Разширена постоянна заплаха - изписване на i

Разширена постоянна заплаха - изписване на "i"

Често експертите приравняват целевите атаки с APT. От наша гледна точка това не е напълно правилно определение. Терминът АРТ определя предимно естеството, а не посоката на заплахата. В същото време подобна атака може да бъде масивна, насочена към почти всички безразборно или към някаква индустрия. Но нека оставим точния превод за филолозите: това, което е наистина важно да се разбере, е, че ART не е просто заплаха, тя е заплаха, която е сред нас от много години. Като се вземе предвид съществуващата геополитическа ситуация, можем спокойно да кажем, че ТОП-100 банки, държавни, индустриални, отбранителни, телекомуникационни компании могат условно да бъдат разделени на два типа: тези, които вече разследват ART в своята инфраструктура, и тези, които не са още.

По принцип индустрията е разбрала кой и какво е ART едва през последните години. И сега експертите започват да говорят повече или по-малко синхронно за методите за откриване, включително аномалии, пясъчници, индикатори за компромис, тактики, техники и процедури на нападателите, модерно наречени Kill Chains или „вериги убийци“.

Характеристики на атаката и етапи

Следващият етап е подготовката на инструментариума. В зависимост от нивото на обучение на групата, инструментариумът може да бъде наистина уникален и да съдържа експлойти за неизвестни досега уязвимости (включително в системите за информационна сигурност), модули за заобикаляне на средства за защита, механизми за работа в изолирани мрежи и уникални модули за показване на информация извън периметъра на организацията. Такива инструменти често остават незабелязани в продължение на пет или повече години.!

След създаването на инструментариума има етапи на доставка, експлоатация, фиксиране в инфраструктурата и т.н. Всички те са многократно описани и с малки вариации присъстват в много статии.

Резултат на врага

Представете си, че сте изправени пред ART лице в лице. Съгласете се, не е най-приятният факт. Освен това статистиката на Mandiant показва, че само 31% от напредналите атаки се откриват рано или късно от самата организация, а 69% ни стават известни благодарение на бдителни съседи и организации на трети страни (или дори от новини в медиите). По един или друг начин открихме, че нашата мрежа вече не ни принадлежи. Какво следва? Необходимо е да съберете възможно най-много информация за врага, да съставите неговия портрет и да си отговорите на няколко въпроса:

  • Кой е целта: дали атаката е мащабна или целенасочена, кой друг е или може да бъде жертва, какъв е принципът за избор на жертви (държава без прекъсване, индустрия, група компании, конкретна компания)?
  • Как: какъв е каналът за проникване на нападателя в инфраструктурата, какви следи е оставил в системата, как са организирани контролния канал и канала за излизане извън периметъра на компанията?
  • Кога: когато атаката е започнала, е получен достъп до чувствителни данни, използвани са привилегии X, какъв е потвърденият времеви интервал на присъствието на нападателя - седмици, месеци, години?
  • Какво: следи от наличните инструменти и какво друго биха могли да използват атакуващите?
  • Кой: какво е нивото на техническо оборудване, квалификация, разходи за внедряване, мащабируемост на атаката, възможна държава и потенциални налични ресурси?
  • Какво: какво сега е на разположение на нападателя: какви данни са получили и какво още не е компрометирано?
  • Защо: мотивацията на нападателя - какво е искал, какво е получил, какво не е успял да получи?