Sisällysluettelo:
- Mikä on APT?
- Kuinka APT: t eroavat toisistaan?
- Joitakin esimerkkejä APT: stä
- Missä APT: t?
- 2000-luvun turvallisuusuhat
Hyökkäys tietokoneverkkoon ei ole enää otsikkouutisia, mutta on olemassa muun tyyppinen hyökkäys, joka vie kyberturvallisuuteen liittyvät kysymykset seuraavalle tasolle. Näitä hyökkäyksiä kutsutaan edistyneiksi pysyviksi uhiksi (APT). Selvitä, miten ne eroavat päivittäisistä uhista ja miksi he voivat aiheuttaa niin paljon vahinkoa, kun tarkastelemme joitain korkean profiilin tapauksia, joita on tapahtunut viime vuosina. (Katso taustalukemista tutustumalla tekniikan viiteen pelottavimpaan uhaan.)
Mikä on APT?
Termi pitkälle kehitetty jatkuva uhka (APT) voi viitata hyökkääjään, jolla on merkittävät keinot, organisaatio ja motivaatio suorittaa jatkuva kyberhyökkäys kohdetta vastaan.
Ei yllättävää, että APT on edistyksellinen, pysyvä ja uhkaava. Se on edistyksellinen, koska se käyttää varkain ja useita hyökkäysmenetelmiä vaarantamaan kohteen, usein arvokkaan yritys- tai julkisen resurssin. Tämän tyyppisiä hyökkäyksiä on myös vaikea havaita, poistaa ja määrittää tietylle hyökkääjälle. Vielä pahempaa, kun tavoitetta rikotaan, takaovet luodaan usein antamaan hyökkääjälle jatkuvaa pääsyä vaarantuneeseen järjestelmään.
APT: itä pidetään pysyvinä siinä mielessä, että hyökkääjä voi viettää kuukausia kerätäkseen tietoja tiedosta kohteesta ja käyttää sitä kyseisen tiedustelun avulla useiden hyökkäysten käynnistämiseen pitkän ajanjakson ajan. Se on uhkaava, koska rikoksentekijät saavat usein erittäin arkaluontoisia tietoja, kuten ydinvoimaloiden asettelua tai koodeja murtautuakseen Yhdysvaltain puolustusurakoitsijoihin.
APT-hyökkäyksellä on yleensä kolme päätavoitetta:
- Arkaluontoisten tietojen varkaaminen kohteesta
- Kohteen valvonta
- Kohteen sabotaasi
APT: n tekijät käyttävät usein luotettavia yhteyksiä pääsyyn verkkoihin ja järjestelmiin. Nämä yhteydet voidaan löytää esimerkiksi sympaattisen sisäpiiriläisen tai tahattoman työntekijän kautta, joka joutuu keihäänkyselyn uhreiksi.
Kuinka APT: t eroavat toisistaan?
APT: t eroavat monista muista kyberrikoksista. Ensinnäkin APT: t käyttävät usein räätälöityjä työkaluja ja tunkeutumistekniikoita - kuten haavoittuvuushyödykkeitä, viruksia, matoja ja juurikomplekteja -, jotka on erityisesti suunniteltu tunkeutumaan kohdeorganisaatioon. Lisäksi APT: t käynnistävät usein useita hyökkäyksiä samanaikaisesti tavoitteiden rikkomiseksi ja varmistaakseen jatkuvan pääsyn kohdennettuihin järjestelmiin, toisinaan myös petoksen kohteen huijaamiseksi ajattelemaan, että hyökkäys on hylätty onnistuneesti.
Toiseksi APT-hyökkäyksiä esiintyy pitkiä aikoja, joiden aikana hyökkääjät liikkuvat hitaasti ja hiljaa havaitsemisen välttämiseksi. Päinvastoin kuin tyypillisten verkkorikollisten aloittamien monien hyökkäysten nopea taktiikka, APT: n tavoitteena on pysyä havaitsematta siirtymällä "matalaan ja hitaaseen" jatkuvalla seurannalla ja vuorovaikutuksella, kunnes hyökkääjät saavuttavat määritellyt tavoitteensa.
Kolmanneksi APT: t on suunniteltu täyttämään vakoilun ja / tai sabotaasin vaatimukset, joihin yleensä osallistuvat salaiset valtion toimijat. APT: n tavoitteeseen sisältyy sotilaallisen, poliittisen tai taloudellisen tiedustelun kerääminen, luottamuksellisten tietojen tai liikesalaisuuksien uhka, toiminnan häiriöt tai jopa laitteiden tuhoaminen.
Neljänneksi APT: t on suunnattu rajoitetulle joukolle erittäin arvokkaita kohteita. APT-hyökkäyksiä on käynnistetty valtion virastoja ja laitoksia, puolustusurakoitsijoita ja korkean teknologian tuotteiden valmistajia vastaan. Organisaatiot ja yritykset, jotka ylläpitävät ja ylläpitävät kansallista infrastruktuuria, ovat myös todennäköisiä kohteita.
Joitakin esimerkkejä APT: stä
Operaatio Aurora oli yksi ensimmäisistä laajasti julkistettuja APT: itä; yhdysvaltalaisia yrityksiä vastaan tehtyjen hyökkäysten sarja oli hienostunut, kohdennettu, salaperäinen ja suunniteltu kohteiden manipuloimiseksi.Vuoden 2009 puolivälissä tehdyissä hyökkäyksissä hyödynnettiin Internet Explorer -selaimen haavoittuvuutta, jonka avulla hyökkääjät voivat käyttää tietokonejärjestelmiä ja ladata haittaohjelmia kyseisiin järjestelmiin. Tietokonejärjestelmät yhdistettiin etäpalvelimeen ja teollis- ja tekijänoikeudet varastettiin yrityksiltä, joihin kuuluivat Google, Northrop Grumman ja Dow Chemical. (Lue muista haitallisten ohjelmien haitallisista hyökkäyksistä: madot, troijalaiset ja robotit, Oh My!)
Stuxnet oli ensimmäinen APT, joka käytti kyberhyökkäystä fyysisen infrastruktuurin häiriintymiseen. Stuxnet-mato, jonka uskotaan kehittäneen Yhdysvallat ja Israel, kohdistui Iranin ydinvoimalan teollisuuden ohjausjärjestelmiin.
Vaikka Stuxnet näyttää olevan kehitetty hyökkäämään Iranin ydinlaitoksia vastaan, se on levinnyt huomattavasti suunnitellun tavoitteen ulkopuolelle, ja sitä voidaan käyttää myös länsimaiden, myös Yhdysvaltojen, teollisuuslaitoksia vastaan.
Yksi näkyvimmistä esimerkeistä APT: stä oli tietokone- ja verkkoturvayrityksen RSA: n rikkominen. Maaliskuussa 2011 RSA aloitti vuodon, kun sen läpikäynyt keihäshuijaus hyökkäsi, joka koukutti yhden työntekijänsä ja johti valtavaan saaliin kiberräkkääjiin.
Yrityksen verkkosivuille maaliskuussa 2011 lähettämässä avoimessa kirjeessä RSA: lle toimitusjohtaja Art Coviello kertoi, että hienostunut APT-hyökkäys oli poiminnut arvokasta tietoa SecurID-kaksifaktorisesta autentikointituotteesta, jota etätyöntekijät käyttivät yrityksen verkkoon turvaamiseksi .
"Vaikka tällä hetkellä olemme vakuuttuneita siitä, että poimitut tiedot eivät mahdollista onnistunutta suoraa hyökkäystä mihinkään RSA SecurID -asiakkaaseemme, näitä tietoja voidaan mahdollisesti käyttää vähentämään nykyisen kaksitekijän todennustoimenpiteiden tehokkuutta osana laajempaa hyökkäys ", Coviello sanoi.
Mutta osoittautui, että Coviello oli väärässä, koska lukuisat RSA SecurID -merkkiasiakkaat, mukaan lukien Yhdysvaltain puolustusjätti Lockheed Martin, ilmoittivat RSA: n rikkomuksesta johtuvista hyökkäyksistä. Vahinkojen rajoittamiseksi RSA suostui korvaamaan avainsanojensa rahakkeet.
Missä APT: t?
Yksi asia on varma: APT jatkuu. Niin kauan kuin on arkaluonteista tietoa varastettavaksi, järjestäytyneet ryhmät seuraavat sen jälkeen. Ja niin kauan kuin maita on olemassa, siellä on vakoilua ja sabotaasia - fyysistä tai tietoverkkoa.
Stuxnet-mato, nimeltään Duqu, on jo seurannut, ja se löydettiin syksyllä 2011. Kuten nukkujaagentti, Duqu upotti itsensä nopeasti keskeisiin teollisuusjärjestelmiin ja kerää älykkyyttä ja sitoo aikansa. Voit olla varma, että se tutkii suunnitteludokumentteja löytääkseen heikkoja kohtia tuleviin hyökkäyksiin.
2000-luvun turvallisuusuhat
Stuxnet, Duqu ja heidän perilliset rikovat varmasti yhä enemmän hallituksia, kriittisen infrastruktuurin ylläpitäjiä ja tietoturva-ammattilaisia. On aika ottaa nämä uhat yhtä vakavasti kuin 2000-luvun arjen arkipäivän tietoturvaongelmat.