Turinys:
Išpuolis prieš kompiuterių tinklą nebėra antraštė, tačiau yra ir kitokio tipo išpuolių, kurie kibernetinio saugumo problemas perkelia į kitą lygį. Šios atakos vadinamos išplėstinėmis nuolatinėmis grėsmėmis (APT). Peržiūrėkite keletą svarbių atvejų, kurie įvyko per pastaruosius kelerius metus, ir sužinokite, kuo jie skiriasi nuo kasdienių grėsmių ir kodėl jie gali padaryti tiek daug žalos. (Norėdami sužinoti daugiau apie foną, skaitykite 5 baisiausias technikos grėsmes.)
Kas yra APT?
Sąvoka išplėstinė nuolatinė grėsmė (APT) gali reikšti užpuoliką, turintį didelių priemonių, organizavimo ir motyvacijos vykdyti ilgalaikį kibernetinį puolimą prieš taikinį.
APT, nenuostabu, yra pažengusi, atkakli ir grėsminga. Jis yra pažengęs, nes naudoja slaptus ir daugybės išpuolių metodus, kad galėtų pakenkti taikiniui, dažnai didelės vertės įmonės ar vyriausybės ištekliui. Šio tipo išpuolius taip pat sunku aptikti, pašalinti ir priskirti tam tikram užpuolikui. Dar blogiau, kai pažeidus taikinį, užpuolikai dažnai sukuriami siekiant užtikrinti nuolatinę prieigą prie pažeistos sistemos.
APT laikomi atkakliais ta prasme, kad užpuolikas gali praleisti mėnesius rinkdamas žvalgybos duomenis apie taikinį ir panaudoti tą žvalgybinę informaciją keliems išpuoliams per ilgą laiką pradėti. Tai kelia grėsmę, nes nusikaltėliai dažnai gauna labai neskelbtiną informaciją, pavyzdžiui, apie atominių elektrinių išdėstymą ar kodus, kad įsilaužtų į JAV gynybos rangovus.
APT ataka paprastai turi tris pagrindinius tikslus:
- Slaptos informacijos vagystė iš tikslo
- Tikslo priežiūra
- Tikslo sabotažas
APT nusikaltėliai dažnai naudojasi patikimais ryšiais, kad galėtų patekti į tinklus ir sistemas. Šie ryšiai gali būti užfiksuoti, pavyzdžiui, per simpatišką viešai neatskleistą asmenį ar nenorintį darbuotojo, kuris tampa grobio ietimi.
Kuo APT skiriasi?
APT skiriasi nuo kitų kibernetinių užpuolimų keliais būdais. Pirma, APT dažnai naudoja pritaikytus įrankius ir įsibrovimo metodus, tokius kaip pažeidžiamumo išnaudojimai, virusai, kirminai ir šaknies rinkiniai, skirti specialiai įsiskverbti į tikslinę organizaciją. Be to, APT dažnai vienu metu pradeda keletą išpuolių, kad pažeistų savo tikslus ir užtikrintų nuolatinę prieigą prie tikslinių sistemų, kartais įtraukdami ir apgaulę, kad apgautų taikinį galvodami, kad išpuolis buvo sėkmingai atstumtas.
Antra, APT išpuoliai vyksta ilgą laiką, per kurį užpuolikai juda lėtai ir tyliai, kad išvengtų aptikimo. Priešingai nei greita daugelio išpuolių, kuriuos pradėjo tipiniai kibernetiniai nusikaltėliai, taktika, APT tikslas yra likti nepastebėtam judant „žemai ir lėtai“, nuolat stebint ir sąveikaujant, kol užpuolikai pasieks savo nustatytus tikslus.
Trečia, APT yra skirti patenkinti šnipinėjimo ir (arba) sabotažo reikalavimus, dažniausiai įtraukiant slaptus valstybės veikėjus. APT tikslas apima karinės, politinės ar ekonominės žvalgybos duomenų rinkimą, konfidencialių duomenų ar komercinės paslapties grėsmę, operacijų nutraukimą ar net įrangos sunaikinimą.
Ketvirta, APT siekiama riboto labai vertingų tikslų diapazono. Pradėti APT išpuoliai prieš vyriausybines agentūras ir įrenginius, gynybos rangovus ir aukštųjų technologijų gaminių gamintojus. Tikėtini tikslai taip pat yra organizacijos ir įmonės, kurios prižiūri ir eksploatuoja nacionalinę infrastruktūrą.
Keli APT pavyzdžiai
Operacija „Aurora“ buvo viena iš pirmųjų plačiai viešintų APT; atakų prieš JAV kompanijas serija buvo sudėtinga, tikslinga, slapta ir skirta manipuliuoti taikiniais.Išpuoliai, įvykdyti 2009 m. Viduryje, išnaudojo „Internet Explorer“ naršyklės pažeidžiamumą, suteikdami užpuolikams prieigą prie kompiuterių sistemų ir į tas sistemas atsisiųsdami kenkėjiškas programas. Kompiuterių sistemos buvo sujungtos su nuotoliniu serveriu, o intelektinė nuosavybė buvo pavogta iš bendrovių, tarp kurių buvo „Google“, „Northrop Grumman“ ir „Dow Chemical“. (Perskaitykite apie kitus kenksmingos programinės įrangos žalingus išpuolius: kirminai, Trojos arklys ir robotai, O, mano!)
„Stuxnet“ buvo pirmasis APT, kuris panaudojo kibernetinę ataką fizinei infrastruktūrai sutrikdyti. Manoma, kad jį sukūrė JAV ir Izraelis, „Stuxnet“ kirminas buvo skirtas Irano atominės elektrinės pramoninio valdymo sistemoms.
Nors atrodo, kad „Stuxnet“ buvo sukurtas pulti Irano branduolinius įrenginius, jis išplito toli už numatyto tikslo ir taip pat galėjo būti naudojamas prieš pramonės objektus Vakarų šalyse, įskaitant JAV.
Vienas ryškiausių APT pavyzdžių buvo kompiuterių ir tinklo saugos bendrovės „RSA“ pažeidimas. 2011 m. Kovo mėn. „RSA“ nutekėjo, kai buvo įsiskverbusi į sukčiavimo ietį, kurios metu buvo užfiksuotas vienas jos darbuotojų ir sukėlė didžiulį sugavimą kibernetinių ginklų mėgėjams.
2011 m. Kovo mėn. Atvirame laiške RSA, kurį klientai paskelbė bendrovės tinklalapyje, vykdomasis pirmininkas Artas Coviello teigė, kad sudėtingas APT išpuolis išgavo vertingos informacijos, susijusios su jos „SecurID“ dviejų faktorių autentifikavimo produktu, kurį nuotoliniai darbuotojai naudoja saugai pasiekti savo įmonės tinklą. .
"Nors šiuo metu esame įsitikinę, kad išgauta informacija neleidžia sėkmingai vykdyti tiesioginio išpuolio prieš mūsų RSA SecurID klientus, ši informacija galėtų būti panaudota siekiant sumažinti dabartinio dviejų veiksnių autentifikavimo, kaip platesnės programos, efektyvumą. ataka “, - teigė Coviello.
Tačiau paaiškėjo, kad „Coviello“ klydo, nes daugybė „RSA SecurID“ ženklo klientų, įskaitant JAV gynybos milžiną „Lockheed Martin“, pranešė apie išpuolius, susijusius su RSA pažeidimais. Siekdama apriboti žalą, RSA sutiko pakeisti pagrindinių klientų raktus.
Kur APT?
Viena aišku: APT tęsis. Kol nėra slaptos informacijos pavogti, organizuotos grupės eis paskui ją. Ir kol egzistuos tautos, bus šnipinėjimas ir sabotažas - fizinis ar kibernetinis.
Jau yra tęsinys su „Stuxnet“ kirminu, pramintu Duqu, kuris buvo aptiktas 2011 m. Rudenį. Kaip „miegamasis agentas“, Duquas greitai įsitvirtino svarbiausiose pramoninėse sistemose ir kaupia žvalgybą bei leidžia laiką. Galite būti tikri, kad studijuoja projektavimo dokumentus, kad rastų silpnas vietas būsimiems išpuoliams.
XXI amžiaus saugumo grėsmės
Be abejo, „Stuxnet“, „Duqu“ ir jų įpėdiniai vis labiau plauks vyriausybes, ypatingos svarbos infrastruktūros objektus ir informacijos saugumo specialistus. Laikas atsižvelgti į šias grėsmes taip pat rimtai, kaip į kasdienes kasdienio gyvenimo saugumo problemas XXI amžiuje.
