Indholdsfortegnelse:
- Hvad er en APT?
- Hvordan er APT'er forskellige?
- Nogle eksempler på APT'er
- Hvor er APT'er?
- Sikkerhedstrusler fra det 21. århundrede
Et angreb på et computernetværk er ikke længere overskriftsnyheder, men der er en anden type angreb, der bringer bekymring med cybersikkerhed til det næste niveau. Disse angreb kaldes avancerede vedvarende trusler (APT). Find ud af, hvordan de adskiller sig fra daglige trusler, og hvorfor de er i stand til at påføre så meget skade i vores gennemgang af nogle højprofilerede sager, der er opstået i de sidste par år. (For baggrundslæsning, se de 5 mest uhyggelige trusler inden for teknik.)
Hvad er en APT?
Udtrykket avanceret vedvarende trussel (APT) kan referere til en angriber med betydelige midler, organisation og motivation til at udføre et vedvarende cyberangreb mod et mål.
En APT er ikke overraskende avanceret, vedvarende og truende. Det er avanceret, fordi det anvender stealth- og flere angrebsmetoder for at kompromittere et mål, ofte en virksomhed med høj værdi af virksomheder eller myndigheder. Denne type angreb er også vanskeligt at opdage, fjerne og tilskrive en bestemt angriber. Værre endnu, når et mål er blevet brudt, oprettes ofte bagdøre for at give angriberen løbende adgang til det kompromitterede system.
APT'er betragtes som vedvarende i den forstand, at angriberen kan tilbringe måneder med at indsamle efterretninger om målet og bruge denne intelligens til at starte flere angreb over en længere periode. Det er truende, fordi gerningsmænd ofte er efter meget følsomme oplysninger, såsom opstillingen af atomkraftværker eller koder for at bryde ind i amerikanske forsvarsentreprenører.
Et APT-angreb har generelt tre primære mål:
- Tyveri af følsom information fra målet
- Overvågning af målet
- Sabotage af målet
Forbrydere af APT'er bruger ofte betroede forbindelser til at få adgang til netværk og systemer. Disse forbindelser kan for eksempel findes gennem en sympatisk insider eller uvidende medarbejder, der falder bytte for et spyd phishing-angreb.
Hvordan er APT'er forskellige?
APT'er adskiller sig fra andre cyberattacks på flere måder. For det første bruger APT'er ofte tilpassede værktøjer og indtrængningsteknikker - såsom sårbarhedsudnyttelse, vira, orme og rodkits - designet specifikt til at trænge ind i målorganisationen. Derudover lancerer APT'er ofte flere angreb samtidigt for at overtræde deres mål og sikre løbende adgang til målrettede systemer, undertiden inklusive et lokkefugl for at narre målet til at tro, at angrebet er blevet afvist.
For det andet forekommer APT-angreb over lang tid, hvor angriberen bevæger sig langsomt og roligt for at undgå opdagelse. I modsætning til den hurtige taktik af mange angreb, der er lanceret af typiske cyberkriminelle, er APT's mål at forblive uopdaget ved at bevæge sig "lavt og langsomt" med kontinuerlig overvågning og interaktion, indtil angriberen når deres definerede mål.
For det tredje er APT'er designet til at opfylde kravene til spionage og / eller sabotage, som normalt involverer skjulte statslige aktører. Målet med en APT inkluderer militær, politisk eller økonomisk intelligensindsamling, fortrolige data eller handelshemmelighedstrussel, afbrydelse af operationer eller endda ødelæggelse af udstyr.
For det fjerde er APT'er rettet mod et begrænset antal yderst værdifulde mål. APT-angreb er iværksat mod regeringsorganer og -faciliteter, forsvarsentreprenører og producenter af højteknologiske produkter. Organisationer og virksomheder, der vedligeholder og driver national infrastruktur, er også sandsynligvis mål.
Nogle eksempler på APT'er
Operation Aurora var en af de første bredt publicerede APT'er; serien af angreb mod amerikanske virksomheder var sofistikeret, målrettet, stealthy og designet til at manipulere mål.Attackerne, der blev udført i midten af 2009, udnyttede en sårbarhed i Internet Explorer-browseren, hvilket gjorde det muligt for angriberen at få adgang til computersystemer og downloade malware til disse systemer. Computersystemerne var forbundet til en ekstern server, og intellektuel ejendom blev stjålet fra virksomhederne, der inkluderede Google, Northrop Grumman og Dow Chemical. (Læs om andre skadelige angreb i ondsindet software: Worms, trojanere og bots, Oh My!)
Stuxnet var den første APT, der brugte et cyberangreb for at forstyrre den fysiske infrastruktur. Menes at være udviklet af De Forenede Stater og Israel, målrettede Stuxnet-ormen de industrielle kontrolsystemer i et iransk atomkraftværk.
Selv om Stuxnet ser ud til at være udviklet til at angribe iranske nukleare anlæg, har den spredt sig langt ud over dets tilsigtede mål og kunne også bruges mod industrianlæg i vestlige lande, herunder De Forenede Stater.
Et af de mest fremtrædende eksempler på en APT var bruddet på RSA, et computer- og netværkssikkerhedsfirma. I marts 2011 sprang RSA en lækage, da den blev gennemtrængt af et spyd-phishing-angreb, der koblet en af dens ansatte og resulterede i en enorm fangst for cyberangreb.
I et åbent brev til RSA, der blev sendt af kunder til virksomhedens websted i marts 2011, sagde udøvende formand Art Coviello, at et sofistikeret APT-angreb havde udvundet værdifuld information relateret til dets SecurID-tofaktorautentifikationsprodukt, der blev brugt af fjernarbejdere til sikker adgang til deres virksomheds netværk .
"Selvom vi på nuværende tidspunkt er sikre på, at de udpakkede oplysninger ikke muliggør et vellykket direkte angreb på nogen af vores RSA SecurID-kunder, kunne disse oplysninger potentielt bruges til at reducere effektiviteten af en nuværende implementering af to faktorer til godkendelse som en del af en bredere angreb, ”sagde Coviello.
Men det viste sig, at Coviello var forkert, da mange RSA SecurID-tokenkunder, inklusive den amerikanske forsvarsgigant Lockheed Martin, rapporterede angreb, der skyldes RSA-bruddet. I et forsøg på at begrænse skader blev RSA enige om at udskifte tokens for sine nøglekunder.
Hvor er APT'er?
En ting er sikkert: APT'er fortsætter. Så længe der er følsomme oplysninger at stjæle, vil organiserede grupper følge dem. Og så længe nationer findes, vil der være spionage og sabotage - fysisk eller cyber.
Der er allerede en opfølgning af Stuxnet-ormen, kaldet Duqu, som blev opdaget i efteråret 2011. Som en sovende agent indlejrede Duqu hurtigt sig i centrale industrielle systemer og indsamler intelligens og bider sin tid. Du kan være sikker på, at den studerer designdokumenter for at finde svage steder for fremtidige angreb.
Sikkerhedstrusler fra det 21. århundrede
Bestemt, Stuxnet, Duqu og deres arvinger vil i stigende grad plage regeringer, operatører af kritisk infrastruktur og fagfolk inden for informationssikkerhed. Det er på tide at tage disse trusler lige så alvorligt som de dagligdags problemer med informationssikkerheden i hverdagen i det 21. århundrede.
