Постоянная серьёзная угроза: различия между версиями

Интерактивная навигация по истории

(Показать все непатрулированные изменения)

[непроверенная версия]

← Предыдущая правка Следующая правка →

Содержимое удалено Содержимое добавлено

ВизуальныйВики-текст

Линейный

Версия от 09:27, 31 октября 2016

APT (англ. advanced persistent threat — «развитая устойчивая угроза»; также целевая кибератака^[1]) — противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать возможности для достижения целей посредством различных векторов нападения (например, информационных, физических и обманных). Эти цели обычно включают установление и расширение своего присутствия внутри информационно-технологической инфраструктуры целевой организации для осуществления намерений извлечения информации, срыва или создания помех критическим аспектам выполняемой задачи, программы или службы; либо для того, чтобы занять позицию, позволяющую осуществить эти намерения в будущем. APT, как «развитая устойчивая угроза»: добивается своих целей неоднократно в течение длительного времени; адаптируется к усилиям защищающихся оказать угрозе сопротивление; имеет установку сохранить уровень проникновения в целевой инфраструктуре, требуемый для осуществления намерений.^[2]^[3]

Термин APT изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой. Атака APT превосходит обычные киберугрозы, т.к. ориентируется на взлом конкретной цели и готовится на основании информации о цели, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии».^[4]^[5]

По состоянию на 2015 г., прогресс в деле противодействия угрозам класса APT находится в стадии становления. Обнаружение APT требует анализа событий безопасности за длительный срок и может занимать несколько месяцев^[6]. Трудным и отличительным аспектом последствий атаки APT является отсутствие гарантии полного восстановления и дальнейшей безопасности. Для внедрения должных контрмер требуется понимание сущности, моделей и рисков APT.^[7]

Определения

Целевая кибератака (таргетированная кибератака^[1]) - вид кибератаки, процесс которой контролируется вручную в реальном времени человеком, являющимся центром атаки. Целью данной атаки является хищение защищенной информации из информационной системы конкретной компании, организации или государственной службы. Важной отличительной особенностью таргетированных атак можно назвать их продолжительность, длительный и ресурсозатратный период подготовки, а так же использование не только технических и компьютерных средств для ее осуществления^[1]^[8]. Комплексный подход к построению атаки может включать активное воздействие на людей с помощью психологии и методов социальной инженерии совместно с атаками нулевого дня (zero-day exploits)^[4]^[9].

Термин APT может так же использоваться для обозначения комплекса всевозможных технических и программных средств, утилит и ПО, необходимый для совершения целевой атаки. В настоящий момент существует огромное множество всевозможных средств атаки, к которым потенциальные злоумышленники могут получить доступ в сети и на теневых рынках. Большинство современных систем безопасности не требуют создания уникальных средств для взлома и поддаются уже имеющимся инструментам в нужной комбинации и при нужной стратегии^[10].

Опасность APT-атак

Таргетированная атака может представлять серьезную угрозу информационной безопасности компании из-за сложности обнаружения и тяжести последствий. В среднем, обнаружение, атаки происходит спустя 200 дней после ее начала. И даже после установления факта присутствия APT в своей сети, компании не всегда способны избавиться от угрозы или хотя бы минимизировать ее влияние. Это приводит к долгому простою в работе вызванному попытками восстановить контроль, а так же расследовать инцидент. Материальные потери от крупных атак в среднем по миру составляют $551000^[11].

Основные цели атак

Таргетированная атака может преследовать самые разные цели^[10]^[12].

в сфере телекома: атака на корпоративных клиентов, манипуляции почтовым севером в целях социальной инженерии, манипуляции раскрученными веб ресурсами в целях фишинга и тд;
в сфере финансов: хищение денежных средств или персональных данных;
в государственном секторе: шпионаж, манипулирование информацией, нарушение доступности серверов, хищение персональных данных;
в сфере бизнеса: хищение денежных средств, манипулирование бизнесс-процессами, ослабление в конкурентной борьбе, шантаж и вымогательство, хищение персональных данных;
в сфере медицины: хищение информации о пациентах, атака на телеуправляемое медицинское оборудование.

Этапы

Выделяют 4 стадии целевой атаки (подготовка, проникновение, распространение, достижение цели), каждая из которых сопровождается деятельностью, направленной на сокрытие следов присутствия в системе ^[1]^[3]^[10]^[8].

Подготовка

Подготовка включает в себя определение цели, нахождение максимального количества информации о ней, выявление слабых мест в системе безопасности. Затем производится выработка стратегии, подбираются средства из ранее созданных либо создаются новые, специализированные,затем они тестируются на моделях. Выбор какого-либо организации в качестве цели, а так же определение задач предстоящей атаки, производится по заказу заинтересованных лиц, либо после мониторинга рынка в частном порядке. В качестве инструмента мониторинга обычно выступают общедоступные методы, такие как RSS-рассылки, официальные аккаунты компаний в соц сетях, различные профильные форумы, на которых могут проявлять активность сотрудники целевых компаний.

Дальнейшая разведка производится для обнаружения уязвимостей. И, поскольку технические средства, используемые для защиты инфосети, являются неразглашаемой информацией, слабости системы пытаются обнаружить любым доступным методом, в том числе посредством социальной инженерии

Некоторые способы проведения разведки^[4]^[13].

Инсайд. Преступники получают необходимую информацию от недавно уволенных или действующих сотрудников компании. При этом не обязательно через прямой подкуп или шантаж, экс-сотрудник может даже не осознавать, что стал источником приватных данных. Например, довольно распространенный прием: бывшего сотрудника компании приглашают на собеседование на новую должность, которая может его заинтересовать. В ходе собеседования подставной HR-специалист провоцирует сотрудника проявить свои качества, тем самым выдав информацию о прежнем месте работы.

Открытые источники. Недобросовестность компаний в отношении уничтожения бумажных носителей информации, выкладывание списков с именами сотрудников на официальных сайтах, государственные порталы и т.д. позволяют злоумышленникам собрать достаточно полную информацию о компании-жертве. А именно, имена сотрудников, e-mail'ы и телефоны; графики работы подразделений компании; различную внутреннюю информацию, а так же информацию о бизнесс-партнерах. Вся полученная таким способом информация успешно используется в методах социальной инженерии, что бы заполучить доверие и/или обмануть сотрудников компании

Социальная инженерия. Включает в себя множество методов. Например, общаясь с сотрудником-жертвой через социальные сети или с помощью телефонных звонков, преступники представляются именами внутренних сотрудников, что бы получить нужную информацию или заставить сделать необходимое действие.

После тщательной проработки стратегии, учитывающей все этапы проникновения, в том числе действия преступников в случае нештатных ситуаций, они создают так называемый стенд, полностью действующая модель атакуемого ПО и системы. эта модель позволяет отработать техники внедрения, отследить возможные каналы обхода средств обнаружения и убедится в возможности скрыть все следы проникновения.

Следует отметить, что на этот и последующие этапы могут оказаться весьма денежно затратными для преступников. В частности, при подборе инструментов нападения, требуется сопоставить денежные затраты на покупку необходимого с трудо- и времязатратами, необходимыми преступникам для написания собственных инструментов нападения.

Как правило, набор инструментов (Toolset) состоит из командного центра (C&C), инструментов проникновения и основного вредоносного модуля.

Проникновение

На этом этапе используются уязвимости нулевого для а так же все возможные техники социальной инженерии. после удостоверения в проникновении на нужный хост, злоумышленник дает команду на инициализацию вредоносного кода через центр управления (C&C).

Основные средства проникновения и их назначение:

Эксплойт (Exploit) - основной инструмент проникновения. ПО может доставляться с помощью электронной почты, веб-сайтов или USB-устройств

Валидатор - программа для сбора и проверки информации с зараженного хоста и передача ее (в зашифрованном виде) в центр управления, где человек предпринимает решение о том, стоит ли продолжать атаку. Им отдается соответствующая команда: загрузить Dropper для начала атаки, либо дается команда на самоуничтожение, если данные на хосте не имеют ценности, либо вхождение в процесс ожидания, если решение отложено. ПО доставляется по электронной почте, через веб-сайты и гораздо реже через USB-устройства. Важной особенностью данного ПО является его безопасность для преступников. Даже в случае перехвата со стороны службы безопасности, программа не несет информации ни о самой атаке, ни об атакующих.

Downloader - программа для быстрого заражения точки, фишинга через вложения в почте, либо через фишинговые сайты. При запуске доставляет основной вредоносный модуль Payload либо Dropper.

Dropper - троянская программа для доставки (через скрытую автозагрузку) модуля Payload на машину жертвы. Доставляется через электронную почту, веб-сайты, эксплойт и валидатор. Обычно, программа встраивает собственный код в код самого активного процесса, работающего на данном компьютере, непосредственно в оперативной памяти.

Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных доп. модулей, каждый из которых будет выполнять свою функцию:
- клавиатурный шпион;
- запись экрана;
- удаленный доступ;
- модуль распространения внутри инфраструктуры;
- взаимодействие с C&C и обновление;
- шифрование;
- очистка следов активности, самоуничтожение;
- чтение локальной почты;
- поиск информации на диске.

Сам модуль создается с многоуровневым шифрованием, для защиты от обнаружения атаки и для сокрытия информации о преступниках.

Распространение

В данную фазу злоумышленник старается максимально распространить свой код по информационной сети, ориентируясь на ключевые точки, рабочие станции и сервера, необходимые для осуществления целей атаки. Он использует удаленный доступ RDP, и работает под легитимными администраторскими правами и не может быть замечен системой безопасности

Достижение цели

На этом этапе происходит либо хищение, либо изменение закрытой информации, либо иные манипуляции, требующиеся злоумышленнику. За ним следует сокрытие следов и, при необходимости, оставление точек возврата в систему.

Способы борьбы с APT-угрозами

Основным способом противостояния целевым атакам является недопущение их начала, поскольку активную атаку крайне сложно заметить. Среди стандартных технических средств предотвращения можно выделить сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки приложений, а так же использование межсетевых экранов и межсегментного контроля, IDS/IPS, SIEM, контент-фильтры, совместное использование файловых антивирусов и актуальная анти-спам политика для устранения угроз со стороны массовых рассылок ( например, запароленных архивов с вредоносным кодом). Немаловажной частью предотвращения APT-атак является обучение персонала правильной политике информационной безопасности.^[7]

Если атака все-таки была начата, или есть предположение о ее наличии, ставится задача обнаружения и локализации. Хотя существует целый комплекс различных мер, направленных на обнаружение APT, они оказываются малоэффективны^[3]. Среди таких мер можно выделить сервисы, предлагающие проверки системы, достаточно компетентных специалистов по безопасности, автоматизированные системы обработки событий безопасности, а так же актуальные данные о существующих угрозах, например, Threat Data Feeds - сервис, содержащий следующую информацию:

Набор URL-адресов, соответствующих наиболее зловредным ссылкам и Web-сайтам.
IP-репутация – градация IP-адресов по уровню безопасности.
Набор файловых хэшей, охватывающий вредоносные программы.
Активность ботнет-сетей.

Если подтверждается факт атаки, должны быть предприняты меры по ее остановке, выясняется нанесенный ущерб. ^[14]^[12]^[11]

Однако, даже если угроза была обнаружена и были приняты корректирующие меры, APT может оставаться в системе годами.

Примеры удачных APT-атак

Далеко не все инциденты с APT-атаками становятся известны широкой публике, поскольку общественные заявления об атаке могут спровоцировать новые атаки, а так же дать преступникам возможность учесть ошибки. Однако, некоторые крупные атаки были документированы^[9].

1998-2000

Moonlight Maze - успешная атака на Пентагон, NASA, и министерство энергетики США

2006

Атака сетей двух американских конгрессменов. Предположительная цель - информация о диссидентах в Пекине

2007

Продолжение взлома конгрессменов.
Oak Ridge National Laboratory - пример удачного использования социальной инженерии, преступники получили легальный доступ к системе через e-mail'ы, после чего, предположительно, похитили информацию из баз данных лаборатории.
Los Alamos National Laboratory - один из инцидентов среди массового нападения на американские лаборатории.

2008

Атака на министерство обороны США. Иностранным агентам удалось установить вредоносную программу в систему министерства с помощью USB-флэш накопителя. Код распространился на огромное число компьютеров.
Office of His Holiness the Dalai Lama - преступники получили пользовательский пароль к системе, а затем в легитимном письме подменили содержимое, что бы получить удаленный доступ к системе OHHDL.

2009

GhostNet - самая крупная акция кибершпионажа, более 1000 компьютерных сетей, в том числе правительственных, в более чем 100 странах.
Stuxnet - нападение некоторой организации, предположительно находящейся в Иране, на ряд компаний, с использованием червя Stuxnet, совершалось с целью перепрограммировать промышленные системы управления газопроводом и энергоустановок.
Night Dragon - атака направленная против глобальных нефтяных и бензиновых компаний. Злоумышленники использовали социальную инженерию и уязвимости системы Windows, что бы получить доступ к внутренним аккаунтам и информации.
Operation Aurora - атака на инфраструктуру компании Google с целью похитить исходный код.

2010

Stuxnet
Australian Resource Sector - атака на три крупные австралийские ресурсодобывающие компании: BHP Billiton, Fortescue Metals Group и Rio Tinto.
Атака на французское правительство - преступники получили возможность удаленно контролировать правительственные компьютеры и извлекать документы на протяжении более чем 3 месяцев.

2011

Атака на французское правительство
Атака на канадское правительство - преступникам удалось подделать электронные письма сотрудникам, как если бы они приходили от начальства. Сами письма несли вредоносное ПО, которое дало доступ преступникам к секретным данным.
Атака на австралийское правительство - преступники получили доступ к высшей правительственной переписке не менее чем на месяц.
Comodo Affiliated Root Authority - атака на центр сертификации, в результате которой в сети появились поддельные SSH сертификаты известных доменов, например mail.google.com, www.google.com, login.yahoo.com,login.skype.com, и т.д.
Oak Ridge National Laboratory - преступники воспользовались атакой нулевого дня для Internet Explorer, остается неизвестным, были ли похищены какие-либо данные, однако работа лаборатории была остановлена на двое суток.
Атака на международный валютный фонд. Потребовала написания уникального ПО, в результате чего преступники получили доступ к важной политической и экономической безопасности.

Известные преступные группировки

Разработкой и планированием занимаются группы людей, обладающих достаточными знаниями. Чаще всего целью их нападения становятся банковские системы^[15]

Carbanac
METEL
GCMAN
Blue Termit

См. также

Примечания

↑ ¹ ² ³ ⁴ Kim, Y. ; Kim, I. Involvers’ Behavior-based Modeling in Cyber Targeted Attack (англ.) // IARIA. — 2014. — P. 132-137. — ISSN 978-1-61208-376-6.
↑ Cyber Risk Remediation Analysis // The MITRE Corporation. — 2014. — С. 184-191. — ISBN 978-0-615-97442-2.
↑ ¹ ² ³ Chen, P.; Desmet, L.;Huygens, C. A study on Advanced Persistent Threats (англ.) // Springer Berlin Heidelberg. — 2014. — P. 63-72. — doi:10.1007/978-3-662-44885-4_5.
↑ ¹ ² ³ Katharina Krombholz, Heidelinde Hobel, Markus Huber, Edgar Weippl. Advanced Social Engineering Attacks (англ.) // Journal of Information Security and Applications. — P. 113-122. — doi:10.1016/j.jisa.2014.09.005.
↑ Jeun, I., Lee, Y., Won, D. A practical study on advanced persistent threats (англ.) // Computer Applications for Security, Control and System Engineering. — 2012. — P. 144-152. — doi:10.1007/978-3-642-35264-5_21.
↑ Lee, C.-Y., Lee, T.-J., Park, H.-R. The characteristics of APT attacks and strategies of countermeasure (англ.) // Future Information Engineering. — 2014. — P. 215-220. — doi:10.2495/ICIE130251.
↑ ¹ ² Awan, M.; Burnap, P.; Rana, O. Estimating Risk Boundaries for Persistent and Stealthy Cyber-Attacks (англ.) // ACM. — 2015. — doi:10.1145/2809826.2809830.
↑ ¹ ² Advanced Threat Protection with SecureWorks (неопр.). www.secureworks.com. Дата обращения: 30 октября 2016.
↑ ¹ ² COMMAND FIVE PTY LTD - Engineering Innovation | Research (неопр.). www.commandfive.com. Дата обращения: 28 октября 2016.
↑ ¹ ² ³ Левцов, В.; Демидов, Н. Анатомия таргетированной атаки, Часть 1 (рус.) // Журнал "Information Security/ Информационная безопасность". — 2016. — № 2. — С. 36-39.
↑ ¹ ² Отчет об исследовании (неопр.). Информационная Безопасность Бизнеса. Лаборатория Касперского (2014).
↑ ¹ ² Таргетированные атаки и как с ними бороться (неопр.). www.iemag.ru. Дата обращения: 30 октября 2016.
↑ В. В. Андрианов С. Л. Зефиров В. Б. Голованов Н. А. Обеспечение информационной безопасности бизнеса. — Центр Исследований Платежных Систем и Расчетов, 2011. — ISBN 978-5-9614-1364-9.
↑ Левцов, В.; Демидов, Н. Анатомия Таргетированной Атаки, часть 3 (рус.) // Журнал "Information Security/ Информационная безопасность". — 2016. — № 4. — С. 40-45.
↑ "Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0". Securelist - Всё об интернет-безопасности. 2016-02-15. Дата обращения: 30 октября 2016.

Литература

Научно-технические источники

Awan, M. S. Estimating Risk Boundaries for Persistent and Stealthy Cyber-Attacks // Proceedings of the 2015 Workshop on Automated Decision Making for Active Cyber Defense : [англ.] / Awan, M. S., Burnap, P., Rana, O. F.. — ACM, 2015. — P. 15-20. — doi:10.1145/2809826.2809830.
Butt, M. I. A. BIOS integrity and advanced persistent threat // 2014 Conference on Information Assurance and Cyber Security : [англ.]. — IEEE, 2014. — P. 47-50. — doi:10.1109/CIACS.2014.6861331.
Chen, P. A Study on Advanced Persistent Threats // Communications and Multimedia Security : [англ.] / Chen, P., Desmet, L., Huygens, C.. — Springer Berlin Heidelberg^[англ.]^*, 2014. — P. 63-72. — doi:10.1007/978-3-662-44885-4_5.
Jeun, I. A practical study on advanced persistent threats // Computer Applications for Security, Control and System Engineering : [англ.] / Jeun, I., Lee, Y., Won, D.. — Springer Berlin Heidelberg^[англ.]^*, 2012. — P. 144-152. — doi:10.1007/978-3-642-35264-5_21.
Kim, Y. Involvers’ Behavior-based Modeling in Cyber Targeted Attack // Eighth International Conference on Emerging Security Information, Systems and Technologies : [англ.] / Kim, Y., Kim, I.. — IARIA, 2014. — P. 132-137. — ISBN 978-1-61208-376-6.
Krombholz, K. Advanced social engineering attacks : [англ.] / Krombholz, K., Hobel, H., et al. // Journal of Information Security and Applications. — 2015. — Vol. 22 (June). — P. 113-122. — doi:10.1016/j.jisa.2014.09.005.
Lee, C.-Y. The characteristics of APT attacks and strategies of countermeasure // Future Information Engineering : [англ.] / Lee, C.-Y., Lee, T.-J., Park, H.-R.. — WIT Press^[англ.], 2014. — P. 215-220. — doi:10.2495/ICIE130251.
Virvilis, N. Trusted Computing vs. Advanced Persistent Threats: Can a defender win this game? // 2013 IEEE 10th International Conference on Ubiquitous Intelligence and Computing and 2013 IEEE 10th International Conference on Autonomic and Trusted Computing : [англ.] / Virvilis, N., Gritzalis, D., Apostolopoulos, T.. — IEEE, 2013. — P. 396-403. — doi:10.1109/UIC-ATC.2013.80.

Экспертные рекомендации

Cyber Risk Remediation Analysis // Systems Engineering Guide : [англ.]. — MITRE^[англ.], 2014. — P. 184-191. — ISBN 978-0-615-97442-2.
Pingree, L. Best Practices for Mitigating Advanced Persistent Threats : [англ.] / Pingree, L., MacDonald, N., Firstbrook, P.. — Gartner, 2013.
The Advanced Persistent Threat: Practical Controls the SMB Leaders Should Consider Implementing : [англ.]. — Internet Security Alliance^[англ.], 2013.

Профессиональные издания

Левцов, В. Анатомия таргетированной атаки / В. Левцов, Н. Демидов // Information Security/Информационная безопасность. — 2016. — № 2. — P. 36-39.

Публицистика

Pauli, D. Security researchers face wrath of spy agencies : [англ.] // The Register. — 2015. — 22 October.
Weinberger, S.^[англ.]. Computer security: Is this the start of cyberwarfare? : [англ.] // Nature. — 2011. — Vol. 474, no. 7350. — P. 142-145. — doi:10.1038/474142a.

Ссылки

Хроника целевых кибератак (неопр.). SecureList.
Advanced Persistent Threat (неопр.). Anti-Malware.ru.
Advanced Persistent Threats (англ.). Infosecurity Magazine.
APT (англ.). SC Magazine UK.

[:0-1] ¹ ² ³ ⁴ Kim, Y. ; Kim, I. Involvers’ Behavior-based Modeling in Cyber Targeted Attack (англ.) // IARIA. — 2014. — P. 132-137. — ISSN 978-1-61208-376-6.

[2] Cyber Risk Remediation Analysis // The MITRE Corporation. — 2014. — С. 184-191. — ISBN 978-0-615-97442-2.

[:6-3] ¹ ² ³ Chen, P.; Desmet, L.;Huygens, C. A study on Advanced Persistent Threats (англ.) // Springer Berlin Heidelberg. — 2014. — P. 63-72. — doi:10.1007/978-3-662-44885-4_5.

[:2-4] ¹ ² ³ Katharina Krombholz, Heidelinde Hobel, Markus Huber, Edgar Weippl. Advanced Social Engineering Attacks (англ.) // Journal of Information Security and Applications. — P. 113-122. — doi:10.1016/j.jisa.2014.09.005.

[5] Jeun, I., Lee, Y., Won, D. A practical study on advanced persistent threats (англ.) // Computer Applications for Security, Control and System Engineering. — 2012. — P. 144-152. — doi:10.1007/978-3-642-35264-5_21.

[6] Lee, C.-Y., Lee, T.-J., Park, H.-R. The characteristics of APT attacks and strategies of countermeasure (англ.) // Future Information Engineering. — 2014. — P. 215-220. — doi:10.2495/ICIE130251.

[:8-7] ¹ ² Awan, M.; Burnap, P.; Rana, O. Estimating Risk Boundaries for Persistent and Stealthy Cyber-Attacks (англ.) // ACM. — 2015. — doi:10.1145/2809826.2809830.

[:1-8] ¹ ² Advanced Threat Protection with SecureWorks (неопр.). www.secureworks.com. Дата обращения: 30 октября 2016.

[:4-9] ¹ ² COMMAND FIVE PTY LTD - Engineering Innovation | Research (неопр.). www.commandfive.com. Дата обращения: 28 октября 2016.

[:3-10] ¹ ² ³ Левцов, В.; Демидов, Н. Анатомия таргетированной атаки, Часть 1 (рус.) // Журнал "Information Security/ Информационная безопасность". — 2016. — № 2. — С. 36-39.

[:7-11] ¹ ² Отчет об исследовании (неопр.). Информационная Безопасность Бизнеса. Лаборатория Касперского (2014).

[:5-12] ¹ ² Таргетированные атаки и как с ними бороться (неопр.). www.iemag.ru. Дата обращения: 30 октября 2016.

[13] В. В. Андрианов С. Л. Зефиров В. Б. Голованов Н. А. Обеспечение информационной безопасности бизнеса. — Центр Исследований Платежных Систем и Расчетов, 2011. — ISBN 978-5-9614-1364-9.

[14] Левцов, В.; Демидов, Н. Анатомия Таргетированной Атаки, часть 3 (рус.) // Журнал "Information Security/ Информационная безопасность". — 2016. — № 4. — С. 40-45.

[15] "Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0". Securelist - Всё об интернет-безопасности. 2016-02-15. Дата обращения: 30 октября 2016.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

@@ Строка 3: / Строка 3: @@
 '''APT''' ({{lang-en|'''a'''dvanced '''p'''ersistent '''t'''hreat}} — «развитая устойчивая угроза»; также '''целевая кибератака'''<ref name=":0" />) — противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать возможности для достижения целей посредством различных векторов нападения (например, [[атака на информационную систему|информационных]], физических и [[обман]]ных). Эти цели обычно включают установление и расширение своего присутствия внутри информационно-технологической [[информационная инфраструктура|инфраструктуры]] целевой организации для осуществления намерений [[утечка информации|извлечения информации]], [[диверсия|срыва или создания помех]] критическим аспектам выполняемой задачи, программы или службы; либо для того, чтобы занять позицию, позволяющую осуществить эти намерения в будущем. APT, как «развитая устойчивая угроза»: добивается своих целей неоднократно в течение длительного времени; адаптируется к усилиям защищающихся оказать угрозе сопротивление; имеет установку сохранить уровень [[несанкционированный доступ|проникновения]] в целевой инфраструктуре, требуемый для осуществления намерений.<ref>{{Статья|автор=|заглавие=Cyber Risk Remediation Analysis|ссылка=https://www.mitre.org/publications/systems-engineering-guide/enterprise-engineering/systems-engineering-for-mission-assurance/cyber-risk-remediation-analysis|язык=|издание=The MITRE Corporation|тип=|год=2014|месяц=|число=|том=|номер=|страницы=184-191|isbn=978-0-615-97442-2|issn=}}</ref><ref name=":6">{{Статья|автор=Chen, P.; Desmet, L.;Huygens, C.|заглавие=A study on Advanced Persistent Threats|ссылка=https://lirias.kuleuven.be/bitstream/123456789/461050/1/2014-apt-study.pdf|язык=en|издание=Springer Berlin Heidelberg|тип=|год=2014|месяц=|число=|том=|номер=|страницы=63-72|issn=|doi=10.1007/978-3-662-44885-4_5}}</ref>
-Термин APT изначально использовался для описания кибернападений на [[военная организация|военные организации]], но более не ограничен военной сферой. Обычные контрмеры ([[патч]]и, [[антивирус]], [[межсетевой экран]], [[система обнаружения вторжений|IDS]]/[[система предотвращения вторжений|IPS]], [[SIEM]], [[контент-фильтр]]ы, и т.д.) необходимы, но не достаточны для защиты от APT.<ref name=":6" /> Атака APT превосходит обычные киберугрозы, т.к. ориентируется на взлом конкретной цели и готовится на основании информации о цели, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных [[уязвимость (компьютерная безопасность)|уязвимостей]] и методов «[[социальная инженерия|социальной инженерии]]».{{sfn|Jeun, Lee & Won|2012}}{{sfn|Krombholz, Hobel, et al.|2015}}
+Термин APT изначально использовался для описания кибернападений на [[военная организация|военные организации]], но более не ограничен военной сферой.  Атака APT превосходит обычные киберугрозы, т.к. ориентируется на взлом конкретной цели и готовится на основании информации о цели, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных [[уязвимость (компьютерная безопасность)|уязвимостей]] и методов «[[социальная инженерия|социальной инженерии]]».<ref name=":2" /><ref>{{Статья|автор=Jeun, I., Lee, Y., Won, D.|заглавие=A practical study on advanced persistent threats|ссылка=|язык=en|издание=Computer Applications for Security, Control and System Engineering|тип=|год=2012|месяц=|число=|том=|номер=|страницы=144-152|issn=|doi=10.1007/978-3-642-35264-5_21}}</ref>
-По состоянию на 2015 г., прогресс в деле противодействия угрозам класса APT находится в стадии становления. Обнаружение APT требует анализа [[журналирование|событий]] [[компьютерная безопасность|безопасности]] за длительный срок и может занимать несколько месяцев{{sfn|Lee, Lee & Park|2014}}. Трудным и отличительным аспектом последствий атаки APT является отсутствие гарантии полного восстановления и дальнейшей безопасности: даже если угроза была обнаружена и [[системный администратор|системными администраторами]] были приняты корректирующие меры, APT может оставаться в системе годами. Для внедрения должных контрмер требуется понимание [[сущность|сущности]], [[модель|моделей]] и [[риск]]ов APT.{{sfn|Awan, Burnap & Rana|2015}}
+По состоянию на 2015 г., прогресс в деле противодействия угрозам класса APT находится в стадии становления. Обнаружение APT требует анализа [[журналирование|событий]] [[компьютерная безопасность|безопасности]] за длительный срок и может занимать несколько месяцев<ref>{{Статья|автор=Lee, C.-Y., Lee, T.-J., Park, H.-R|заглавие=The characteristics of APT attacks and strategies of countermeasure|ссылка=|язык=en|издание=Future Information Engineering|тип=|год=2014|месяц=|число=|том=|номер=|страницы=215-220|issn=|doi=10.2495/ICIE130251}}</ref>. Трудным и отличительным аспектом последствий атаки APT является отсутствие гарантии полного восстановления и дальнейшей безопасности. Для внедрения должных контрмер требуется понимание [[сущность|сущности]], [[модель|моделей]] и [[риск]]ов APT.<ref name=":8">{{Статья|автор=Awan, M.; Burnap, P.; Rana, O.|заглавие=Estimating Risk Boundaries for Persistent and Stealthy Cyber-Attacks|ссылка=http://sci-hub.io/10.1145/2809826.2809830|язык=en|издание=ACM|тип=|год=2015|месяц=|число=|том=|номер=|страницы=|issn=|doi=10.1145/2809826.2809830}}</ref>
 == Определения ==
@@ Строка 73: / Строка 73: @@
 == Способы борьбы с APT-угрозами ==
-Основным способом противостояния целевым атакам является их ''предотвращение'', поскольку активную атаку крайне сложно заметить. Среди технических средств предотвращения можно выделить  сигнатурный анализ, исполнение правил для сетевых соединений, [[Чёрный список|черные]] и белые списки приложений, а так же использование межсетевых экранов и межсегментного контроля, совместное использование файловых [[Антивирусная программа|антивирусов]] и актуальная [[Технологии борьбы со спамом|анти-спам]] политика для устранения угроз со стороны массовых [[Рассылка электронной почты|рассылок]] ( например, запароленных архивов с вредоносным кодом). Немаловажной частью предотвращения APT-атак является обучение персонала правильной политике информационной безопасности.
+Основным способом противостояния целевым атакам является ''недопущение их начала'', поскольку активную атаку крайне сложно заметить. Среди стандартных технических средств предотвращения можно выделить [[сигнатурный анализ]], исполнение правил для сетевых соединений, [[Чёрный список|черные]] и белые списки приложений, а так же использование [[Межсетевой экран|межсетевых экранов]] и межсегментного контроля,  [[система обнаружения вторжений|IDS]]/[[система предотвращения вторжений|IPS]], [[SIEM]], [[контент-фильтр]]ы,  совместное использование файловых [[Антивирусная программа|антивирусов]] и актуальная [[Технологии борьбы со спамом|анти-спам]] политика для устранения угроз со стороны массовых [[Рассылка электронной почты|рассылок]] ( например, запароленных архивов с вредоносным кодом). Немаловажной частью предотвращения APT-атак является обучение персонала правильной политике информационной безопасности.<ref name=":8" />
-Если атака все-таки была начата, или есть предположение о ее наличии, ставится задача ее ''обнаружения'' и локализации. Хотя существует целый комплекс различных мер, направленных на обнаружение APT, они оказываются малоэффективны. Среди таких мер можно выделить сервисы, предлагающие проверки системы, достаточно компетентных специалистов по безопасности,  автоматизированные системы обработки событий безопасности, а так же актуальные данные о существующих угрозах, например, Threat Data Feeds  - сервис, содержащий  следующую информацию:
+Если атака все-таки была начата, или есть предположение о ее наличии, ставится задача  ''обнаружения'' и локализации. Хотя существует целый комплекс различных мер, направленных на обнаружение APT, они оказываются малоэффективны<ref name=":6" />. Среди таких мер можно выделить сервисы, предлагающие проверки системы, достаточно компетентных специалистов по безопасности,  автоматизированные системы обработки событий безопасности, а так же актуальные данные о существующих угрозах, например, Threat Data Feeds  - сервис, содержащий  следующую информацию:
 * Набор [[URL|URL-адресов]], соответствующих наиболее зловредным ссылкам и Web-сайтам.
 * IP-репутация – градация [[IP-адрес|IP-адресов]] по уровню безопасности.
 * Набор файловых хэшей, охватывающий вредоносные программы.
 * Активность [[ботнет]]-сетей.
-Если подтверждается факт атаки, должны быть предприняты меры по ее остановке, выясняется нанесенный ущерб. <ref>{{Статья|автор=Левцов, В.; Демидов, Н.|заглавие=Анатомия Таргетированной Атаки, часть 3|ссылка=|язык=ru|издание=Журнал "Information Security/ Информационная безопасность"|тип=|год=2016|месяц=|число=|том=|номер=4|страницы=40-45|issn=}}</ref><ref name=":5" /><ref name=":6" /><ref name=":7" />
+Если подтверждается факт атаки, должны быть предприняты меры по ее остановке, выясняется нанесенный ущерб. <ref>{{Статья|автор=Левцов, В.; Демидов, Н.|заглавие=Анатомия Таргетированной Атаки, часть 3|ссылка=|язык=ru|издание=Журнал "Information Security/ Информационная безопасность"|тип=|год=2016|месяц=|число=|том=|номер=4|страницы=40-45|issn=}}</ref><ref name=":5" /><ref name=":7" />
+Однако, даже если угроза была обнаружена и были приняты корректирующие меры, APT может оставаться в системе годами.
-==Примеры удачный APT-атак==
+==Примеры удачных APT-атак==
 Далеко не все инциденты с APT-атаками становятся известны широкой публике, поскольку общественные заявления об атаке могут спровоцировать новые атаки, а так же дать преступникам возможность учесть ошибки. Однако,  некоторые крупные атаки были документированы<ref name=":4" />.

Постоянная серьёзная угроза: различия между версиями

Версия от 09:27, 31 октября 2016

Содержание

Определения

Опасность APT-атак

Основные цели атак

Этапы

Подготовка

Проникновение

Распространение

Достижение цели

Способы борьбы с APT-угрозами

Примеры удачных APT-атак

Известные преступные группировки

См. также

Примечания

Литература

Ссылки

Навигация

Постоянная серьёзная угроза: различия между версиями

Версия от 09:27, 31 октября 2016

Определения

Опасность APT-атак

Основные цели атак

Этапы

Подготовка

Проникновение

Распространение

Достижение цели

Способы борьбы с APT-угрозами

Примеры удачных APT-атак

Известные преступные группировки

См. также

Примечания

Литература

Ссылки

Навигация

Поиск