Advanced Persistent Threats (APT) – це складна, часто фінансована державою, категорія кіберзагроз, яка характеризується тривалим, прихованим і цілеспрямованим підходом. APT зазвичай націлені на організації з високоцінною інформацією, як-от національна оборона, виробництво чи фінансовий сектор.
Історичний контекст розширеної стійкої загрози (APT)
Концепція Advanced Persistent Threats (APT) виникла наприкінці 2000-х років і стала більш популярною приблизно у 2010 році після публічного оприлюднення операції «Аврора» — серії кібератак, здійснених китайськими групами APT. Вони націлилися на кілька відомих компаній, у тому числі на Google, крадіжку інтелектуальної власності та компрометацію облікових записів користувачів. Інцидент означав зміну парадигми в ландшафті кібербезпеки, виявивши витонченість і потенційну шкоду, яку можуть завдати APT.
Анатомія передової стійкої загрози (APT)
APT, як правило, передбачає злом мережі неавторизованою організацією, яка залишається непоміченою протягом тривалого періоду. Мотивом часто є крадіжка даних або шпигунство, коли групи APT використовують складні тактики, методи та процедури (TTP), щоб отримати доступ, залишатися прихованими та досягати своїх цілей.
Життєвий цикл APT зазвичай складається з наступних етапів:
-
Початковий доступ: Група APT отримує доступ до мережі, часто за допомогою фішингу, використання вразливостей або зловмисного програмного забезпечення.
-
Встановлення опори: Опинившись усередині, група налаштовує свої операції, встановлюючи бекдори, щоб забезпечити постійний доступ.
-
Підвищення привілеїв: Зловмисник намагається отримати привілеї вищого рівня для глибшого доступу до мережі.
-
Внутрішня розвідка: зловмисник досліджує мережу, визначаючи, де знаходяться цінні дані.
-
Бічний рух: Група поширює свій вплив у мережі, використовуючи більше систем.
-
Викрадання даних: цінні дані витягуються та надсилаються назад на сервери зловмисників.
-
Наполегливість: Навіть досягнувши своєї мети, група залишається в мережі, часто непоміченою, готовою завдати нового удару.
Основні характеристики Advanced Persistent Threat (APT)
APT-атаки характеризуються:
-
Розширені методи: використання складних методів, зловмисного програмного забезпечення та використання вразливостей нульового дня.
-
Наполегливість: APT перебувають у системі тривалий час, зазвичай місяці або роки, щоб досягти своїх цілей.
-
Стелс: вони діють таємно, використовуючи методи, які змішуються зі звичайним мережевим трафіком.
-
Цілеспрямовані атаки: APT зазвичай орієнтовані на конкретні організації чи сектори з цінною інформацією.
-
Спонсорується національними державами або великими злочинними організаціями: APT часто мають значні ресурси за собою, що робить їх надзвичайно складним для захисту.
Типи розширеної постійної загрози (APT)
Немає остаточної системи класифікації для APT, оскільки вони часто збігаються та розвиваються. Однак їх зазвичай розпізнають за походженням або цільовими перевагами, наприклад:
| Назва групи APT | Вважається походження | Типові цілі |
|---|---|---|
| APT28 (Fancy Bear) | Росія | Уряди, армія та організації безпеки |
| APT29 (Cosy Bear) | Росія | Аналітичні центри, НУО, системи, пов’язані з виборчими процесами |
| APT3 (готична панда) | Китай | Оборона, телекомунікації та високотехнологічні галузі |
| APT33 (Ельфін) | Іран | Нафтохімічна, авіаційна та критична інфраструктура |
Використання та захист від розширеної постійної загрози (APT)
APT становлять значні ризики через їх прихований характер і потенційну шкоду, яку вони можуть завдати. Таким чином, захист від APT вимагає комплексного та проактивного підходу:
-
Освіта: Навчання співробітників розпізнавати й реагувати на потенційні загрози, такі як фішингові електронні листи.
-
Регулярне оновлення та оновлення: Оновлення систем і програмного забезпечення знижує ризик використання вразливості.
-
Сегментація мережі: Обмеження руху в мережі, якщо зловмисник отримує доступ.
-
Полювання на загрозу: проактивний пошук загроз у мережі замість очікування сповіщення.
-
Розширені інструменти безпеки: використання складних інструментів, таких як SIEM, EDR і виявлення загроз на основі ШІ.
Порівняння з подібними термінами
| термін | опис |
|---|---|
| Розширена стійка загроза (APT) | Довгострокова цілеспрямована атака зловмисника з хорошими ресурсами |
| Шкідливе програмне забезпечення | Загальний термін для позначення зловмисного програмного забезпечення, не обов’язково просунутого чи стійкого |
| DDoS-атака | Атака, спрямована на знищення мережі або сервера, зазвичай не прихована чи постійна |
| Фішинг | Цільова спроба фішингу часто використовується як вектор для APT, але не сам APT |
Майбутні перспективи та технології, пов’язані з APT
З удосконаленням кіберзахисту покращується і тактика APT. Ймовірно, ми побачимо збільшення використання штучного інтелекту та машинного навчання як для APT-атак, так і для захисту. Також може спостерігатися зростання кількості атак типу «жити поза межами землі», коли зловмисники використовують законні інструменти в мережі цілі для здійснення своїх атак, що ще більше ускладнює виявлення.
Асоціація проксі-серверів із розширеною стійкою загрозою (APT)
Проксі-сервери можуть бути палкою з двома кінцями, коли справа стосується APT. З одного боку, вони можуть підвищити безпеку, маскуючи IP-адресу мережі, що ускладнює для груп APT їх ідентифікацію та націлювання. З іншого боку, групи APT можуть використовувати проксі-сервери, щоб приховати своє місцезнаходження та ідентифікацію, що ускладнює їх виявлення та визначення авторства.
Для провайдерів проксі-серверів, таких як OneProxy, надзвичайно важливо впроваджувати суворі заходи безпеки, включаючи моніторинг трафіку та виявлення ненормальної активності, щоб гарантувати, що їхні послуги не зловживають зловмисниками.
