تشخیص و حفاظت APT
تهدیدات پایدار پیشرفته علیرغم اینکه به طور معمول تشخیص داده می شوند، علائم هشداردهنده خاصی دارند. یک سازمان ممکن است نشانه های خاصی را پس از آن که توسط APT هدف قرار گرفته است مشاهده کند:
- فعالیت غیرمعمول در حساب های کاربری
- استفاده گسترده از نرم افزارهای مخرب تروجان درپشتی، روشی که امکان حفظ دسترسی را فراهم می کند.
- فعالیت های پایگاه داده های عجیب و غریب یا غیرمنتظره، مانند افزایش ناگهانی عملیات پایگاه داده شامل مقادیر عظیم داده ها
- حضور فایل های داده های غیر معمول، که ممکن است نشان دهنده داده هایی باشد که به فایل ها برای کمک به فرآیند اخطار کمک کرده است.
تشخیص ناهنجاری ها در داده های خروجی شاید بهترین راه برای متخصصان حرفه ای سایبری برای تعیین اینکه آیا یک شبکه هدف حمله APT بوده است یا خیر.
APT یک حمله چند منظوره است و دفاع باید شامل ابزارهای امنیتی و تکنیک های امنیتی باشد:
فیلتر ایمیل – اکثر حملات APT نفوذ فیشینگ برای بدست آوردن دسترسی اولیه است. فیلتر کردن ایمیل ها و مسدود کردن لینک های مخرب یا پیوست ها در ایمیل ها می تواند این تلاش ها برای نفوذ را متوقف کند.
حفاظت نقطه پایانی – تمام حملات APT شامل جذب دستگاه های نقاط پایانی است. حفاظت ضد بدافزار پیشرفته و تشخیص و پاسخ نقاط پایانی می تواند به شناسایی و واکنش به سازش یک نقطه پایانی توسط بازیگران APT کمک کند.
کنترل دسترسی – اقدامات احراز هویت قوی و مدیریت دقیق حساب های کاری، با تمرکز ویژه بر حساب های ممتاز، می تواند خطرات APT را کاهش دهد.
نظارت بر رفتار ترافیک، کاربر و نهاد – می تواند به شناسایی نفوذ، حرکت جانبی و انفجار در مراحل مختلف حمله APT کمک کند.