x

Давайте мы вам перезвоним!

Оставьте свой номер и мы перезвоним в течении нескольких минут

ФИО

Номер телефона

В какое время вам перезвонить ?

Безопасность
👁534
15.08.2018

Что такое APT?

Развитая устойчивая угроза (APT) - это атака, в которой злоумышленник или команда злоумышленников устанавливает незаконное, долгосрочное присутствие в сети, чтобы добывать высокочувствительные данные.

Развитая устойчивая угроза (APT) - это атака, в которой злоумышленник или команда злоумышленников устанавливает незаконное, долгосрочное присутствие в сети, чтобы добывать высокочувствительные данные.
Цели этих нападений, включают крупные предприятия или правительственные сети. Последствия таких вторжений огромны и включают:

  • Кражи интеллектуальной собственности (например, коммерческая тайна или патенты)
  • Компрометированная конфиденциальная информация (например, личные данные сотрудников и пользователей)
  • Саботаж важнейших организационных инфраструктур (например, удаление базы данных)
  • Общее поглощение сайта
Для выполнения атаки APT требуется больше ресурсов, чем для стандартных кибератак. Организуется атака обычно командой опытных киберпреступников, имеющих существенную финансовую поддержку. Некоторые атаки APT финансируются правительством и используются в качестве оружия кибервойны.
Атаки APT отличаются от традиционных угроз веб-приложений тем, что:
  • Они значительно сложнее.
  • Они не попадают и не запускают атаки – после проникновения преступник остается в сети, чтобы получить как можно больше информации.
  • Они выполняются вручную (не автоматизированы).
  • Они часто стремятся захватить всю сеть целиком.
Более распространенные атаки, такие как выполнение удаленного файла на сервере (RFI), SQL-инъекции и межсайтовый скриптинг (XSS), часто используются кибергруппировками (подробнее о группировках можно узнать здесь) для создания плацдарма в целевой сети. Далее, трояны и бэкдор-оболочки часто используются для расширения этой опоры для создания постоянного присутствия в пределах целевого периметра.

ЭТАПЫ РАЗВИТИЯ APT

Успешная атака APT может быть разбита на три этапа: 1) сетевая инфильтрация, 2) расширение присутствия злоумышленника и 3) извлечение накопленных данных - все без обнаружения.

ЭТАП 1 - ИНФИЛЬТРАЦИЯ


Предприятия обычно проникают через компрометацию одной из трех поверхностей атаки: веб-ресурсов, сетевых ресурсов или уполномоченных пользователей.
Это достигается либо за счет вредоносных загрузок (например, RFI, SQL-инъекция), либо с помощью социальных инженерных атак (например, фишинга) - угроз, с которыми сталкиваются крупные организации на регулярной основе.
Кроме того, инфильтраторы могут одновременно выполнять атаку DDoS против своей цели. Это служит дымовой завесой, чтобы отвлечь персонал сети и как средство ослабления периметра безопасности, что облегчает атаку.
После того, как начальный доступ был достигнут, злоумышленники быстро устанавливают вредоносную оболочку бэкдора, которая предоставляет доступ к сети и позволяет выполнять удаленные операции скрытности. Бэкдор также может быть в виде троянов, замаскированных в качестве законных частей программного обеспечения.

ЭТАП 2 - РАСШИРЕНИЕ


После того, как плацдарм установлен, нападающие перемещаются по сети организации от инфицированных компьютеров к наиболее чувствительным данным. При этом они могут собирать важную бизнес-информацию, включая информацию о линейке продуктов, данные о сотрудниках и финансовые отчеты.
В зависимости от конечной цели атаки накопленные данные могут быть проданы конкурирующему предприятию или использоваться для уничтожения всей организации.

ЭТАП 3- ИЗВЛЕЧЕНИЕ


Пока происходит событие APT, похищенная информация обычно хранится в безопасном месте внутри атакуемой сети. После того, как будет собрано достаточно данных, воры должны извлечь ее, не будучи обнаруженными.
Как правило, тактика «белого шума» используется, чтобы отвлечь команду безопасности, чтобы можно было удалить информацию. «Белый шум» может иметь форму DDoS-атаки, снова связывая персонал сети или ослабляя защиту сайта, чтобы облегчить извлечение.

Связанные товары:  Kaspersky Industrial CyberSecurity / Kaspersky Anti Targeted Attack Platform