Napredna trajna pretnja

Из Википедије, слободне енциклопедије
Иди на навигацију Иди на претрагу

Napredna trajna pretnja (енгл. Advanced persistent threat (APT), je skup skrivenih i trajnih hakerskih procesa, često orkestriranih od strane pojedinaca i uperenih prema određenom entitetu. APT najčešće cilja organizacije i/ili nacije iz poslovnih ili političkih motiva. APT procesi zahtevaju visok nivo prikrivenosti u dužem vremenskom periodu. Napredni proces naglašava sofisticirane tehnike korišćenja zlonamernog softvera u iskorišćavanju ranjivosti računarskih sistema. Trajni proces sugeriše na spoljni Command and Control (C&C) sistem koji kontinuirano prati i izvlači podatke iz određene mete. Pretnja ukazuje na ljudsko učešće u u organizovanju i sprovođenju napada.[1]

APT se obično odnosi na grupu, kao što je vlada, sa mogućnošću i namerom trajnog i efikasnog ciljanja određenog entiteta. Termin se obično koristi da označi cyber pretnje, posebno špijunaže preko Interneta korišćenjem različitih tehnika prikupljanja obaveštajnih podataka za pristup osetljivim informacijama[2], ali se podjednako odnosi i na druge pretnje kao što su tradicionalna špijunaža ili napadi.[3] Ostali prepoznati vektori napada uključuju zaražene medijume, kompromitovanje lanca snabdevanja i socijalni inžinjering. Svrha ovih napada je smeštanje zlonamernog koda na jedan ili više računara za vršenje određenih zadataka uz zadržavanje prikrivenosti u što dužem vremenskom periodu. Poznavanje napadačkih artefakata, kao što su imena datoteka, može pomoći u pretrazi i otkrivanju svih pogođenih sistema u mreži.[4]

Pojedinci, kao što su pojedinačni hakeri, obično ne potpadaju pod kategoriju APT napada, iz razloga što retko imaju resurse da istovremeno budu napredni i trajni, čak i ako imaju nameru da dobiju pristup ili napadnu određeni cilj.[5]

Istorijat i mete napada[уреди]

Prva upozorenja na ciljane napade, u vidu socijalno inžinjerisanih e-mail poruka sa trojancima koji izvlače osetljive informacije, su objavljena od strane Britanske i Američke CERT organizacije 2005. godine, iako ime APT tom prilikom nije korišćeno.[6] Za termin advanced persistent threat se uglavnom navodi da potiče iz 2006. godine od strane Američkog ratnog vazduhoplovstva[7], dok se pukovnik Greg Rattray često navodi kao osoba koja je skovala izraz.[8]

Stuxnet računarski crv, koji je pogodio računarski hardver Iranskog nuklearnog programa, je jedan primer. U ovom slučaju, Iranska vlada može smatrati kreatore Stuxnet malvera naprednom trajnom pretnjom.

Unutar computer security zajednice, i sve više u medijima, termin se skoro uvek koristi u vezi sa obrascima dugoročnih sofisticiranih hakerskih napada uperenih prema vladama, kompanijama i političkim aktivistima, a kao dodatak, i da se označe grupe koje stoje iza ovih napada. Fokus termina naprednih trajnih pretnji se pomera prema hakovanju kompjutera zbog rastućeg broja događanja. PC World je prijavio 81% povećanja posebno naprednih ciljanih hakerskih napada u periodu od 2010. do 2011. godine.[9]

United States Cyber Command ima zadatak da koordinira odgovor Oružanih snaga SAD na sajber napade.

Brojni izvori su tvrdili da pojedine APT grupe povezane sa, ili su agenti nacionalnih država.[10][11][12] Firme koje poseduju veliku količinu ličnih informacija su u velikom riziku da budu meta APT napada, uključujući:[2]

  • Visoko obrazovne ustanove[13]
  • Finansijske institucije (banke, osiguravajuća društva, berze, fondovi, štedionice)
  • Zdravstvene ustanove

Karakteristike APT pretnji[уреди]

Bodmer, Kilger, Carpenter and Jones su definisali sledeće APT kriterijume:[14]

  • Ciljevi – krajnji cilj pretnje, napadača
  • Vremenski okvir – vreme provedeno u sondiranju i pristupu vašem sistemu
  • Resursi – nivo znanja i alata korišćenih u događaju (veštine i metode dobijaju na težini ovde)
  • Tolerancija na rizik – do koje mere će pretnja ići da ostane neotkrivena
  • Veštine i metode – sredstva i tehnike koje se koriste tokom događaja
  • Akcije – precizni koraci pretnje ili pretnji
  • Polazne tačke napada – broj tačaka gde se napad prvobitno dogodio
  • Brojevi vezani za napad – koliko je internih i eksternih sistema bilo uključeno u događaj i koliko različiti sistemi imaju različitog uticaja /važnosti
  • Izvor znanja – sposobnost prepoznavanja bilo kakve informacije vezane za bilo koju pretnju kroz online prikupljanje informacija

Životni ciklus APT pretnji[уреди]

Dijagram koji prikazuje životni ciklus organizovanog nastupa napredne trajne pretnje (APT) koji se ponavlja nakon izvršenja.

Učesnici koji stoje iza APT pretnji kreiraju rastući i promenjivi rizik po finansijska sredstva, intelektualnu svojinu i reputaciju[15] prateći kontinuirani proces:

  1. Ciljanje određene organizacije zbog jedinstvenog cilja
  2. Pokušavaj da se stekne uporište u okruženju (uobičajena taktika uključuje spear phishing mejlove)
  3. Korišćenje kompromitovanih sistema za pristup u ciljanu mrežu
  4. Dopremanje dodatnih alata koji pomažu u ispunjenju cilja napada
  5. Prikrivanje tragova kako bi se zadržao pristup za buduća delovanja

Terminologija[уреди]

Precizna definicija šta je tačno APT može da varira, ali se može sažeti kroz sledeće uslove:[3][5][16]

  • Napredne – napadači imaju na raspolaganju širok spektar tehnika za prikupljanje podataka. To može da uključuje tehnike i tehnologije upada na računare, ali se i proširuje konvencionalnim tehnikama za prikupljanje podataka. Dok se pojedinačne komponente napada ne mogu kvalifikovati kao posebno napredne (npr. zlonamerni softver generisan od strane široko dostupnih gotovih ili uradi sam kompleta), napadači obično mogu razviti naprednije alate prema potrebi. Obično kombinuju više metoda, alata i tehnika da bi došli do svojih meta, izvršili upad i održali pristup.
  • Trajne (uporne, postojane) – napadači daju prednost određenom zadatku, umesto što traže podatke za finansijsku ili drugu korist. Napad se vrši kroz kontinuirano praćenje i interakciju u cilju postizanja cilja. To ne znači bombardovanje stalnim napadima i ažuriranjem zlonamernog softvera. U stvari tiho i polako je pristup koji je uspešniji. Ukoliko napadač izgubi pristup meti, obično pokušava, često uspešno, da ponovo stekne pristup. Jedan od ciljeva je ostvarivanje dugoročnog pristupa meti, nasuprot pretnjama kojima je potreban jednokratan pristup za izvršenje određenog zadatka.
  • Pretnje – APT je pretnja, jer poseduje i sposobnost i nameru. APT napadi se vrše koordinisanim ljudskim postupcima, umesto bezumnim i automatizovanim delovima kôda. Napadači imaju specifičan cilj, obučeni su, motivisani, organizovani i dobro finansirani.

Strategije umanjenja[уреди]

Postoje stotine miliona varijanti zlonamernog softvera, zbog čega je zaštita organizacije od APT pretnji ogroman izazov. Dok su APT aktivnosti prikrivene i teško ih je otkriti, Command and Control (C&C) mreže koje su povezane sa APT pretnjom se mogu detektovati na mrežnom sloju. Detaljna analiza logova iz različitih izvora i njihova korelacija na Security Information and Event Management (SIEM) sistemu može biti veoma korisna u otkrivanju APT pretnji. Ovde je veliki izazov razlikovanje legitimnog saobraćaja od šuma, na koji se treba fokusirati.[1]

Spoljašnje veze[уреди]

Literatura[уреди]

  1. 1,0 1,1 Dr. Sam Musa. „Advanced Persistent Threat - APT”. Приступљено 09. 05. 2016. 
  2. 2,0 2,1 „Anatomy of an Advanced Persistent Threat (APT)”. Dell SecureWorks. Приступљено 09. 05. 2016. 
  3. 3,0 3,1 „Are you being targeted by an Advanced Persistent Threat?”. Command Five Pty Ltd. Архивирано из оригинала на датум 06. 04. 2011. Приступљено 09. 05. 2016. 
  4. ^ „Search for malicious files”. Malicious File Hunter. Приступљено 09. 05. 2016. 
  5. 5,0 5,1 „The changing threat environment ...”. Command Five Pty Ltd. Приступљено 09. 05. 2016. [мртва веза]
  6. ^ Hutchins, Eric M., Michael J. Clopperty, Rohan M. Amin, Ph.D. „Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains” (PDF). Lockheed Martin Corporation Abstract. Приступљено 09. 05. 2016. 
  7. ^ „Assessing Outbound Traffic to Uncover Advanced Persistent Threat” (PDF). SANS Technology Institute. Приступљено 09. 05. 2016. 
  8. ^ „Introducing Forrester's Cyber Threat Intelligence Research”. Forrester Research. Архивирано из оригинала на датум 15. 04. 2014. Приступљено 09. 05. 2016. 
  9. ^ Olavsrud, Thor. „Targeted Attacks Increased, Became More Diverse in 2011”. PCWorld. 
  10. ^ „Under Cyberthreat: Defense Contractors”. BusinessWeek. 6. 07. 2009. Архивирано из оригинала на датум 11. 01. 2010. Приступљено 20. 01. 2010. 
  11. ^ „Understanding the Advanced Persistent Threat”. Tom Parker. 4. 02. 2010. Приступљено 04. 02. 2010. 
  12. ^ „Advanced Persistent Threat (or Informationized Force Operations)” (PDF). Usenix, Michael K. Daly. 4. 11. 2009. Приступљено 04. 11. 2009. 
  13. ^ Ingerman, Bret. „Top-Ten IT Issues, 2011”. Educause Review. 
  14. ^ Bodmer, Sean; Dr. Max Kilger; Carpenter, Gregory; Jade Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Osborne Media. ISBN 978-0071772495. 
  15. ^ „Outmaneuvering Advanced and Evasive Malware Threats”. Secureworks. Secureworks Insights. Приступљено 24. 02. 2016. 
  16. ^ „What's an APT? A Brief Definition”. Damballa. 20. 01. 2010. Архивирано из оригинала на датум 11. 02. 2010. Приступљено 20. 01. 2010. 

Spoljašnje veze[уреди]