Что такое продвинутая постоянная угроза?

Продвинутая постоянная угроза (APT) – это сложное многоэтапное чрезвычайное событие в сфере безопасности, целью которого становятся определенные бизнес-активы. APT – это неавторизованный субъект, который проникает в организационную среду, перемещается между системами в поисках активов, передает конфиденциальную информацию и пытается выйти из нее незамеченным. Продвинутые постоянные угрозы могут быть сложными для выявления и устранения из-за изощренной тактики и целенаправленного подхода. Защита от APT требует мультисистемного и междисциплинарного подхода.

Событие APT может преследовать одну из приведенных ниже целей.

Кража интеллектуальной собственности

Интеллектуальная собственность, такая как коммерческая или государственная тайна, запатентованный исходный код или личные сообщения, – это конфиденциальные данные, которые организация не хотела бы раскрывать. Получая первоначальный доступ к этим данным, группы APT незаконно извлекают информацию в целях обретения конкурентного преимущества или оказания негативного влияния на целевую сеть бизнеса.

Финансовое мошенничество

APT могут получить контроль над бизнес-системами и операциями, предоставляя неавторизованному субъекту привилегированный доступ, необходимый для совершения финансового мошенничества. Эти операции могут приводить к финансовым переводам со счетов пользователей или похищать конфиденциальные данные компании для дальнейшей подделки личности.

Программы-вымогатели 

Событие APT может привести к успешному внедрению программ-вымогателей. В этом примере APT начинает шифровать конфиденциальные данные и препятствовать доступу пользователей к целевой сети. Несанкционированные группы могут потребовать огромный выкуп в обмен на предоставление ключа для расшифровки файлов. 

Ущерб репутации

Конечной целью некоторых групп APT может стать нанесение репутационного ущерба организации из-за раскрытия информации общественности.

APT рассматривают только цели с высокой ценностью. Продвинутые постоянные угрозы (APT) сложнее идентифицировать, чем типичные киберугрозы, поскольку они не прибегают к традиционным схемам. Так как не существует общего вектора чрезвычайных событий безопасности, сроков их возникновения или сигнатуры, найти и нейтрализовать эти события становится сложнее. 

В типичных чрезвычайных событиях безопасности может произойти внезапный всплеск операций с базами данных или трафика при перемещении данных, в то время как более методичный подход APT к событиям остается незамеченным.

Кроме того, возможно, что APT не стремится к мгновенной прибыли, поэтому субъекты APT могут тратить время на создание более масштабной угрозы. Оставаясь незамеченными в системах, APT могут также в течение длительного времени оставаться незамеченными и в компании, пока группа не решит действовать.

Ниже приведены наиболее распространенные характеристики и признаки продвинутой постоянной угрозы.

Продуманные многоэтапные мероприятия для получения доступа

Продвинутые постоянные угрозы подразумевают многоэтапные события, которые часто сопровождаются серией узнаваемых шагов.

Сначала неавторизованный субъект проводит разведку целевой организации и ее систем для сбора информации об активах и потенциальных уязвимостях. Затем он разрабатывает методы использования выявленных уязвимостей.

После того как неавторизованный субъект получает доступ к системам компании, он перемещается по различным частям системы. Для этого он с помощью социальной инженерии, навигации по сегментам сети и других методов получает доступ к широким привилегиям. Также субъект может отвлечь внимание сотрудников службы безопасности. Для координации связи настраиваются серверы управления и контроля.

После получения доступа к целевым активам неавторизованный субъект обычно начинает извлекать данные за пределы системы или в соответствии с целью события изменять взломанную систему. Некоторые продвинутые постоянные угрозы сопровождают заключительную стадию попытками сокрытия своих следов, чтобы никто не узнал о случившемся.

Задача выполняется высокомотивированной группой APT

События APT выполняются высокомотивированными неавторизованными субъектами, которые обычно действуют в группах. Эти группы могут приобретать различные формы, среди которых можно найти спонсируемые государствами APT, профессиональные киберпреступные организации, группы хактивистов или небольшие группы хакеров по найму.

Хотя основной целью APT является получение финансовой выгоды, некоторые из этих групп участвуют в проведении событий APT для сбора конфиденциальной информации, раскрытия данных, саботажа инфраструктуры или воздействия на репутацию организаций. 

Событие происходит в течение значительного времени в нескольких системах

Этапы, описанные выше, могут протекать в течение длительного периода времени. По причине целенаправленного характера событий APT группы планируют действовать медленно и осторожно, чтобы избежать привлечения внимания и срабатывания предупреждений в системах. В некоторых случаях APT сохраняет незаметность в течение нескольких месяцев или лет, прежде чем приступить к шагам по достижению первоначальной цели.

Наличие мер по сокрытию следов

Заключительным этапом действий злоумышленников APT является сокрытие любых следов события с помощью таких методов, как удаление файлов, изменение журналов или подтасовка определенных аспектов базы данных. Снижая вероятность того, что команда кибербезопасности обнаружит неисправность системы, неавторизованные субъекты с большей вероятностью смогут покинуть систему без всяких последствий.

Кроме того, скрывая доказательства своего присутствия, APT также могут сохранить в секрете свой метод проникновения. Секретный выход из системы позволяет угрозам использовать ту же медленную и методичную стратегию в отношении других целевых организаций.

Аналитика продвинутых постоянных угроз (APT) – это специализированная форма аналитики угроз, которая информирует и наставляет организации в отношении текущих кампаний APT, известных неавторизованных участников APT и современных методов социальной инженерии, используемых APT. 

Аналитика APT отличается от общей аналитики угроз источниками, методами триангуляции, отчетностью, принципами анализа и приложениями.

Ниже приведены некоторые эффективные меры безопасности, которые помогут предотвратить APT и защитить от них.

Аналитика угроз

Использование систем аналитики угроз является эффективной стратегией предотвращения APT. Аналитика угроз изучает внутренние и внешние данные безопасности, чтобы получить целостное представление о текущем состоянии событий и их общих векторах. Благодаря публичным и частным данным можно определить своих основных потенциальных противников и тактику APT, а также найти способы защиты от них.

Организации могут извлекать информацию и разрабатывать стратегии, внедряя платформы аналитики угроз, открытые каналы аналитики угроз и такие платформы, как MITRE ATT&CK.

Ведение журнала и телеметрия

Эффективное и обширное журналирование систем кибербезопасности, сетей, точек доступа к активам, мониторинга адресов и общих данных о состоянии систем позволяет экспертам по безопасности составить исчерпывающий обзор бизнес-систем. Сохранение подробных журналов и внедрение расширенной аналитики улучшают обнаружение аномалий и обеспечивают ретроактивное расследование неожиданных событий безопасности.

Технологии

Существует несколько технологий, которые можно использовать для повышения способности обнаруживать, нейтрализовать и устранять APT. Ниже приведено несколько основных технологий из этого технологического стека безопасности.

• Системы обнаружения вторжений (IDS): инструменты, отслеживающие сетевой трафик для выявления любых подозрительных действий.
• Системы управления информацией и событиями безопасности (SIEM): решение, которое сопоставляет данные из различных систем безопасности для обнаружения угроз и реагирования на непредвиденные события безопасности в режиме реального времени.
• Обнаружение адресов и реагирование на них (EDR): сопоставляет и контролирует все устройства адресов компании для выявления аномалий и автоматического реагирования на них.

Многоуровневая защита

Для того чтобы снизить вероятность непредвиденных событий безопасности, наряду с мерами безопасности APT также можно реализовать многоуровневую стратегию безопасности. Уместно будет внедрить сегментацию сети, обезопасить хранилище данных, обеспечить доступ с наименьшими привилегиями, реализовать многофакторную аутентификацию для всех аккаунтов компании и использовать строгие стандарты шифрования при в местах хранения и в движении. Кроме того, регулярное обновление сетевого, системного и прикладного программного обеспечения помогает устранить известные уязвимости.

Обучение

Одна из наиболее распространенных точек входа в систему для APT и других неожиданных событий в сфере кибербезопасности – это контакт с сотрудниками компании. Прибегая к фишинговому мошенничеству или социальным манипуляциям группы часто атакуют отдельных сотрудников организации, обманом заставляя их перейти по взломанной ссылке. С развитием искусственного интеллекта продвинутые методы выдачи себя за другое лицо становятся обычным явлением.

Следует регулярно проводить в организации программы повышения осведомленности о безопасности для борьбы с угрозами социальной инженерии. Сотрудники компании должны уметь распознавать первые признаки APT и сообщать о таких событиях службе безопасности.

AWS предлагает сервисы, призванные защитить организации от продвинутых постоянных угроз. AWS Security Hub трансформирует облачную безопасность благодаря унифицированной визуализации, полезным аналитическим данным и автоматизированным рабочим процессам.

Amazon GuardDuty предлагает полностью масштабируемое управляемое обнаружение угроз в облаке. Amazon GuardDuty может быстро выявлять и сопоставлять угрозы, а также реагировать на них благодаря автоматизированному анализу и индивидуальным рекомендациям по устранению проблем, которые помогут свести к минимуму перебои в работе компании. Amazon GuardDuty предлагает интеллектуальное обнаружение угроз для защиты аккаунтов, рабочих нагрузок и данных AWS.

Amazon Inspector автоматически обнаруживает рабочие нагрузки, такие как инстансы Amazon Elastic Compute Cloud (Amazon EC2), образы контейнеров и функции AWS Lambda, а также репозитории кода, и сканирует их на наличие уязвимостей в программном обеспечении и непреднамеренного сетевого доступа.

Amazon Macie c помощью машинного обучения и сопоставления шаблонов обнаруживает конфиденциальные данные, визуализирует риски для безопасности данных и автоматизирует защиту от этих рисков.

Реагирование на инциденты безопасности AWS позволяет подготовиться к событиям безопасности, отреагировать на них и вернуться к обычной деятельности. Реагирование на инциденты безопасности автоматизирует мониторинг и расследование, ускоряет коммуникацию и координацию и предоставляет прямой круглосуточный доступ к команде реагирования на чрезвычайные ситуации клиентов AWS (CIRT).

Начните защищать свою организацию от APT на AWS, создав бесплатный аккаунт уже сегодня.