Atacurile cibernetice au existat încă de la adoptarea internetului și au evoluat foarte mult în ultimele decenii, de la viruși și viermi în primele zile la malware și botnet în zilele noastre. În ultimii ani, a apărut o nouă clasă de amenințări, „Amenințarea persistentă avansată” (Advanced Persistent Threats, APT). Folosită inițial pentru a descrie intruziunile cibernetice împotriva organizațiilor militare, APT a evoluat și nu se mai limitează la domeniul militar. După cum s-a evidențiat în mai multe încălcări de securitate la scară largă, APT-urile vizează acum o gamă largă de industrii și guverne.
În timp ce APT a atras atenția din ce în ce mai mult din partea comunității de securitate industrială, lipsește o înțelegere cuprinzătoare și clară a problemei de cercetare APT.
2 Definiție: ce este APT?
APT-urile au făcut frecvent titluri la nivel mondial în ultimii ani și mulți consideră că acest termen este supraîncărcat, deoarece diferiți oameni se referă la el ca fiind lucruri diferite. Deoarece pe piața comercială există atât de multe opinii diferite despre ceea ce constituie un APT, este necesară o definiție clară. Definiția dată de Institutul Național de Standarde și Tehnologie din SUA (NIST) afirmă că o APT este:
„Un adversar care posedă niveluri sofisticate de expertiză și resurse semnificative care îi permit să creeze oportunități de a-și atinge obiectivele prin folosirea de mulți vectori de atac (de exemplu, cibernetic, fizic și înșelăciune). Aceste obiective includ, de obicei, stabilirea și extinderea punctelor de sprijin în cadrul infrastructurii tehnologiei informaționale a organizațiilor vizate în scopul extragerii de informații, subminarea sau împiedicarea aspectelor critice ale unei misiuni, program sau organizație; sau poziționându-se pentru a îndeplini aceste obiective în viitor. Amenințarea persistentă avansată: (i) își urmărește obiectivele în mod repetat pe o perioadă lungă de timp; (ii) se adaptează la eforturile apărătorilor de a-i rezista; și (iii) este decisă să mențină nivelul de interacțiune necesar pentru a-și îndeplini obiectivele”.
Această definiție oferă o bază bună pentru distincția dintre amenințările tradiționale și APT. Caracteristicile distinctive ale APT-urilor sunt: (1) ținte specifice și obiective clare; (2) atacatori foarte organizați și bine dotați cu resurse; (3) o campanie pe termen lung cu încercări repetate; (4) tehnici de atac ascunse și evazive. Detaliem fiecare dintre aceste caracteristici mai jos.
Ținte specifice și obiective clare Atacurile APT sunt atacuri foarte țintite, având întotdeauna un scop clar. Țintele sunt de obicei guverne sau organizații care posedă o valoare substanțială a proprietății intelectuale. Pe baza numărului de atacuri APT descoperite de FireEye în 2013, primele zece ținte verticale ale industriei sunt educația, finanțele, high-tech, guvern, consultanță, energie, chimie, telecomunicații, asistență medicală și aerospațială. În timp ce atacurile tradiționale se propagă cât mai larg posibil pentru a îmbunătăți șansele de succes și pentru a maximiza recolta, un atac APT se concentrează doar pe țintele sale predefinite, limitându-și raza de atac.
În ceea ce privește obiectivele atacului, APT-urile caută de obicei active digitale care aduc avantaje competitive sau beneficii strategice, cum ar fi date de securitate națională, proprietate intelectuală, secrete comerciale etc., în timp ce amenințările tradiționale caută în mare parte informații personale, cum ar fi datele cărților de credit, sau în mod generic informații valoroase care facilitează câștigul financiar.
Atacatori foarte organizați și bine dotați cu resurse Actorii din spatele APT-urilor sunt de obicei un grup de hackeri pricepuți, lucrând într-un mod coordonat. Aceștia pot lucra într-o unitate cibernetică guvernamentală/militară sau pot fi angajați ca mercenari cibernetici de guverne și companii private. Sunt bine dotați atât din punct de vedere financiar, cât și tehnic. Acest lucru le oferă posibilitatea de a lucra pentru o perioadă lungă și de a avea acces (prin dezvoltare sau achiziție) la vulnerabilități zero-day și la instrumente de atac. Atunci când sunt sponsorizați de stat, pot chiar opera cu sprijinul serviciilor de informații militare sau de stat.
O campanie pe termen lung cu încercări repetate Un atac APT este de obicei o campanie pe termen lung, care poate rămâne nedetectată în rețeaua țintei timp de câteva luni sau ani. Actorii APT își atacă în mod persistent ținta și își adaptează în mod repetat eforturile pentru a finaliza munca atunci când o încercare anterioară eșuează. Acest lucru este diferit de amenințările tradiționale, deoarece atacatorii tradiționali vizează adesea o gamă largă de victime și vor trece direct la ceva mai puțin sigur dacă nu pot penetra ținta inițială.
Tehnicile ascunse și evazive Atacurile APT sunt ascunse, având capacitatea de a rămâne nedetectate, ascunzându-se în traficul din rețeaua întreprinderii și interacționând doar suficient pentru a atinge obiectivele definite. De exemplu, actorii APT pot folosi exploit-uri zero-day pentru a evita detectarea bazată pe semnătură și criptarea pentru a obscurca traficul de rețea. Acest lucru este diferit de atacurile tradiționale, în care atacatorii folosesc de obicei tactici de „zdrobire și apucare” care îi alertează pe apărători.
În Tabelul 1, rezumăm diferențele dintre amenințările tradiționale și APT-uri pentru mai multe atribute de atac.
Atacurile tradiționale | Atacurile APT | |
Atacator | În mare parte persoană singură | Grup foarte organizat, sofisticat, hotărât și bine dotat cu resurse |
Ţintă | Nespecificate, majoritatea sistemelor individuale | Organizații specifice, instituții guvernamentale, întreprinderi comerciale |
Scop | Beneficii financiare, demonstrarea abilităților | Avantaje competitive, beneficii strategice |
Abordare | O singură rulare, „sparge și apucă”, perioadă scurtă | Încercări repetate, rămâne scăzut și lent, se adaptează pentru a rezista apărării, pe termen lung |
Tabelul 1: Comparația atacurilor tradiționale și APT
Sursa: Ping Chen, Lieven Desmet, Christophe Huygens. A Study on Advanced Persistent Threats. 15th IFIP International Conference on Communications and Multimedia Security (CMS), Sep 2014, Aveiro, Portugal. pp.63-72, 10.1007/978-3-662-44885-4_5. hal-01404186, licența CC BY 4.0. Traducerea și adaptarea © 2023 Nicolae Sfetcu
Lasă un răspuns