تهدیدات پایدار پیشرفته
این تهدیدات حملات هدفمند طولانی مدتی هستند که در آن مهاجم به یک شبکه نفوذ می کند و برای مدت طولانی با هدف سرقت داده ها ناشناخته می ماند. به عبارتی یک تهدید پایدار پیشرفته از تکنیک های هک مداوم، مخفیانه و پیچیده برای دسترسی به یک سیستم و ماندن در داخل آن برای مدت طولانی، با عواقب مخرب بالقوه استفاده می کند.
اهداف اصلی تهدیدات پایدار پیشرفته
به دلیل سطح تلاشی که برای انجام چنین حمله ای لازم است، APTها معمولاً در اهداف با ارزش بالا، مانند دولت های ملی و شرکت های بزرگ، با هدف نهایی سرقت اطلاعات در یک دوره زمانی طولانی انجام می شوند. مهاجمان APT به طور فزاینده ای از شرکت های کوچکتری که زنجیره تأمین هدف نهایی آنها را تشکیل می دهند به عنوان راهی برای دسترسی به سازمان های بزرگ استفاده می کنند. آنها از چنین شرکت هایی که معمولاً از دفاع کمتری برخوردارند به عنوان پله استفاده می کنند.
اهداف مهاجم APT و پیامدهایی که سازمان ها با آن روبرو هستند عبارتند از:
- سرقت اموال معنوی
- سرقت اطلاعات طبقه بندی شده
- سرقت اطلاعات قابل شناسایی شخصی یا سایر داده های حساس
- خرابکاری
- تصاحب کامل سایت
- بدست آوردن داده هایی در مورد زیرساخت ها برای اهداف شناسایی اخذ اعتبار سیستم های حیاتی
- دسترسی به ارتباطات حساس یا مجرمانه
ویژگی های منحصر بفرد تهدیدات پایدار پیشرفته
تعدادی نشانه مطمئن وجود دارد که به وجود حمله APT اشاره می کند. این علائم عبارتند از:
بازیگران – حملات معمولاً توسط بازیگرانی با یک مأموریت خاص انجام می شود. این بازیگران اغلب توسط دولت ها یا سازمان ها حمایت می شوند. به عنوان نمونه گروه های OilRig، Deep Panda و APT28 .
اهداف – تضعیف قابلیت های هدف یا جمع آوری اطلاعات در یک دوره طولانی. هدف از این خرابکاری یا استخراج داده ها می تواند استراتژیک یا سیاسی باشد.
به موقع بودن – حملات بر اطمینان از اینکه مهاجمان می توانند به آن دسترسی داشته باشند و برای مدت زمان قابل توجهی آن را حفظ کنند، تمرکز می کنند. اغلب مهاجمان در طول مدت حمله چندین بار به یک سیستم نفوذی باز می گردند.
منابع – حملات APT به منابع قابل توجهی برای برنامه ریزی و اجرا نیاز دارند که شامل تخصص امنیت و توسعه و میزبانی است.
تحمل ریسک – احتمال کمتری وجود دارد که مهاجمان از حملات گسترده استفاده کنند و در عوض روی اهداف خاصی تمرکز کنند. مهاجمان APT همچنین بیشتر مراقب هستند که گرفتار نشوند یا رفتار مشکوکی در یک سیستم ایجاد نکنند.
روش ها – حملات APT اغلب از تکنیک های پیچیده ای استفاده می کنند که به تخصص امنیتی نیاز دارند. این تکنیک ها می تواند شامل روت کیت ها، تونل سازی DNS و مهندسی اجتماعی باشد.
مبدأ حمله – حملات APT می توانند از مکان های مختلفی سرچشمه بگیرند و ممکن است در طول حمله ای که برای منحرف کردن تمرکز تیم های امنیتی طراحی شده است، رخ دهد. مهاجمان اغلب وقت می گذراند تا نقاط ضعف سیستم را قبل از انتخاب نقطه ورود به طور جامع ترسیم کنند.
ارزش حمله – مقدار حمله می تواند به اندازه هدف یا اندازه عملیات حمله اشاره کند. سازمان های بزرگ بیشتر از سازمان های کوچک هدف APTها قرار می گیرند. به همین ترتیب تعداد زیادی از انتقال داده ها معمولاً سازماندهی بیشتر مورد نیاز برای حملات APT را نشان می دهد.
توانایی دور زدن ابزارهای تشخیص سنتی – حملات APT معمولاً ابزارهای تشخیص سنتی را که بر تشخیص مبتنی بر امضا متکی هستند دور می زنند. برای انجام این کار مهاجمان از تکنیک های جدید مانند بدافزار بدون فایل استفاده می کنند یا از روش هایی استفاده می کنند که آنها را قادر می سازد تا اقدامات خود را مبهم کنند.