Innholdsfortegnelse:
- Hva er en APT?
- Hvordan er APT-er forskjellige?
- Noen eksempler på APT-er
- Hvor APTs?
- Sikkerhetstrusler fra det 21. århundre
Et angrep på et datanettverk er ikke overskriftsnyheter lenger, men det er en annen type angrep som fører cybersecurity-bekymringer til neste nivå. Disse angrepene kalles avanserte vedvarende trusler (APT). Finn ut hvordan de skiller seg fra trusler fra hverdagen, og hvorfor de er i stand til å påføre så mye skade i vår anmeldelse av noen høyprofilerte tilfeller som har skjedd de siste årene. (For bakgrunnslesing, sjekk ut de 5 skumleste truslene i teknikken.)
Hva er en APT?
Begrepet advanced persistent trussel (APT) kan referere til en angriper med betydelige midler, organisering og motivasjon for å utføre et vedvarende cyberattack mot et mål.
En APT er ikke overraskende avansert, vedvarende og truende. Det er avansert fordi det benytter seg av stealth- og flere angrepsmetoder for å kompromittere et mål, ofte en ressurs av høy verdi til bedriftene eller myndighetene. Denne typen angrep er også vanskelig å oppdage, fjerne og tilskrive en bestemt angriper. Enda verre er det at når et mål er brutt, opprettes ofte bakdører for å gi angriperen kontinuerlig tilgang til det kompromitterte systemet.
APT-er anses som vedvarende i den forstand at angriperen kan bruke måneder på å samle etterretning om målet og bruke denne etterretningen til å starte flere angrep over en lengre periode. Det er truende fordi gjerningsmennene ofte er ute etter svært sensitiv informasjon, for eksempel utformingen av atomkraftverk eller koder for å bryte inn i amerikanske forsvarsentreprenører.
Et APT-angrep har generelt tre hovedmål:
- Tyveri av sensitiv informasjon fra målet
- Overvåking av målet
- Sabotasje av målet
Forbrytere av APT-er bruker ofte pålitelige tilkoblinger for å få tilgang til nettverk og systemer. Disse forbindelsene kan for eksempel bli funnet gjennom en sympatisk innsider eller uvitende ansatt som faller byttedyr for et spydfiskeangrep.
Hvordan er APT-er forskjellige?
APT-er er forskjellige fra andre nettangrep på flere måter. For det første bruker APT-er ofte tilpassede verktøy og inntrengningsteknikker - for eksempel sårbarhetsutnyttelse, virus, ormer og rootkits - designet spesielt for å trenge gjennom målorganisasjonen. I tillegg lanserer APT-er ofte flere angrep samtidig for å bryte målene og sikre kontinuerlig tilgang til målrettede systemer, noen ganger inkludert en lokkedyr for å lure målet til å tro at angrepet har blitt avverget.
For det andre forekommer APT-angrep over lengre tid hvor angriperne beveger seg sakte og rolig for å unngå oppdagelse. I motsetning til den raske taktikken til mange angrep som er lansert av typiske nettkriminelle, er APTs mål å forbli uoppdaget ved å bevege seg "lavt og tregt" med kontinuerlig overvåking og samhandling til angriperne oppnår sine definerte mål.
For det tredje er APT-er designet for å tilfredsstille kravene til spionasje og / eller sabotasje, vanligvis involverer skjulte statlige aktører. Målet med en APT inkluderer militær, politisk eller økonomisk etterretningsinnsamling, fortrolige data eller handelshemmelig trussel, forstyrrelse av operasjoner eller til og med ødeleggelse av utstyr.
For det fjerde er APT-er rettet mot et begrenset utvalg av svært verdifulle mål. APT-angrep er blitt lansert mot offentlige etater og anlegg, forsvarsentreprenører og produsenter av høyteknologiske produkter. Organisasjoner og selskaper som vedlikeholder og drifter nasjonal infrastruktur er også sannsynlige mål.
Noen eksempler på APT-er
Operasjon Aurora var en av de første allment publiserte APT-ene; serien av angrep mot amerikanske selskaper var sofistikert, målrettet, stealthy og designet for å manipulere mål.Angrepene, som ble utført i midten av 2009, utnyttet en sårbarhet i Internet Explorer-nettleseren, slik at angriperne kunne få tilgang til datasystemer og laste ned skadelig programvare til disse systemene. Datasystemene ble koblet til en ekstern server og intellektuell eiendom ble stjålet fra selskapene, som inkluderer Google, Northrop Grumman og Dow Chemical. (Les om andre skadelige angrep i ondsinnet programvare: ormer, trojanere og roboter, herregud!)
Stuxnet var den første APT som brukte et nettangrep for å forstyrre fysisk infrastruktur. Stuxnet-ormen ble antatt å ha blitt utviklet av USA og Israel, og målrettet mot de industrielle kontrollsystemene til et iransk kjernekraftverk.
Selv om Stuxnet ser ut til å ha blitt utviklet for å angripe iranske kjernefysiske anlegg, har den spredt seg langt utover det tiltenkte målet, og kan også brukes mot industrifasiliteter i vestlige land, inkludert USA.
Et av de mest fremtredende eksemplene på en APT var bruddet på RSA, et datamaskin- og nettverkssikkerhetsselskap. I mars 2011 sprang RSA en lekkasje da den ble penetrert av et spydfiskeangrep som koblet en av sine ansatte og resulterte i en enorm fangst for cyberattackers.
I et åpent brev til RSA lagt ut av kunder til selskapets nettsted i mars 2011, sa konserndirektør Art Coviello at et sofistikert APT-angrep hadde trukket ut verdifull informasjon relatert til dets SecurID-tofaktorautentiseringsprodukt brukt av eksterne arbeidere for å få sikker tilgang til selskapets nettverk .
"Selv om vi på dette tidspunktet er sikre på at informasjonen som er hentet ut ikke muliggjør et vellykket direkte angrep på noen av våre RSA SecurID-kunder, kan denne informasjonen potensielt brukes til å redusere effektiviteten til en nåværende implementering av to faktorer for godkjenning som en del av en bredere angrep, "sa Coviello.
Men det viste seg at Coviello var galt med det, da mange RSA SecurID-tokenkunder, inkludert den amerikanske forsvarsgiganten Lockheed Martin, rapporterte om angrep som følge av RSA-bruddet. I et forsøk på å begrense skader, gikk RSA med på å erstatte tokens for sine nøkkelkunder.
Hvor APTs?
En ting er sikkert: APT-er vil fortsette. Så lenge det er sensitiv informasjon å stjele, vil organiserte grupper følge den. Og så lenge nasjoner eksisterer, vil det være spionasje og sabotasje - fysisk eller cyber.
Det er allerede en oppfølging av Stuxnet-ormen, kalt Duqu, som ble oppdaget høsten 2011. Som en sovende agent, innebygde Duqu raskt seg i viktige industrisystemer og samler intelligens og gir sin tid. Du kan være trygg på at det studerer designdokumenter for å finne svake steder for fremtidige angrep.
Sikkerhetstrusler fra det 21. århundre
Sikkert vil Stuxnet, Duqu og deres arvinger i økende grad plage regjeringer, operatører av kritisk infrastruktur og fagfolk innen informasjonssikkerhet. Det er på tide å ta disse truslene like alvorlig som hverdagens livlige informasjonssikkerhetsproblemer i det 21. århundre.