По определению,усовершенствованная постоянная угроза (APT)— это длительная целенаправленная атака на конкретную жертву с целью взлома ее системы и получения информации от этой цели или о ней.
Около десяти лет назад этот термин в основном использовался в отношении злоумышленников, действующих по поручению государства. Я использую здесь термин «злоумышленники», потому что в государстве, от имени которого и в интересах которого они действуют, они не считаются киберпреступниками. Конечно, это восприятие меняется, когда вы становитесь жертвой такой атаки.
Когда эти угрозы были впервые выявлены, их целями были правительства и военные организации. Сегодня целью может стать любой человек, организация или предприятие. Мы часто сталкиваемся с атаками на системы здравоохранения, телекоммуникации, финансы, MSP, SaaS-платформы и поставщиков цепочки поставок.
«APT» часто используется в качестве драматического обозначения для любого серьезного нарушения, даже если оно было кратковременным или случайным. Итак, давайте разберем это название, чтобы понять, что действительно можно считать APT.
Расширенный
Advanced не обязательно Advanced хакерство голливудского уровня, но это означает, что злоумышленники действуют обдуманно и хорошо подготовлены. Они часто комбинируют несколько техник: покупают или обнаруживают новые, неизвестные уязвимости программного обеспечения (так называемые уязвимости «нулевого дня»), злоупотребляют старыми, но неисправленными ошибками и создают очень убедительные фишинговые электронные письма, которые выглядят как подлинные сообщения от коллег или партнеров. Они также могут использовать легитимные инструменты администрирования, уже присутствующие в сети, что затрудняет обнаружение их деятельности, поскольку она выглядит как обычная работа ИТ-специалистов, так называемые LOLbins(Living Off the Land Binaries).
На практике «продвинутый» означает не столько использование самых современных инструментов, сколько выбор правильного сочетания инструментов и тактик для конкретной жертвы. Группа APT может потратить недели на изучение людей, систем и поставщиков цели, а затем проанализировать эти данные с помощью ИИ. Таким образом, когда они наконец начнут действовать, у них будет максимальный шанс добиться успеха с первой попытки.
Настойчивый
Настойчивость — вот что делает APT-атаки такими опасными. Этим злоумышленникам не нужны быстрые набеги. Они хотят проникнуть внутрь, остаться там и возвращаться снова и снова, пока доступ к системе будет им полезен. Если защитники обнаружат их деятельность и выгонят из одной системы, они могут воспользоваться другой «задней дверью», которую подготовили заранее, или просто перегруппируются и будут искать новый способ проникновения.
Настойчивость также означает, что они действуют медленно и тихо. Злоумышленники могут месяцами изучать сеть, создавая множество скрытых точек входа и регулярно проверяя, какие новые данные появились, которые стоит украсть. С точки зрения защитника, это превращает инцидент из единичного события в непрерывную кампанию. Вы должны предполагать, что злоумышленники будут пытаться снова, даже после того, как вы думаете, что удалили их.
Угроза
Слово «угроза» не подразумевает, что речь идет только об одном видевредоносного ПО. APT обычно включает в себя несколько типов атак. Оно относится ко всей операции: к людям, их инструментам и инфраструктуре, а не только к одному виду вредоносного ПО.
APT может включать в себя фишинг, использование уязвимостей, установку инструментов удаленного доступа, а также кражу или неправомерное использование паролей. В совокупности эти действия представляют угрозу для систем и данных организации.
За угрозой стоит команда, преследующая определенную цель (например, кража конфиденциальных чертежей, шпионаж в сфере коммуникаций или подготовка к будущим сбоям), и обладающая терпением и ресурсами, чтобы продолжать действовать до тех пор, пока не достигнет этой цели.
Как оставаться в безопасности
Чтобы не стать жертвой APT, предполагайте, что вам может противостоять сильный противник.
- Будьте осторожны с неожиданными электронными письмами, сообщениями и вложениями, не только на работе.
- По возможности используйте ключи доступа, а когда это невозможно — надежные уникальные пароли и менеджер паролей.
- Включайте многофакторную аутентификацию (MFA) везде, где это возможно.
- Обновляйте программное обеспечение и оборудование, особенно сетевое оборудование, доступное для общественности.
- Используйте современное решение для защиты от вредоносных программ, работающее в режиме реального времени, желательно с компонентом веб-защиты.
- Обращайте внимание на любую необычную активность и сообщайте о ней, так как даже мелкие детали могут оказаться важными в дальнейшем.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
