APT 代表“高级持续威胁”,了解它们是什么以及如何防止它们渗透到您的网络非常重要。
本指南将探讨 APT 的来龙去脉、为什么它们如此危险,以及如果它们损害您的网络安全防御,它们会产生什么影响。
如上所述,该缩写词代表“高级持续威胁”。这是一个通用术语,适用于黑客驱动的恶意软件攻击,这些攻击会在网络上长期存在,通常是为了挖掘极其敏感的数据。
APT 是有计划的攻击,通常针对负责存储大量敏感信息的大公司或组织,通常提前数月甚至数年计划,并对目标网络以及使用该网络的公司或机构进行广泛研究。
这种行动的规模以及可以获得的信息意味着 APT 至少是由国家资助的,在某些情况下甚至是由特定政府的一个部门秘密或明确地实施的。
APT 检索什么类型的数据?
ATP 攻击有时会针对具有重大政治、经济和社会重要性的特定数据量。这些针对性的 APT 攻击可能是由想要获得专利、算法或商业秘密的组织发起的,例如最先进武器的设计方式或导弹发射井的确切位置。
然而,获取给定系统上的所有数据可能只是一个简单的愿望——例如,侵入政府服务器并检索其所有员工的个人信息将构成非常危险的违规行为。
一些 APT 试图实现完全相反的目标,并寻求批量删除文件,以破坏或破坏目标组织在攻击之前的正常运作能力。从政治角度来看,APT 为政权提供了一个绝佳的机会,可以让敌人处于不利地位,同时保留貌似合理的推诿。
这与标准恶意软件不一样吗?
不完全是。 APT 是完全不同的动物。它们比人们在野外可能遇到的任何恶意软件都要复杂得多。 APT 专门设计用于攻击由有史以来最强大的入侵者防御系统保护的政府和企业网络。
另一方面,标准恶意软件通常是在毫无戒心、不了解计算机的目标的情况下创建和传播的。许多普通恶意软件攻击的受害者甚至没有在计算机上安装基本的病毒防护。
另一个重要的区别在于 APT 的“持久性”——标准恶意软件通常帮助黑客或诈骗者保护他们的目的和运行的内容,而 APT 旨在持续一段时间内从网络检索信息。可能是几周、几个月或几年。
他们如何进入安全网络?
尽管鱼叉式网络钓鱼、捕鲸和各种其他“点击链接”方法是最常用的,但 APT 攻击是通过以下方式发起的:
- 远程文件包含。
- SQL 注入/其他代码注入技术。
- DNS 隧道。
- 社会工程策略。
- 高级利用零日漏洞或系统弱点。
- 通过物理恶意软件感染。
已知 APT 示例
高级持续威胁的最新例子可归因于与其国家机器密切相关的朝鲜和俄罗斯组织。
去年 11 月,微软确认超过一组黑客试图窃取疫苗秘密来自法国、加拿大、印度、美国和韩国的一系列正在进行临床试验的公司。他们发现臭名昭著的俄罗斯间谍组织 Fancy Bear — — 英国网络安全公司确定该组织是由俄罗斯政府资助 — — 是其中一些攻击的幕后黑手。
近年来,其他与克里姆林宫有联系的网络间谍组织(例如 Cozy Bear)已成功渗透到民主党全国委员会、国务院和白宫拥有和使用的网络。此类 APT 在 DNC 系统中几乎一年都没有被发现。
来自朝鲜的 Lazarus 组织(也称为 Zinc)——人们对其信息知之甚少——也被确定为疫苗盗窃企图的肇事者。一个被微软称为 Cerium 的组织(也被认为来自朝鲜)是第三个试图窃取数据的实体。最近,来自隐士王国的黑客被指控试图闯入疫苗开发商辉瑞公司的系统。
一个稍微老一点的例子是 Stuxnet,这是一种蠕虫病毒,它被用来通过摧毁浓缩铀的离心机来摧毁伊朗的核计划,人们普遍认为是由美国和以色列情报部门发明为此目的而设立的机构。然后它失控并开始感染伊朗核基地之外的计算机,这被认为是在以色列修改代码后发生的。据说当时的现任总统乔·拜登对此感到愤怒。
APT 攻击如何发生:分步
- 浸润– 使用某种常见的恶意软件策略(例如网络钓鱼)渗透目标网络。 Cerium 通过冒充来做到这一点WHO。
- 合并– 该软件试图找到系统中的更多漏洞并设置网络后门,因此,如果它潜入的安全漏洞被关闭,攻击就可以继续。
- 渗透– 慢慢地,恶意软件将加深对网络不同部分的访问,向上移动命令链,直到最机密、安全的个人设备受到损害并获得管理员权限。
- 延续– 然后,恶意软件将继续在网络的其余部分中传播,造成尽可能多的破坏并收集尽可能多的信息,这些信息将由威胁行为者安全地存储在网络中。
- 提款– 一个诱饵DDoS 攻击当所需数据被删除、损坏或从网络中过滤出来时,可能会分散安全人员的注意力。攻击完成。根据攻击的性质,一些 APT 可能会无限期地持续存在,而另一些则会故意不留下任何痕迹。
识别网络已被感染
正如我们所讨论的,APT 被设计得非常难以发现和处理。恶意软件可能创建的网络后门可能数量众多,而且非常隐蔽。
显然,如果您找不到大量敏感信息(要么是突然消失,要么已被移动到网络中不同的、不寻常的位置),请立即开始调查是否无意中容纳了 APT。同样,正在压缩并准备导出的大文件应该敲响警钟。
另一个迹象是在一天中的不寻常时间进行奇怪的登录,尤其是在工作时间之外。如果您是系统或网络管理员,您应该能够监视尝试登录网络的所有设备。可疑的登录时间(或者相对于您的网络规模而言,登录次数比您预期的要多)都应该促使进一步调查。
另一个明显的迹象是存在特洛伊木马以及与较大攻击相关的各种较小的恶意软件。标准安全工具可能会发现这些问题,而无法正确识别潜伏在后台的更大、更有害的威胁。
如果发现 APT,您应该做什么
如果您在系统或网络上发现 APT,则需要执行一些(无顺序)步骤来清除恶意软件并进而清除 APT:
- 尝试确定攻击者的主要目标。
- 关闭或关闭受感染的端点。
- 尝试删除网络中存在的恶意软件。
- 禁用所有对网络的远程访问。
- 撤销被黑客攻击或受损帐户的管理员权限。
- 促使整个网络重置密码。
- 从远程备份恢复受感染的驱动器。
- 通知数据遭到泄露的人员。
- 收集有关攻击的图像、数据和记录。
如何防范APT攻击
保护自己免受 ATP 攻击的首要原则是确保使用您网络的个人接受过足够的威胁检测培训,并了解他们在遇到威胁时正在寻找什么。
请记住,恶意软件必须找到某种进入系统的初始方式,这可能是通过毫无戒心的网络用户单击电子邮件或其他电子通信中的某种网络钓鱼链接。这就是大多数 APT 的启动方式。因此,定期向员工通报网络钓鱼电子邮件日益复杂的情况,并提醒他们保持警惕,将大大减少他们点击可疑链接并导致整个系统瘫痪的可能性。
第二是确保您的所有系统软件都是最新的。毕竟,APT 攻击者将尝试利用您网络中的某种漏洞 - 那么为什么要给他们机会呢?最新的系统包含最新的安全补丁。
常规网络监控是另一个必须的,因为这可以帮助防止后门的打开、可疑的管理活动,并从本质上发现和记录所有其他类型的可疑行为。除此之外,定期更改密码和登录监控也至关重要,就像仅从白名单安装应用程序一样。
如果您确实认为您的企业可能是迫在眉睫的目标,那么还建议建立一个事件响应团队和行动手册。
防火墙通常被认为对 APT 毫无用处,但如果安装在网络内部,可以使威胁行为者更难以四处走动,那么防火墙就会被证明是有用的。遵循最小权限原则(网络上的用户只能访问完成其工作所需的最低限度的权限)代表了另一个先发制人的步骤,可以在您的网络受到攻击时限制 APT 造成的损害。网络周围的外部防火墙还可以识别应用层攻击并发出各种其他警告信号。