O amenințare persistentă avansată (APT - Advanced Persistent Threat) este o categorie de atacuri care vizează o anumită organizație, care accesează și apoi se ascunde în mediul acesteia, nedetectată, extrăgând date sau așteptând momentul potrivit pentru a lansa un atac mai grav. Acest tip de amenințare se definește prin țintele sale strategice și persistență, precum și prin tacticile, tehnicile și procedurile avansate pe care le utilizează.
Scopul principal al unui atac APT este de a face bani. Uneori, intrușii extrag date, iar, în alte situații, ei așteaptă până când sunt îndeplinite condițiile pentru a-și finaliza atacul cibernetic. De obicei, scopul final este de a îngreuna prevenția, protecția, detecția și răspunsul la atacurile ulterioare. În termeni simpli, acești atacatori nu vor ca dvs. să știți că se află în mediul dvs.
Entitățile valoroase, de obicei cele care dețin date importante și sensibile sau care joacă un rol major în securitatea națională sau în stabilitatea economică, sunt adesea cele vizate. Organizațiile sunt vizate pentru valoarea lor strategică și pentru impactul potențial al compromiterii lor, cum ar fi organismele guvernamentale, entitățile cu infrastructură critică, subcontractanții din domeniul apărării, precum și vânzătorii și furnizorii din lanțul de aprovizionare al organizațiilor vizate.
De asemenea, sunt vizate marile corporații și organizații guvernamentale din cauza volumului imens de date valoroase pe care le dețin. Companiile mai mici sunt din ce în ce mai exploatate, deoarece fac parte din lanțul de aprovizionare al unei entități mai mari. Acest lucru îi permite, în cele din urmă, atacatorului să se infiltreze în compania țintă principală, mai mare.
Infractorii APT își aruncă plasa în toate verticalele industriale. Printre țintele de mare valoare se numără cele din sectorul apărării, financiar, juridic, industrial, al telecomunicațiilor și al bunurilor de consum.
Amenințările persistente avansate (Advanced Persistent Threats - APT) se disting de alte amenințări cibernetice prin sofisticare și complexitate, care combină tehnici avansate cu tactici sociale obișnuite, cum ar fi phishingul sau spamul. Acestea sunt planificate și executate cu meticulozitate, concentrându-se asupra unei singure ținte după o cercetare amănunțită a suprafeței de atac a victimei. În faza de execuție a unui APT, obiectivul este de a rămâne nedetectat în cadrul rețelei cât mai mult timp posibil. Acest lucru poate dura săptămâni și chiar ani.
Utilizând resurse de informații comerciale și din surse deschise, APT-urile folosesc o gamă completă de tehnici de colectare de informații, de la programe malware de bază la instrumente de spionaj la nivel de stat. De asemenea, caracterul practic al APT-urilor se reflectă în metodologiile utilizate. Execuția manuală este preferată în locul scripturilor automate, deoarece infractorii încearcă să adapteze atacurile și să folosească metode precum atacurile fără fișiere și „living off the land”.
Se folosesc adesea tehnici de atac comune și foarte eficiente, cum ar fi RFI, injecția SQL și XSS. Printre simptomele definitorii ale unui atac APT se numără troienii de tip backdoor, activitatea neobișnuită în conturi și anomaliile în fluxurile de date, care apar după ce un infractor a dobândit controlul asupra unui mediu și este activ în acesta.
APT-urile implementează adesea programe malware personalizate (malware APT) concepute să evite detecția și să asigure comanda și controlul de la distanță al sistemelor compromise. Instrumentele, tacticile, tehnicile și procedurile sunt adesea actualizate pentru a evita detecția. Chiar și atunci când anumite părți ale operațiunii sunt descoperite, infractorii cibernetici pot obține din nou accesul. Această abordare „low-and-slow” este asociată unor obiective strategice pe termen lung, cum ar fi spionajul, întreruperea de lucru punctuală, furtul de date, și nu neapărat în scopul creării unui baraj neîncetat de atacuri sau a unei explozii unice, cum ar fi atacul ransomware.
APT-urile sunt clasificate în funcție de diverse criterii, de la originea și metodele acestora la metodele de infiltrare sau concentrarea geografică.
Deși nu există un set perfect de caracteristici care să definească fiecare tip de Advanced Persistent Threats, categoriile de APT-uri cel mai des întâlnite și discutate sunt următoarele:
· APT-uri asociate cu state: cu bugete uriașe și acces la cele mai noi tehnologii, precum și cu acoperire legală, acești atacatori desfășoară unele dintre cele mai sofisticate misiuni. Printre acestea se numără spionajul pe termen lung, furtul de date, manipularea opiniei publice etc. Acestea au obiective politice sau militare bine stabilite și vizează organizații guvernamentale, instalații militare, infrastructuri cheie, actori economici și, în esență, orice persoană sau orice lucru care le poate ajuta să-și atingă obiectivele pe termen lung.
· APT-uri infracționale: unele grupuri implicate în activități APT se concentrează pe furtul de bani sau de alte date valoroase, cum ar fi bunurile-proprietăți intelectuale, sau pe compromiterea datelor pentru șantaj sau extorcare. Adesea, obiectivul final al acestor atacatori este instalarea unui ransomware în rețele de mare valoare, comiterea de fraude bancare, furtul și vânzarea de informații despre carduri de credit sau chiar extragerea ilegală de criptomonede folosind infrastructura victimelor.
· APT-urile hacktiviste: unele grupuri își folosesc capacitățile cibernetice pentru a promova o agendă politică, pentru a determina schimbări sociale sau pentru a promova ideologii prin atacuri targetate care au ca scop îndepărtarea criticilor, răspândirea propagandei sau distrugerea opoziției. Printre tacticile acestora se numără atacurile de tip DDoS (Distributed Denial of Service), distrugerea site-urilor web și scurgerea de informații sensibile. Aceste grupuri doresc să obțină publicitate, adesea exprimată prin manifeste sau mesaje publice.
· APT-uri asociate cu corporații/companii: aplicate sau sponsorizate de organizații de afaceri, aceste APT-uri spionează concurenții, de obicei la nivelul marilor corporații. Odată cu apariția APT-as-a-service, grupurile de infractori cibernetici calificați oferă acum servicii de spionaj industrial. Atacatorii din această categorie sunt motivați de obținerea unui avantaj competitiv, de câștiguri financiare sau de obținerea de informații valoroase pentru spionajul corporativ.
1. Infiltrare - obținerea unei poziții: în prima etapă, atacatorii exploatează vulnerabilitățile sau utilizează tehnici de inginerie socială pentru a obține acces neautorizat. Metodele variază de la exploatarea vulnerabilităților de tip zero-day sau a punctelor slabe de la nivelul rețelei până la spear phishing care vizează persoane cheie din cadrul organizației. Obiectivul este de a stabili un punct de intrare discret, pregătind terenul pentru atac.
2. Extindere - explorare pentru a determina persistența: după o infiltrare inițială reușită, atacatorii se deplasează lateral în rețea pentru a-și extinde controlul și a-și aprofunda accesul. De obicei, aceștia caută conturi cu drepturi de nivel înalt pentru un acces mai bun la sistemele critice și la datele sensibile. Atacatorii pot folosi programe malware pentru a stabili o rețea de puncte backdoor și tuneluri, facilitând astfel deplasarea nedetectată în sistem. Eforturile atacatorilor sunt îndreptate spre a se instala într-o poziție mai potrivită care să-i ajute să-și atingă obiectivele principale.
3. Extragere - crearea unei căi de ieșire: în această fază, atacatorii au deja o înțelegere a vulnerabilităților sistemului și a modului de lucru. Această familiaritate le permite să culeagă informațiile necesare și, eventual, să le stocheze într-o locație sigură din cadrul rețelei. Pentru a evita detecția în timpul extragerii de informații, atacatorii se folosesc de metode de distragere a atenției, cum ar fi atacurile DDoS (Distributed Denial-of-Service).
În unele cazuri, obținerea de informații nu este scopul final și nu constituie un APT. În schimb, resursele sunt orientate spre subminarea unui proiect, a unei misiuni sau a unui program important al organizației vizate.
Indiferent de scop, actorii încearcă în mod constant să își acopere urmele pentru a menține accesul nedetectat la rețea în vederea efectuării unor atacuri ulterioare.
Detectarea unei Advanced Persistent Threat presupune aplicarea unei strategii de securitate cuprinzătoare care include threat hunting la nivelul tuturor proceselor, sarcinilor de lucru și platformelor, monitorizarea meticuloasă a întregului mediu și analiza traficului de date de intrare și de ieșire din rețea. Echipele de securitate cibernetică trebuie să știe să recunoască „semnalele” subtile ale activității APT, cum ar fi modelele de trafic de comandă și control. Acești indicatori slabi trebuie să fie centralizați în cadrul unei analize consolidate a amenințărilor care poate fi accesată rapid și care permite acțiuni din partea unui utilizator. În lipsa acestora, echipele ar putea întâmpina dificultăți în implementarea unui răspuns eficient și în timp util.
După detecție, răspunsul trebuie să fie imediat și concentrat. Scopul este de a identifica sistemele afectate, de a elimina punctele de acces tip backdoor și de a preveni răspândirea în lateral la nivelul rețelei. De asemenea, organizațiile trebuie să investească timp și efort în analize meticuloase post-incident pentru a consolida apărarea împotriva atacurilor viitoare. Analiza atât a aspectelor tehnice ale breșei, cât și a procedurilor operaționale este fundamentală pentru a reduce profilul de risc al organizației.
O organizație poate urma cele mai bune practici pentru a reduce vulnerabilitățile de securitate exploatate în mod obișnuit de APT-uri, cum ar fi, dar fără a se limita la următoarele:
· Reducerea suprafeței de atac prin actualizări și instalarea periodică a patch-urilor pentru software, aplicații și dispozitive.
· Implementarea unei monitorizări extinse a traficului de rețea, a aplicațiilor și a domeniilor , precum și a unor măsuri solide de control al accesului , inclusiv autentificarea în doi pași, pentru a securiza punctele cheie de acces la rețea...
· Criptarea tuturor conexiunilor la distanță.
· Inspectarea e-mailurilor primite pentru a reduce riscurile asociate cu spear-phishingul.
· Analiza și înregistrarea imediată a evenimentelor de securitate pentru a facilita identificarea rapidă a amenințărilor și răspunsul la acestea.
La nivelul cel mai de bază, instruirea regulată poate reduce semnificativ riscul asociat factorilor umani. Eroarea umană este adesea cea mai slabă verigă a securității cibernetice, iar APT-urile exploatează frecvent acest lucru prin tehnici de inginerie socială. Existența unui plan oficial de răspuns la incidente, pus în practică, va permite o acțiune eficientă și coordonată în eventualitatea unei breșe de securitate.
Amenințările Advanced Persistent Threats (APT) evoluează în mod constant, ceea ce reprezintă o adevărată provocare pentru echipele de securitate. Această evoluție le pune la încercare capacitatea de a urmări, de a atenua amenințările și de a face față impactului acestora. Echipele de securitate pot detecta și răspunde la amenințările avansate prin utilizarea MITRE ATT& CK Framework, o bază globală de date despre tacticile și tehnicile utilizate de adversari.
Limitările bugetare și o lipsă constantă de profesioniști calificați duc la lipsa resurselor necesare la nivelul centrelor de operațiuni de securitate (SOC), furnizorilor de servicii de securitate gestionate (MSSP) și echipelor de securitate interne. Creșterea continuă a numărului de atacuri cibernetice sofisticate a dus la o creștere a numărului de echipe de securitate care integrează datele provenite din instrumentele standard de detecție cu informații utile privind amenințările.
Threat Intelligence - Informațiile privind amenințările, atunci când sunt asociate cu sistemele de Endpoint Detection and Response (EDR), devin un aliat puternic. Extinderea EDR pentru a include fluxuri și crearea funcției Extended Detection and Response (XDR) ajută organizațiile să valorifice vizibilitatea asupra tuturor bunurilor și dispozitivelor din rețea pentru a detecta potențialele puncte de acces pentru APT-uri.
Analiza aprofundată a jurnalelor de către o echipă nu poate distinge în timp real activitatea periculoasă de cea legitimă. Prin urmare, o bună apărare cibernetică se bazează pe o soluție de apărare cibernetică inteligentă și automatizată care valorifică informațiile privind amenințările cibernetice și mecanismele avansate de apărare pentru urmărirea adversarilor.
Multe organizații colaborează cu companii de securitate cibernetică pentru a beneficia de strategii de apărare avansate, utilizând senzori, tehnologii de threat intelligence, indicatori de compromitere (IOC) și firewalluri pentru aplicații web (WAF). Aceste parteneriate sunt vitale pentru a crea rezultate lizibile pentru activitatea de threat hunting, cu scopul de a căuta în mod proactiv indicatori ai activităților APT în cadrul unei organizații cu mai multe medii cloud sau hibride.
APT-urile reprezintă o categorie de amenințări care sunt mult mai complexe și mai metodice și care consumă mai multe resurse decât incidentele cibernetice obișnuite.
Constituirea acestei clasificări se datorează necesității de a identifica și de a aborda provocările unice pe care le creează adversarii ale căror campanii nu sunt doar oportuniste sau motivate financiar, ci sunt și strategice și persistente.
Alți factori de diferențiere care au făcut ca APT să devină un termen utilizat frecvent includ strategiile de infiltrare pe termen lung, fonduri semnificative și faptul că acestea sunt adesea sponsorizate de stat.
Din cauza naturii lor adesea imprevizibile și strategice, este aproape imposibil să se garanteze că autorii APT-urilor nu vor considera o organizație sau o persoană ca fiind o țintă. Dacă aveți o amprentă digitală, sunteți expus unor atacuri potențiale.
Nici cele mai mici IMM-uri nu sunt scutite în mediul economic interconectat de astăzi, deoarece organizațiile mai mari pot fi infiltrate prin intermediul companiilor mai mici din lanțul lor de aprovizionare. Prin urmare, vigilența constantă, evaluarea periodică a riscurilor și punerea în aplicare a practicilor de securitate cibernetică sunt singurele instrumente reale prin care puteți reduce șansele de a deveni o țintă a unui APT.
Amenințările din interior sunt persoane din cadrul unei organizații care acționează ca atacatori aflați în poziții de încredere. Aceștia ar putea fi angajați nemulțumiți care acționează din motive politice sau financiare sau agenți plasați intenționat. Aceste amenințări din interior pot fi extrem de dificil de detectat și de atenuat, deoarece au acces legitim la rețea și pot cunoaște practicile de securitate ale acesteia.
Pentru a reduce la minimum riscul de infiltrare a APT-urilor, organizațiile pot promova o cultură a securității bazată pe instruirea periodică a angajaților, verificarea riguroasă a antecedentelor, aplicarea principiului de drepturi minime pentru controlul accesului (încredere zero) și monitorizarea comportamentului personalului cu ajutorul sistemelor SIEM (Security Information and Event Management).