Ancaman Berterusan Lanjutan (APT) ialah kategori ancaman siber yang kompleks, sering ditaja oleh kerajaan, dicirikan oleh pendekatan berpanjangan, senyap dan disasarkan. APT biasanya menyasarkan entiti dengan maklumat bernilai tinggi, seperti pertahanan negara, pembuatan atau sektor kewangan.
Konteks Sejarah Ancaman Berterusan Lanjutan (APT)
Konsep Ancaman Berterusan Lanjutan (APT) timbul pada penghujung 2000-an, menjadi lebih arus perdana sekitar 2010 dengan pendedahan awam Operasi Aurora, satu siri serangan siber yang dijalankan oleh kumpulan APT Cina. Mereka menyasarkan beberapa syarikat berprofil tinggi, termasuk Google, mencuri harta intelek dan menjejaskan akaun pengguna. Insiden itu menandakan anjakan paradigma dalam landskap keselamatan siber, mendedahkan kecanggihan dan potensi kerosakan yang boleh ditimbulkan oleh APT.
Anatomi Ancaman Berterusan Lanjutan (APT)
APT biasanya melibatkan pelanggaran rangkaian oleh entiti yang tidak dibenarkan yang kekal tidak dapat dikesan untuk tempoh yang lama. Motif selalunya adalah pencurian data atau pengintipan, dengan kumpulan APT menggunakan taktik, teknik dan prosedur (TTP) yang canggih untuk mendapatkan kemasukan, kekal tersembunyi dan mencapai objektif mereka.
Kitaran hayat APT biasanya terdiri daripada peringkat berikut:
-
Akses Awal: Kumpulan APT mendapat akses kepada rangkaian, selalunya melalui spear-phishing, mengeksploitasi kelemahan atau menggunakan perisian hasad.
-
Penubuhan Pijakan: Sebaik sahaja di dalam, kumpulan itu menetapkan operasi mereka, mewujudkan pintu belakang untuk memastikan akses berterusan.
-
Peningkatan Keistimewaan: Aktor ancaman cuba mendapatkan keistimewaan peringkat lebih tinggi untuk capaian rangkaian yang lebih mendalam.
-
Tinjauan Dalaman: Penceroboh meneroka rangkaian, mengenal pasti di mana data berharga berada.
-
Pergerakan Lateral: Kumpulan itu menyebarkan pengaruhnya ke seluruh rangkaian, mengeksploitasi lebih banyak sistem.
-
Penyusutan Data: Data berharga diekstrak dan dihantar semula ke pelayan penyerang.
-
Kegigihan: Walaupun selepas mencapai matlamat mereka, kumpulan itu kekal dalam rangkaian, selalunya tidak disedari, bersedia untuk menyerang lagi.
Ciri Utama Ancaman Berterusan Lanjutan (APT)
Serangan APT dicirikan oleh:
-
Kaedah Lanjutan: Penggunaan teknik canggih, perisian hasad dan mengeksploitasi kelemahan sifar hari.
-
Kegigihan: APT tinggal dalam sistem untuk masa yang lama, biasanya berbulan-bulan atau bertahun-tahun, untuk mencapai objektif mereka.
-
Siluman: Mereka beroperasi secara rahsia, menggunakan kaedah yang sebati dengan trafik rangkaian biasa.
-
Serangan Sasaran: APT biasanya tertumpu kepada organisasi atau sektor tertentu dengan maklumat berharga.
-
Ditaja oleh Negara Bangsa atau Entiti Penjenayah Besar: APT selalunya mempunyai sumber yang besar di belakangnya, menjadikannya sangat mencabar untuk dipertahankan.
Jenis Ancaman Berterusan Lanjutan (APT)
Tiada sistem klasifikasi muktamad untuk APT, kerana ia sering bertindih dan berkembang. Walau bagaimanapun, mereka biasanya diiktiraf oleh asal atau keutamaan sasaran mereka, seperti:
Nama Kumpulan APT | Asal Dipercayai | Sasaran Biasa |
---|---|---|
APT28 (Beruang Fancy) | Rusia | Kerajaan, tentera dan organisasi keselamatan |
APT29 (Beruang Selesa) | Rusia | Badan pemikir, NGO, sistem yang berkaitan dengan proses pilihan raya |
APT3 (Gothic Panda) | China | Industri pertahanan, telekomunikasi dan teknologi tinggi |
APT33 (Elfin) | Iran | Petrokimia, penerbangan dan infrastruktur kritikal |
Memanfaatkan dan Mempertahankan Ancaman Berterusan Lanjutan (APT)
APT menimbulkan risiko besar kerana sifatnya yang senyap dan potensi kerosakan yang boleh ditimbulkannya. Oleh itu, mempertahankan terhadap APT memerlukan pendekatan yang komprehensif dan proaktif:
-
Pendidikan: Melatih pekerja untuk mengenali dan bertindak balas terhadap potensi ancaman, seperti e-mel pancingan data.
-
Menampal dan Mengemas kini Biasa: Mengemas kini sistem dan perisian mengurangkan risiko eksploitasi kelemahan.
-
Pembahagian Rangkaian: Mengehadkan pergerakan dalam rangkaian jika penyerang mendapat akses.
-
Memburu Ancaman: Proaktif mencari ancaman dalam rangkaian, dan bukannya menunggu amaran.
-
Alat Keselamatan Lanjutan: Penggunaan alat canggih, seperti SIEM, EDR dan pengesanan ancaman dipacu AI.
Perbandingan dengan Istilah Serupa
Penggal | Penerangan |
---|---|
Ancaman Berterusan Lanjutan (APT) | Serangan jangka panjang yang disasarkan daripada penyerang yang mempunyai sumber yang baik |
perisian hasad | Istilah umum untuk perisian hasad, tidak semestinya maju atau berterusan |
Serangan DDoS | Serangan bertujuan untuk mengatasi rangkaian atau pelayan, biasanya tidak senyap atau berterusan |
Spear Phishing | Percubaan pancingan data yang disasarkan sering digunakan sebagai vektor untuk APT, tetapi bukan APT itu sendiri |
Perspektif dan Teknologi Masa Depan Berkaitan dengan APT
Apabila pertahanan siber bertambah baik, begitu juga taktik APT. Kami mungkin melihat peningkatan penggunaan AI dan pembelajaran mesin dalam kedua-dua serangan APT dan pertahanan. Mungkin juga terdapat peningkatan dalam serangan "Living-off-the-land", di mana pelaku ancaman menggunakan alat yang sah dalam rangkaian sasaran untuk melakukan serangan mereka, menjadikan pengesanan lebih sukar.
Persatuan Pelayan Proksi dengan Ancaman Berterusan Lanjutan (APT)
Pelayan proksi boleh menjadi pedang bermata dua apabila ia berkaitan dengan APT. Di satu pihak, mereka boleh meningkatkan keselamatan dengan menutup alamat IP rangkaian, menjadikannya lebih sukar bagi kumpulan APT untuk mengenal pasti dan menyasarkannya. Sebaliknya, kumpulan APT boleh menggunakan pelayan proksi untuk menyembunyikan lokasi dan identiti mereka, menjadikan pengesanan dan atribusi mereka lebih sukar.
Bagi penyedia pelayan proksi seperti OneProxy, adalah penting untuk melaksanakan langkah keselamatan yang ketat, termasuk pemantauan trafik dan pengesanan aktiviti yang tidak normal, untuk memastikan perkhidmatan mereka tidak disalahgunakan oleh pelaku ancaman.