Ev Güvenlik Gelişmiş kalıcı tehditler: önümüzdeki siber savaşta ilk salvo?

Gelişmiş kalıcı tehditler: önümüzdeki siber savaşta ilk salvo?

İçindekiler:

Anonim

Bir bilgisayar ağına yapılan saldırı artık manşet haberi değil, ancak siber güvenlik endişelerini bir sonraki seviyeye taşıyan farklı bir saldırı türü var. Bu saldırılara gelişmiş kalıcı tehditler (APT) denir. Günlük tehditlerden nasıl farklı olduklarını ve son birkaç yıldır meydana gelen bazı yüksek profilli vakaları gözden geçirmemizde neden bu kadar çok zarar verebileceklerini öğrenin. (Arka planda okumak için, Tech'teki En Korkunç Tehditlere göz atın.)

APT nedir?

Gelişmiş kalıcı tehdit (APT) terimi, bir hedefe karşı sürekli bir siber saldırı yürütmek için önemli araçları, organizasyonu ve motivasyonu olan bir saldırganı ifade edebilir.


Bir APT, şaşırtıcı bir şekilde, ileri, kalıcı ve tehditkardır. İleri düzeydedir, çünkü genellikle yüksek değerli bir şirket veya devlet kaynağı olan bir hedefi tehlikeye atmak için gizli ve çoklu saldırı yöntemleri kullanır. Bu tür saldırıları tespit etmek, kaldırmak ve belirli bir saldırgana atfetmek de zordur. Daha da kötüsü, bir hedef ihlal edildiğinde, saldırganın güvenliği ihlal edilmiş sisteme sürekli erişimini sağlamak için genellikle arka kapılar oluşturulur.


APT'ler, saldırganın hedefle ilgili istihbarat toplamak için aylar harcayabileceği ve bu istihbaratı uzun bir süre boyunca birden fazla saldırı başlatmak için kullanabileceği anlamında kalıcı kabul edilir. Tehdit edici çünkü failler genellikle nükleer enerji santrallerinin düzeni veya ABD savunma yüklenicilerine girme kodları gibi son derece hassas bilgilerin peşinde.


Bir APT saldırısının genellikle üç ana hedefi vardır:

  • Hedeften hassas bilgilerin çalınması
  • Hedefin gözetimi
  • Hedefin sabotajı
Saldırgan, tespit edilemeden hedeflerine ulaşmayı umuyor.


APT failleri, ağlara ve sistemlere erişmek için genellikle güvenilir bağlantılar kullanır. Bu bağlantılar, örneğin, bir mızrak kimlik avı saldırısına avlanan sempatik bir içeriden veya farkında olmayan bir çalışan aracılığıyla bulunabilir.

APT'ler Nasıl Farklıdır?

APT'ler çeşitli yollarla diğer siber saldırılardan farklıdır. İlk olarak, APT'ler, özellikle hedef kuruluşa nüfuz etmek için tasarlanmış güvenlik açıklarından yararlanma, virüsler, solucanlar ve kök setleri gibi özelleştirilmiş araçlar ve saldırı tekniklerini kullanır. Buna ek olarak, APT'ler genellikle hedeflerini ihlal etmek ve hedeflenen sistemlere sürekli erişim sağlamak için aynı anda birden fazla saldırı başlatırlar;


İkincisi, APT saldırıları, saldırganların tespit edilmesini önlemek için yavaş ve sessiz hareket ettikleri uzun süreler boyunca gerçekleşir. Tipik siber suçlular tarafından başlatılan birçok saldırının hızlı taktiklerinin aksine, APT'nin amacı, saldırganlar belirlenen hedeflerine ulaşana kadar sürekli izleme ve etkileşim ile "düşük ve yavaş" hareket ederek fark edilmeden kalmaktır.


Üçüncüsü, APT'ler, genellikle gizli devlet aktörlerini içeren casusluk ve / veya sabotaj gereksinimlerini karşılamak üzere tasarlanmıştır. Bir APT'nin amacı askeri, politik veya ekonomik istihbarat toplama, gizli veriler veya ticari sır tehdidi, operasyonların aksaması ve hatta ekipmanın imha edilmesini içerir.


Dördüncüsü, APT'ler sınırlı sayıda çok değerli hedefleri hedeflemektedir. Devlet kurumlarına ve tesislerine, savunma müteahhitlerine ve yüksek teknoloji ürünü üreticilerine yönelik APT saldırıları başlatıldı. Ulusal altyapıyı sürdüren ve işleten kuruluşlar ve şirketler de muhtemelen hedeftir.

Bazı APT Örnekleri

Aurora Harekâtı, yaygın olarak yayınlanan ilk APT'lerden biriydi; ABD şirketlerine yönelik saldırı dizisi sofistike, hedefli, sinsi ve hedefleri manipüle etmek için tasarlandı.

2009 ortalarında gerçekleştirilen saldırılar, Internet Explorer tarayıcısındaki bir güvenlik açığından yararlandı ve saldırganların bilgisayar sistemlerine erişmesini ve bu sistemlere kötü amaçlı yazılım indirmelerini sağladı. Bilgisayar sistemleri uzak bir sunucuya bağlandı ve fikri mülkiyetler Google, Northrop Grumman ve Dow Chemical şirketlerinden çalındı. (Kötü Amaçlı Yazılımlardaki diğer zararlı saldırılar hakkında bilgi edinin: Solucanlar, Truva Atları ve Botlar, Oh My!)


Stuxnet, fiziksel altyapıyı bozmak için bir siber saldırı kullanan ilk APT idi. ABD ve İsrail tarafından geliştirildiğine inanılan Stuxnet solucanı, bir İran nükleer santralinin endüstriyel kontrol sistemlerini hedef aldı.


Stuxnet, İran'ın nükleer tesislerine saldırmak için geliştirilmiş gibi görünse de, amaçlanan hedefin çok ötesine yayıldı ve ABD de dahil olmak üzere Batı ülkelerindeki endüstriyel tesislere karşı da kullanılabilir.


Bir APT'nin en önemli örneklerinden biri, bir bilgisayar ve ağ güvenlik şirketi olan RSA'nın ihlalidir. Mart 2011'de RSA, çalışanlarından birini bağlayan ve siber saldırganlar için büyük bir yakalama ile sonuçlanan bir mızrak-kimlik avı saldırısına girince sızıntı yaptı.


Mart 2011'de müşteriler tarafından şirketin web sitesine gönderilen RSA'ya açık bir mektupta, Yönetim Kurulu Başkanı Art Coviello, sofistike bir APT saldırısının, uzak işçiler tarafından şirket ağına güvenli bir şekilde erişmek için kullanılan SecurID iki faktörlü kimlik doğrulama ürünü ile ilgili değerli bilgileri çıkardığını söyledi. .


"Şu anda çıkarılan bilgilerin herhangi bir RSA SecurID müşterimize başarılı bir doğrudan saldırı sağlamadığından eminiz, ancak bu bilgiler potansiyel olarak mevcut iki faktörlü kimlik doğrulama uygulamasının etkinliğini daha geniş bir kısmının bir parçası olarak azaltmak için kullanılabilir. "dedi Coviello.


Ancak Coviello, ABD savunma devi Lockheed Martin de dahil olmak üzere çok sayıda RSA SecurID token müşterisinin RSA ihlali nedeniyle meydana gelen saldırıları bildirdiği için yanlıştı. Hasarı sınırlamak için RSA, kilit müşterilerinin jetonlarını değiştirmeyi kabul etti.

Nerede APT'ler?

Kesin olan bir şey var: APT'ler devam edecek. Çalınacak hassas bilgiler olduğu sürece organize gruplar bundan sonra gidecek. Ve uluslar var olduğu sürece, casusluk ve sabotaj olacak - fiziksel veya siber.


2011 sonbaharında keşfedilen Duux adlı Stuxnet solucanının zaten bir takibi var. Uyuyan bir ajan gibi Duqu, hızlı bir şekilde kilit endüstriyel sistemlere gömüldü ve zekayı topladı ve zamanını teklif etti. Gelecekteki saldırılar için zayıf noktalar bulmak için tasarım belgeleri üzerinde çalıştığından emin olabilirsiniz.

21. Yüzyıl Güvenlik Tehditleri

Elbette Stuxnet, Duqu ve varisleri hükümetleri, kritik altyapı operatörlerini ve bilgi güvenliği profesyonellerini giderek daha fazla rahatsız edecekler. Bu tehditleri 21. yüzyılda gündelik hayatın sıradan bilgi güvenliği problemleri kadar ciddiye alma zamanı.

Gelişmiş kalıcı tehditler: önümüzdeki siber savaşta ilk salvo?