Mnoho společností se snaží shromáždit co nejvíce údajů o zákaznících. Někteří dokonce dávají své produkty zdarma výměnou za povolení ke shromažďování osobních údajů.

Výsledkem je, že i menší podniky nyní mají spoustu cenných dat. A stále více aktérů hrozeb hledá způsoby, jak to ukrást. Jedním z příkladů je typ kybernetického útoku známý jako pokročilá trvalá hrozba.

Co je to pokročilá trvalá hrozba? Jak si jeden všimnete? A co byste měli dělat, pokud si myslíte, že váš systém byl zasažen APT?

Co je to Advanced Persistent Threat (APT)?

Pokročilá trvalá hrozba je typ útoku, při kterém vetřelec získá přístup do systému a poté se mu podaří zůstat po dlouhou dobu nezjištěn.

Tento typ útoku se obvykle provádí s cílem špionáže. Pokud by cílem bylo jednoduše poškodit systém, nebyl by důvod držet se kolem. Lidé provádějící tyto útoky se nesnaží zničit počítačové systémy. Prostě chtějí přístup k údajům, které mají.

Nejpokročilejší trvalé hrozby používají sofistikované hackerské techniky a jsou přizpůsobeny jednotlivým počítačovým systémům.

instagram viewer

Proto je velmi obtížné tyto útoky odhalit. Jednou z výhod jejich složitosti však je, že průměrný uživatel počítače si s nimi obvykle nemusí dělat starosti.

Na rozdíl od malwaru, který je obecně navržen tak, aby cílil na co nejvíce počítačů, pokročilé trvalé hrozby jsou obvykle navrženy s ohledem na konkrétní cíl.

Jak se stane APT?

Pokročilá přetrvávající hrozba je relativně široký pojem. Míra propracovanosti použitá při takovém útoku se proto velmi liší.

Většinu však lze snadno rozdělit do tří odlišných fází.

Fáze 1: Infiltrace

V úvodní fázi hackeři jednoduše hledají cestu dovnitř. Možnosti, které mají k dispozici, budou samozřejmě záviset na tom, jak bezpečný je systém.

Jednou z možností by byl phishing. Možná někoho přimějí, aby náhodou odhalil své přihlašovací údaje tím, že jim pošle škodlivý e-mail. Nebo pokud to není možné, mohou se pokusit dosáhnout stejné věci prostřednictvím sociálního inženýrství.

Fáze 2: Expanze

Dalším krokem je expanze. Jakmile budou mít útočníci platnou cestu do systému, budou chtít rozšířit svůj dosah a pravděpodobně se ujistit, že jejich stávající přístup nelze zrušit.

Obvykle to dělají s nějakým typem malwaru. Keylogger jim například umožní shromažďovat další hesla pro jiné servery.

Příbuzný: Co je Keylogger?

Trojský kůň backdoor zaručí budoucí vniknutí, i když dojde ke změně původního ukradeného hesla.

Fáze 3: Extrakce

Během třetí fáze je čas skutečně ukrást data. Informace se obvykle shromažďují z více serverů a poté se ukládají na jedno místo, dokud nejsou připraveny k načtení.

V tomto okamžiku se útočníci mohou pokusit přemoci zabezpečení systému něco jako útok DDOS. Na konci této fáze jsou data skutečně odcizena a pokud nebudou detekována, zůstanou dveře otevřené pro budoucí útoky.

Varovné příznaky APT

I když je APT obvykle navržen speciálně pro zabránění detekci, není to vždy možné. Většinou budou alespoň nějaké důkazy o tom, že k takovému útoku dochází.

Spear phishing

Spear phishingový e-mail může být znamením, že se APT brzy stane nebo je v raných fázích. Phishingové e-maily jsou navrženy tak, aby bez rozdílu kradly data velkému množství lidí. Spear phishingové e-maily jsou přizpůsobené verze, které jsou šité na míru konkrétním lidem nebo společnostem.

Podezřelá přihlášení

Během probíhajícího APT se útočník pravděpodobně bude do vašeho systému pravidelně přihlašovat. Pokud se legitimní uživatel náhle přihlásí ke svému účtu v lichých hodinách, může to být známka toho, že jeho přihlašovací údaje byly odcizeny. Mezi další příznaky patří častější přihlášení a prohlížení věcí, které by neměly být.

Trojské koně

Trojský kůň je skrytá aplikace, která po instalaci může poskytnout vzdálený přístup k vašemu systému. Takové aplikace mají potenciál být ještě větší hrozbou než odcizené přihlašovací údaje. Je to proto, že nezanechávají žádnou stopu, tzn. Nemáte žádnou historii přihlášení, kterou byste mohli zkontrolovat, a nejsou ovlivněni změnami hesla.

Neobvyklé přenosy dat

Největší známkou výskytu APT je jednoduše to, že data jsou náhle přesunuta, zdánlivě bez zjevného důvodu. Stejná logika platí, pokud vidíte, že jsou data ukládána tam, kde by neměla být, nebo v horším případě, ve skutečnosti jsou přenášena na externí server mimo vaši kontrolu.

Co dělat, pokud máte podezření na APT

Jakmile je detekován APT, je důležité rychle se pohybovat. Čím více času má útočník ve vašem systému, tím větší poškození může nastat. Je dokonce možné, že vaše data ještě nebyla odcizena, ale spíš bude. Tady je to, co musíte udělat.

  1. Zastavte útok: Kroky k zastavení APT závisí do značné míry na jeho povaze. Pokud se domníváte, že byla prolomena pouze část vašeho systému, měli byste začít izolováním od všeho ostatního. Poté pracujte na odebrání přístupu. To může znamenat odebrání odcizených pověření nebo v případě trojského koně vyčištění systému.
  2. Posoudit poškození: Dalším krokem je zjistit, co se stalo. Pokud nerozumíte tomu, jak k APT došlo, nic nebrání tomu, aby se to opakovalo. Je také možné, že podobná hrozba v současné době probíhá. To znamená analyzovat protokoly událostí systémů nebo jednoduše zjistit cestu, kterou útočník použil k získání přístupu.
  3. Informovat třetí strany: V závislosti na tom, jaká data jsou uložena ve vašem systému, může být poškození způsobené APT dlouhé. Pokud v současné době ukládáte data, která nepatří jen vám, tj. Osobní údaje zákazníků, klientů nebo zaměstnanců, možná budete muset těmto lidem dát vědět. Pokud tak neučiníte, může se ve většině případů stát právním problémem.

Znát příznaky APT

Je důležité si uvědomit, že neexistuje úplná ochrana. Lidská chyba může vést k ohrožení jakéhokoli systému. A tyto útoky, podle definice, využívají pokročilé techniky k využívání těchto chyb.

Jedinou skutečnou ochranou před APT je proto vědět, že existují, a porozumět tomu, jak rozpoznat příznaky jednoho z nich.

E-mailem
Co je adaptivní zabezpečení a jak pomáhá při prevenci hrozeb?

Model monitorování zabezpečení v reálném čase, adaptivní zabezpečení využívá moderní taktiku ke zmírnění neustále se vyvíjejících kybernetických hrozeb.

Přečtěte si další

Související témata
  • Bezpečnostní
  • Zabezpečení online
  • Zabezpečení počítače
O autorovi
Elliot Nesbo (Publikováno 6 článků)

Elliot je nezávislý technický spisovatel. Primárně píše o fintech a kybernetické bezpečnosti.

Více od Elliota Nesba

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!

Ještě jeden krok…!

V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.

.