Vad är ett Advanced Persistent Threat (APT)?

Utforska APT-världen, där sofistikerade strategier och taktiker ständigt utvecklas och skapar nya utmaningar för den globala cybersäkerheten.

Översikt

Definition
Så här fungerar det
Typer av APT
Attackfaser
Detektering och respons

Säkerhetslösningar

Ett APT (advanced persistent threat) är en typ av attack som riktar in sig på en viss organisation, ger åtkomst och sedan lurar i miljön, utan att upptäckas, exfiltrerar data eller väntar på rätt tillfälle att genomföra en mer förödande attack. Denna typ av hot definieras av dess strategiska inriktning och uthållighet, samt de avancerade taktiker, tekniker och förfaranden som används.

Huvudsyftet med en APT-attack är att tjäna pengar. Ibland exfiltrerar inkräktarna data, medan de i andra situationer väntar tills förhållandena är de bästa för att slutföra sin cyberattack. Vanligtvis är det slutliga målet att göra det extremt svårt att förebygga, skydda, upptäcka och reagera på uppföljningsattacker. Enkelt uttryckt vill dessa angripare inte att du ska veta att de finns i din miljö.

Enheter med högt värde, vanligtvis sådana som innehar betydande, känsliga uppgifter eller spelar en viktig roll för nationell säkerhet eller ekonomisk stabilitet, är ofta måltavlor. Organisationer utses på grund av sitt strategiska värde och den potentiella effekten av att de äventyras, däribland myndigheter, enheter med kritisk infrastruktur, försvarsentreprenörer samt försäljare och leverantörer i de utsedda organisationernas leveranskedja.

Stora företag och statliga organisationer är också måltavlor på grund av den enorma mängd värdefulla data de besitter. Allt oftare utnyttjas mindre företag eftersom de är en del av en större enhets leveranskedja. Detta gör det i slutändan möjligt för angriparen att infiltrera det primära, större målet.

APT-aktörer kastar ett brett nät över vertikaler. Högvärdiga mål finns inom sektorerna försvar, finans, juridik, industri, telekommunikation och konsumentvaror.

Hur fungerar det?

Advanced Persistent Threats (APT) skiljer sig från andra cyberhot genom sin sofistikering och komplexitet, där avancerade tekniker kombineras med vanliga sociala taktiker som nätfiske eller skräppost. De är minutiöst planerade och utförda, med fokus på ett enda mål efter omfattande undersökningar av offrets attackyta. I genomförandefasen av en APT är målet att förbli oupptäckt i nätverket så länge som möjligt. Detta kan pågå i veckor och till och med år.

Se mer

Genom att använda kommersiella underrättelseresurser och öppen källkod använder APT:er en rad olika tekniker för att samla in underrättelser, från grundläggande malware till spionageverktyg på statlig nivå. APT:ernas praktiska natur återspeglas också i de metoder som används. Manuell körning är att föredra framför automatiserade skript eftersom angripare vill skräddarsy attacker och använda metoder som fillösa attacker och att leva av landet.

Vanliga och mycket effektiva angreppstekniker, som RFI, SQL-injektion och XSS, används ofta. Bland de viktigaste symptomen på en APT-attack finns bakdörrstrojaner, ovanlig kontoaktivitet och avvikelser i dataflöden när en angripare har etablerat ett fotfäste och är aktiv i en miljö.

APT:er använder ofta anpassad skadlig kod (APT-malware) som är utformad för att undgå upptäckt och ge fjärrstyrning och kontroll över komprometterade system. Verktyg, taktik, teknik och förfaranden uppdateras ofta för att undgå upptäckt. Även om delar av verksamheten avslöjas kan hotaktörerna fortfarande återfå åtkomst. Detta "låga och långsamma" tillvägagångssätt beror på långsiktiga strategiska mål som spionage, punktvisa störningar, datastöld, snarare än att uppnå målet med en obeveklig spärreld av attacker eller en engångsexplosion som utpressningstrojaner.

Typer av Advanced Persistent Threats

APT:er kategoriseras utifrån olika kriterier, från ursprung och metoder till infiltrationsmetoder eller geografiskt fokus.

Det finns ingen perfekt uppsättning egenskaper som definierar varje Advanced Persistent Threat, men de kategorier av APT som oftast påträffas och diskuteras är följande:

· APT:er från nationalstater: Med enorma budgetar och tillgång till den senaste tekniken, tillsammans med juridisk täckning, utför dessa hotaktörer några av de mest sofistikerade uppdragen. Dessa inkluderar långsiktigt spionage, datastöld, manipulation av den allmänna opinionen m.m. De har väletablerade politiska eller militära mål och riktar in sig på regeringsorganisationer, militära anläggningar, viktig infrastruktur, ekonomiska aktörer och i princip allt och alla som kan hjälpa dem att uppnå sina långsiktiga mål.

· Kriminella APT:er: Vissa grupper som ägnar sig åt APT-aktiviteter fokuserar på att stjäla pengar eller andra värdefulla data som immateriella rättigheter eller komprometterande data för utpressning eller utpressning. Ofta är det slutliga målet för dessa hotaktörer att distribuera ransomware i värdefulla nätverk, begå bankbedrägerier, stjäla och sälja kreditkortsinformation eller till och med utvinna kryptovaluta olagligt med hjälp av offrens infrastruktur.

· Hacktivistiska APT:er: Vissa grupper använder sin cyberkapacitet för att driva politiska agendor, åstadkomma social förändring eller främja ideologier genom riktade attacker som syftar till att tysta kritiker, sprida propaganda eller krossa oppositionen. Deras taktik omfattar DDoS-attacker (Distributed Denial of Service), defacing av webbplatser och läckage av känslig information. Dessa grupper söker publicitet, ofta uttryckt genom manifest eller offentliga budskap.

· Företags-/affärs-APT:er: Dessa APT:er är anställda eller sponsrade av företagsorganisationer och spionerar på konkurrenter, vanligtvis på storföretagsnivå. I och med uppkomsten av APT-as-a-service erbjuder skickliga cyberkriminella grupper nu sina tjänster för industrispionage. Hotaktörer i denna kategori motiveras av att få en konkurrensfördel, ekonomisk vinning eller att få värdefull information för företagsspionage.

Faser i en Advanced Persistent Threat-attack

1. Infiltration - Få in en fot: I det första skedet utnyttjar angriparen sårbarheter eller använder sociala tekniker för att få obehörig åtkomst. Metoderna sträcker sig från att utnyttja nolldagssårbarheter eller svagheter i nätverket till spjufiske riktat mot nyckelpersoner i organisationen. Målet är att skapa en diskret ingångspunkt och förbereda för angreppet.

2. Expansion - utforska för att etablera uthållighet: Efter en lyckad första infiltration rör sig angriparna lateralt över nätverket för att utöka sin kontroll och fördjupa sin åtkomst. De söker vanligtvis konton med förhöjda behörigheter för att få bättre tillgång till kritiska system och känsliga uppgifter. Angripare kan använda skadlig kod för att skapa ett nätverk av bakdörrar och tunnlar, vilket gör det lättare att röra sig obemärkt i systemet. Angriparnas ansträngningar inriktas på att förskansa sig i en position som är bättre lämpad för att uppnå deras primära mål.

3. Extraktion - Fly : I den här fasen har angriparna ofta redan en förståelse för systemets sårbarheter och arbetssätt. Denna kännedom gör att de kan samla in den information som behövs och kanske lagra den på en säker plats inom nätverket. För att undvika upptäckt under extraktionen använder hotaktörerna distraktioner som DDoS-attacker (Distributed Denial-of-Service).

I vissa fall är det inte det slutliga målet med APT:n att få information. Istället inriktas resurserna på att underminera ett viktigt projekt, uppdrag eller program hos den utvalda organisationen.

Oavsett målet försöker aktörerna konsekvent dölja sina spår för att behålla oupptäckt åtkomst till nätverket för ytterligare attacker.

Upptäcka och reagera på APT:er

För att upptäcka ett Advanced Persistent Threat krävs en omfattande säkerhetsstrategi som omfattar hotjakt i processer, arbetsbelastningar och plattformar, noggrann övervakning i hela miljön samt analys av både inkommande och utgående nätverkstrafik. Cybersäkerhetsteamen måste vara skickliga på att känna igen de subtila "signalerna" från APT-aktivitet, t.ex. trafikmönster för ledning och kontroll. Dessa svaga indikatorer måste sammanställas till en konsoliderad hotanalys som snabbt kan nås och åtgärdas av en människa. Utan detta kan teamen ha svårt att genomföra en snabb och effektiv insats.

Vid upptäckt ska reaktionen vara omedelbar och fokuserad. Målet är att identifiera berörda system, ta bort bakdörrar och förhindra laterala förflyttningar. Organisationer måste också investera tid och kraft i noggranna analyser efter incidenten för att stärka försvaret mot framtida attacker. Att analysera både de tekniska aspekterna av intrånget och de operativa rutinerna är grundläggande för att minska organisationens riskprofil.

Det finns bästa praxis som en organisation kan följa för att minska de säkerhetsproblem som ofta utnyttjas av APT:er, t.ex:

· Minska angreppsytan genom regelbundna uppdateringar och patchar av programvara, applikationer och enheter.

· Genomföra omfattande övervakning av nätverkstrafik, applikationer och domäner samt robusta åtgärder för åtkomstkontroll, inklusive tvåfaktorsautentisering, för att säkra viktiga åtkomstpunkter i nätverket.

·Kryptering av alla fjärranslutningar.

·Inspektera inkommande e-post för att minska riskerna i samband med spjutfiske.

· Analysera och logga säkerhetshändelser omedelbart för att underlätta snabb identifiering och hantering av hot.

Säkerhetsåtgärder och förebyggande åtgärder mot APT

På den mest grundläggande nivån kan regelbunden utbildning avsevärt minska den risk som orsakas av mänskliga faktorer. Mänskliga misstag är ofta den svagaste länken i cybersäkerhet, och APT:er utnyttjar ofta detta genom social ingenjörskonst. Att ha en formaliserad och övad incidenthanteringsplan på plats möjliggör effektiva och samordnade åtgärder vid ett säkerhetsintrång.

Advanced Persistent Threats (APT) utvecklas ständigt och utgör en verklig utmaning för säkerhetsteamen. Denna utveckling utmanar deras förmåga att spåra, mildra hot och vara motståndskraftiga mot deras påverkan. Säkerhetsteam kan upptäcka och bemöta avancerade hot med hjälp av MITRE ATT&CK Framework, en global kunskapsbas över motståndarens taktik och teknik.

Budgetbegränsningar och en ihållande brist på kvalificerad personal gör att Security Operations Centers (SOC), Managed Security Services Providers (MSSP) och interna säkerhetsteam saknar de resurser som krävs. Den pågående ökningen av sofistikerade cyberattacker har lett till en ökning av antalet säkerhetsteam som integrerar data från standardverktyg för detektering med användbar hotinformation.

När hotinformation kombineras med EDR-system (Endpoint Detection and Response ) blir den en kraftfull allierad. Genom att utöka EDR till att omfatta flöden och skapa XDR (Extended Detection and Response ) kan organisationer få bättre insyn i alla nätverkstillgångar och enheter för att upptäcka potentiella ingångspunkter för APT:er.

Djupgående logganalys av ett team kan inte särskilja skadlig aktivitet från legitim aktivitet i realtid. Ett bra cyberförsvar är därför en intelligent, automatiserad cyberförsvarslösning som utnyttjar information om cyberhot och avancerade försvarsmekanismer för att jaga motståndare.

Många organisationer samarbetar med cybersäkerhetsföretag för avancerade försvarsstrategier, utplacering av sensorer, användning av hotinformation, indikatorer på kompromisser (IOC) och brandväggar för webbapplikationer (WAF). Dessa partnerskap är avgörande för att ge mänskligt läsbara resultat för hotjakt, som syftar till att proaktivt söka efter indikatorer på APT-aktiviteter inom en organisations multi- eller hybridmoln.

Vanliga frågor

Varför kände cybersäkerhetsvärlden behovet av att särskilja Advanced Persistent Threats från den bredare kategorin av cyberhot?

APT utgör en kategori av hot som är betydligt mer komplexa, metodiska och resurskrävande än vanliga cyberincidenter.

Denna klassificering har tillkommit på grund av behovet av att identifiera och hantera de unika utmaningar som ställs av motståndare vars kampanjer inte bara är opportunistiska eller ekonomiskt motiverade utan också strategiska och uthålliga.

Andra särskiljande faktorer som ledde till att APT blev en allmänt använd term är deras långsiktiga infiltrationsstrategier, betydande finansiering och ofta statsstödda ursprung.

Finns det något sätt på vilket jag kan se till att APT-aktörer inte betraktar mig som en måltavla?

På grund av deras ofta oförutsägbara och strategiska natur är det nästan omöjligt att garantera att APT-aktörer inte kommer att betrakta en organisation eller individ som ett mål. Om du har ett digitalt fotavtryck är du utsatt för potentiella attacker.

Även de minsta små och medelstora företagen är undantagna i dagens sammankopplade ekonomier, eftersom större organisationer kan infiltreras via mindre företag i sin leveranskedja. Därför är ständig vaksamhet, regelbunden riskbedömning och implementering av cybersäkerhetsrutiner de enda verkliga verktygen för att minimera risken för att bli ett APT-mål.

Är det möjligt för APT-infiltration att ske genom avsiktlig placering av ett insiderhot inom en organisation?

Insiderhot är individer inom en organisation som agerar som hotaktörer i förtroendepositioner. De kan vara missnöjda anställda som agerar av politiska eller ekonomiska skäl, eller avsiktligt utplacerade agenter. Dessa insiderhot kan vara extremt svåra att upptäcka och motverka eftersom de har legitim åtkomst till nätverket och kan ha en djup förståelse för dess säkerhetsrutiner.

För att minimera risken för APT-infiltration kan organisationer främja en säkerhetskultur som bygger på regelbunden utbildning av anställda, rigorösa bakgrundskontroller, tillämpning av principen om minsta privilegium vid åtkomstkontroll (zero trust) och övervakning av personalens beteende med SIEM-system (Security Information and Event Management).