Sok vállalat mindent megtesz annak érdekében, hogy minél több adatot gyűjtsön az ügyfelekről. Egyesek még ingyen is adják termékeiket, cserébe engedélyt kapnak a személyes adatok gyűjtésére.

Ennek eredményeként ma már a kisebb vállalkozásoknak is rengeteg értékes adata van. És egyre több fenyegetett szereplő keresi a módját annak ellopására. Ennek egyik példája egy olyan kibertámadás, amelyet fejlett tartós fenyegetésként ismerünk.

Mi tehát a fejlett tartós fenyegetés? Hogyan találsz egyet? És mit kell tennie, ha úgy gondolja, hogy a rendszerét elütötte egy APT?

Mi a fejlett tartós fenyegetés (APT)?

A fejlett tartós fenyegetés egy olyan típusú támadás, amelynek során a betolakodó hozzáférést kap egy rendszerhez, majd hosszú ideig észrevétlenül marad ott.

Az ilyen típusú támadásokat általában kémkedés céljából hajtják végre. Ha a cél egyszerűen egy rendszer károsítása lenne, akkor nem lenne ok a kitartásra. A támadásokat végrehajtó emberek nem próbálják megsemmisíteni a számítógépes rendszereket. Egyszerűen hozzáférést akarnak a birtokukban lévő adatokhoz.

instagram viewer

A legfejlettebb tartós fenyegetések kifinomult hackelési technikákat alkalmaznak, és az egyes számítógépes rendszerekhez vannak igazítva.

Ez ezeket a támadásokat nagyon nehezen észleli. De összetettségük egyik előnye, hogy az átlagos számítógép-használónak általában nem kell aggódnia miattuk.

A rosszindulatú programokkal ellentétben, amelyeket általában a lehető legtöbb számítógép megcélozására terveztek, a fejlett tartós fenyegetéseket általában egy adott célra való tekintettel tervezik.

Hogyan történik az APT?

Az előrehaladott tartós fenyegetés viszonylag tág fogalom. Az ilyen támadásban alkalmazott kifinomultság szintje ezért nagyon eltérő.

A legtöbbet azonban könnyen fel lehet osztani három különböző szakaszra.

1. szakasz: beszivárgás

A nyitó szakaszban a hackerek egyszerűen keresik a bejáratot. A rendelkezésükre álló opciók nyilván attól függ, mennyire biztonságos a rendszer.

Az egyik lehetőség az adathalászat lenne. Talán elérheti, hogy valaki rosszindulatú e-mailt küldve véletlenül felfedje bejelentkezési adatait. Vagy ha ez nem lehetséges, megpróbálhatják ugyanazt elérni társadalmi mérnöki úton.

2. szakasz: Bővítés

A következő lépés a bővítés. Miután a támadók érvényes utat nyitnak a rendszerben, meg akarják bővíteni az elérhetőségüket, és valószínűleg megbizonyosodnak arról, hogy a meglévő hozzáférésüket nem lehet visszavonni.

Ezt általában valamilyen rosszindulatú programmal fogják megtenni. Például a billentyűzár lehetővé teszi számukra, hogy további jelszavakat gyűjtsenek más szerverekhez.

Összefüggő: Mi az a Keylogger?

A hátsó ajtó trójai pedig garantálja a jövőbeni behatolást akkor is, ha megváltoztatják az eredeti ellopott jelszót.

3. szakasz: Kivonás

A harmadik szakaszban itt az ideje, hogy valóban ellopják az adatokat. Az információkat általában több szerverről gyűjtik, majd egyetlen helyre helyezik, amíg készen állnak a visszakeresésre.

Ezen a ponton a támadók megpróbálhatják elnyomni a rendszer biztonságát valami DDOS támadás. Ennek a szakasznak a végén az adatokat valóban ellopják, és ha nem észlelik, akkor nyitva hagyják az ajtót a jövőbeli támadások számára.

APT figyelmeztető jelei

Míg az APT-t általában kifejezetten az észlelés elkerülésére tervezték, ez nem mindig lehetséges. Legtöbbször lesz legalább néhány bizonyíték arra, hogy ilyen támadás történik.

Lándzsa adathalászat

Lándzsás adathalász e-mail annak jele lehet, hogy az APT hamarosan bekövetkezik vagy a kezdeti szakaszban van. Az adathalász e-mailek célja, hogy válogatás nélkül ellopjanak nagy mennyiségű embertől az adatokat. A Spear adathalász e-mailek testreszabott verziók, amelyek egyedi embereket és / vagy vállalatokat céloznak meg.

Gyanús bejelentkezés

A folyamatban lévő APT során a támadó valószínűleg rendszeresen bejelentkezik a rendszerébe. Ha egy törvényes felhasználó hirtelen páratlan órákban jelentkezik be fiókjába, ez annak a jele lehet, hogy a hitelesítő adatait ellopták. Egyéb jelek közé tartozik a nagyobb gyakorisággal történő bejelentkezés, és olyan dolgok megtekintése, amelyeknek nem kellene.

Trójaiak

A trójai program egy rejtett alkalmazás, amely telepítés után távoli hozzáférést biztosíthat a rendszeréhez. Az ilyen alkalmazások még nagyobb veszélyt jelenthetnek, mint az ellopott hitelesítő adatok. Ez azért van, mert nem hagynak nyomot, vagyis nincs bejelentkezési előzmény, amelyet ellenőrizhetnének, és a jelszómódosítások nem érintik őket.

Szokatlan adatátvitel

Az APT előfordulásának legnagyobb jele egyszerűen az, hogy az adatokat hirtelen mozgatják, látszólag minden ok nélkül. Ugyanez a logika érvényes, ha azt látja, hogy az adatokat ott tárolják, ahol nem kellene, vagy ami még rosszabb, ha éppen egy külső szerverre irányítják őket, nem az ellenőrzése alatt.

Mi a teendő, ha APT-re gyanakszik?

Miután észlelt egy APT-t, fontos a gyors mozgás. Minél több ideje van egy támadónak a rendszerében, annál nagyobb kár keletkezhet. Még az is lehetséges, hogy az adatait még nem lopták el, inkább hamarosan. Itt kell megtennie.

  1. Állítsa le a támadást: Az APT leállításának lépései nagyban függnek annak természetétől. Ha úgy gondolja, hogy a rendszerének csak egy szegmensét sérülték meg, akkor kezdje el azzal, hogy elkülöníti azt minden mástól. Ezt követően dolgozzon a hozzáférés eltávolításán. Ez azt jelentheti, hogy visszavonják az ellopott hitelesítő adatokat, vagy trójai rendszer esetén a rendszer tisztítását.
  2. Értékelje a kárt: A következő lépés annak kiderítése, mi történt. Ha nem érted, hogyan következett be az APT, semmi sem akadályozza meg, hogy újra megtörténjen. Az is lehetséges, hogy hasonló fenyegetés jelenleg is folyamatban van. Ez azt jelenti, hogy elemezzük a rendszer eseménynaplóit, vagy egyszerűen kitaláljuk az útvonalat, amelyet a támadó a hozzáféréshez használt.
  3. Értesítse harmadik feleket: Attól függően, hogy milyen adatokat tárol a rendszer, az APT által okozott kár hosszú távon elérheti. Ha jelenleg olyan adatokat tárol, amelyek nem csak Öné, azaz az ügyfelek, az ügyfelek vagy az alkalmazottak személyes adatait, akkor lehet, hogy tájékoztatnia kell ezeket az embereket. A legtöbb esetben ennek elmulasztása jogi problémává válhat.

Ismerje az APT jeleit

Fontos megérteni, hogy nem létezik teljes védelem. Az emberi tévedés bármely rendszer veszélyeztetéséhez vezethet. És ezek a támadások értelemszerűen fejlett technikákat alkalmaznak az ilyen hibák kiaknázására.

Az APT elleni egyetlen valódi védelem tehát az, ha ismerjük, hogy léteznek, és annak megértése, hogyan lehet felismerni egy előfordulás jeleit.

Email
Mi az adaptív biztonság és hogyan segít a fenyegetések megelőzésében?

A valós idejű biztonsági megfigyelési modell, az adaptív biztonság modern taktikákat alkalmaz a folyamatosan fejlődő számítógépes fenyegetések enyhítésére.

Olvassa el a következőt

Kapcsolódó témák
  • Biztonság
  • Online biztonság
  • Számítógép biztonság
A szerzőről
Elliot Nesbo (6 cikk megjelent)

Elliot szabadúszó műszaki író. Elsősorban a fintechről és a kiberbiztonságról ír.

Több Elliot Nesbótól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.