lucru face ca aceste atacuri să fie foarte greu de detectat. Unul dintre avantajele complexității lor este că, de obicei, utilizatorul mediu al computerului nu trebuie să-și facă griji.

Spre deosebire de programele malware care sunt concepute în general pentru a viza cât mai multe computere, amenințările persistente avansate sunt de obicei proiectate având în vedere o anumită țintă.

Cum se întâmplă un APT?

Amenințarea persistentă avansată este un termen relativ larg. Prin urmare, nivelul de rafinament utilizat într-un astfel de atac variază foarte mult.

Majoritatea, cu toate acestea, pot fi ușor împărțite în trei etape distincte.

Etapa 1: Infiltrare

În faza de deschidere, hackerii caută pur și simplu o cale de acces. Opțiunile disponibile vor depinde în mod evident de cât de sigur este sistemul.

O opțiune ar fi phishing-ul. Poate că pot determina pe cineva să-și dezvăluie accidental acreditările de conectare trimițându-le un e-mail rău intenționat. Sau dacă acest lucru nu este posibil, pot încerca să realizeze același lucru prin inginerie socială.

Etapa 2: Extindere

Următorul pas este extinderea. Odată ce atacatorii au un drum valid în sistem, vor dori să își extindă acoperirea și probabil să se asigure că accesul lor existent nu poate fi revocat.

De obicei, vor face acest lucru cu un anumit tip de malware. Un keylogger, de exemplu, le va permite să colecteze parole suplimentare pentru alte servere.

Legate de: Ce este un Keylogger?

Și un troian din spate va garanta intruziunile viitoare, chiar dacă parola originală furată este schimbată.

Etapa 3: Extragere

În timpul celei de-a treia faze, este timpul să furați datele. Informațiile vor fi de obicei colectate de pe mai multe servere și apoi depozitate într-o singură locație până când vor fi pregătite pentru recuperare.

În acest moment, atacatorii pot încerca să copleșească securitatea sistemului ceva de genul unui atac DDOS. La sfârșitul acestei etape, datele sunt de fapt furate și, dacă nu sunt detectate, ușa este lăsată deschisă pentru viitoarele atacuri.

Semne de avertizare ale unui APT

În timp ce un APT este de obicei conceput special pentru a evita detectarea, acest lucru nu este întotdeauna posibil. De cele mai multe ori, vor exista cel puțin unele dovezi că un astfel de atac are loc.

Pescuit cu sulita

Un e-mail de tip phishing poate fi un semn că un APT este pe cale să se întâmple sau se află în stadiile incipiente. E-mailurile de phishing sunt concepute pentru a fura date de la cantități mari de oameni fără discriminare. E-mailurile de tip phishing sunt versiuni personalizate care sunt adaptate pentru a viza anumite persoane și / sau companii.

Conectări suspecte

În timpul unui APT în desfășurare, este posibil ca atacatorul să se conecteze în sistem în mod regulat. Dacă un utilizator legitim se conectează brusc la contul său la ore impare, acest lucru ar putea fi un semn că acreditările lor au fost furate. Alte semne includ conectarea cu o frecvență mai mare și examinarea lucrurilor care nu ar trebui să fie.

Troieni

Un troian este o aplicație ascunsă care, odată instalată, poate oferi acces la distanță la sistemul dvs. Astfel de aplicații au potențialul de a fi o amenințare chiar mai mare decât acreditările furate. Acest lucru se datorează faptului că nu lasă nicio amprentă, adică nu există un istoric de conectare pe care să îl verificați și nu sunt afectați de modificările parolei.

Transferuri neobișnuite de date

Cel mai mare semn al apariției unui APT este pur și simplu că datele sunt mutate brusc, aparent fără un motiv aparent. Aceeași logică se aplică dacă vedeți date stocate acolo unde nu ar trebui să fie, sau mai rău, de fapt, în procesul de a fi transferate pe un server extern în afara controlului dvs.

Ce trebuie să faceți dacă suspectați un APT

Odată detectat un APT, este important să vă deplasați rapid. Cu cât un atacator are mai mult timp în sistemul dvs., cu atât daunele care pot apărea sunt mai mari. Este chiar posibil ca datele dvs. să nu fi fost încă furate, ci mai degrabă să fie pe cale să fie. Iată ce trebuie să faceți.

  1. Opriți atacul: Pașii pentru oprirea unui APT depind în mare măsură de natura sa. Dacă credeți că doar un segment al sistemului dvs. a fost compromis, ar trebui să începeți prin izolarea acestuia de orice altceva. După aceea, lucrați la eliminarea accesului. Acest lucru poate însemna revocarea acreditării furate sau, în cazul unui troian, curățarea sistemului.
  2. Evaluează daunele: Următorul pas este să ne dăm seama ce s-a întâmplat. Dacă nu înțelegeți cum s-a produs APT, nu există nimic care să-l oprească din nou. De asemenea, este posibil ca în prezent să existe o amenințare similară. Aceasta înseamnă analizarea jurnalelor de evenimente ale sistemelor sau simpla identificare a traseului pe care un atacator l-a folosit pentru a avea acces.
  3. Notificați terții: În funcție de ce date sunt stocate în sistemul dvs., daunele cauzate de un APT pot fi de lungă durată. Dacă în prezent stocați date care nu vă aparțin doar, adică detaliile personale ale clienților, clienților sau angajaților, poate fi necesar să anunțați aceste persoane. În majoritatea cazurilor, nerespectarea acestui lucru poate deveni o problemă juridică.

Cunoașteți semnele unui APT

Este important să înțelegem că nu există o protecție completă. Eroarea umană poate duce la compromiterea oricărui sistem. Și aceste atacuri, prin definiție, folosesc tehnici avansate pentru a exploata astfel de erori.

Singura protecție reală împotriva unui APT este, prin urmare, să știți că există și să înțelegeți cum să recunoașteți semnele apariției.

E-mail
Ce este securitatea adaptivă și cum ajută la prevenirea amenințărilor?

Un model de monitorizare a securității în timp real, securitatea adaptivă utilizează tactici moderne pentru a atenua amenințările cibernetice în continuă evoluție.

Citiți în continuare

Subiecte asemănătoare
  • Securitate
  • Securitate online
  • Securitatea calculatorului
Despre autor
Elliot Nesbo (6 articole publicate)

Elliot este un scriitor de tehnologie independent. El scrie în primul rând despre fintech și securitate cibernetică.

Mai multe de la Elliot Nesbo

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Încă un pas…!

Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.

.