Целенасочени атаки
Целевата атака се отнася до тип атака, при която противниците се стремят активно, тихо, но не непременно бързо, да компрометират сигурността, поверителността и целостта на информацията на целта. Нападателите, извършващи този тип действия, обикновено са експерти - те имат необходимите знания, опит и финанси, за да продължат - докато напълно противодействат на защитите и постигнат целите си.
Кампанийно ориентиран
Целевите атаки обикновено са текущи кампании - много от тях ще бъдат неуспешни, но нападателите ще продължат, докато намерят метод, който ще гарантира входна точка.
Постоянно подобряващ се
С течение на времето противниците ще подобрят своите инструменти, тактики и техники. В повечето сценарии атакуваните са потребителите (или служителите), а не устройствата.
Цели индустрии са под радара
Обикновено не става въпрос само за един бизнес или компания – целта е цяла индустрия. Нападателите имат дългосрочни цели и обикновено се водят финансово или политически.
Етапите
-
1. Събиране на разузнавателна информация (проучване)
Известна също като фаза на разузнаване. Нападателите ще проучат ИТ средата (използвания софтуер), организационната структура и управлението. В някои случаи те могат да наблюдават интересите на служителите в социалните медии. Прекомерното споделяне често позволява на участниците в заплахата да придобият знания за горещи теми, скорошни събития, свързани с работата проблеми и притеснения и др. Тази информация е полезна за персонализиране на атаките.Списъчен елемент 1 -
2. Първоначален достъпЕлемент 2 от списъкаПървоначалният компромис варира, но обикновено включва фишинг, експлойти от нулев ден и други форми на социално инженерство, при които служителите ще бъдат подмамени да изпълнят зловреден код. Именно този код ще позволи на нападателите да преминат напред към другите етапи. Обикновено RAT (инструмент за отдалечен достъп) е най-полезен за етап 3, описан по-нататък, и може да се комбинира с привилегии на ниво ядро, защото това ще позволи на злонамерените участници напълно да унищожат защитите.
-
3. Командване и контрол (c&c)Списък Елемент 3Нападателите ще продължат да установяват постоянна комуникация с инструментите, които са успели да поставят, и ще направят всичко възможно да скрият тази комуникация. Те ще проведат задълбочено проучване на компрометирания хост и тази информация ще бъде полезна за етап 4, описан по-нататък.
-
4. Странично движениеЕлемент от списък 4Използвайки различни техники за откриване и изхвърляне на идентификационни данни, нападателите биха компрометирали повече хостове. Злонамерените процедури, описани в предишните етапи, се повтарят за всеки хост. Това ще им позволи да продължат към етап 5, описан по-нататък.
-
5. Откриване и ексфилтриране на активиТова обикновено се прави чрез изследване на файлове и папки. Нападателите откриват точно машини, съдържащи информация, която може да бъде ценна - това обикновено са разузнавателни данни за клиенти и вътрешни проекти. Информацията се изтегля на машините на нападателите и бизнесът вече е напълно компрометиран, оставен на милостта на нападателите.
Какво могат да направят собствениците на фирми, за да гарантират, че тяхната информация остава в безопасност от целенасочени атаки?
Тренирайте, тренирайте, пак тренирайте
Уверете се, че служителите са обучени да разпознават фишинг и други форми на социално инженерство.
Пазете вратите
Инвестирайте в сигурност, която пази вратите (уеб и имейл. Обикновено е най-добре да използвате решения от един доставчик, безпроблемно интегрирани и лесни за управление.
Инвестирайте в цялостна мрежова сигурност
Цялостната мрежова сигурност, която обхваща C&C блокиране и предотвратяване на проникване, значително ограничава риска от успешна атака.
Още най-добри практики
- Поддържайте операционната система и софтуера актуални. Уверете се, че на служителите не се дават повече привилегии, отколкото са им необходими за работа. Избягвайте повторното използване на корпоративни пароли. Винаги използвайте силни пароли и двуфакторно удостоверяване. Уверете се, че служителите не участват в несвързани с работата дейности на устройствата на компанията. Уверете се, че разполагате с план за възстановяване на атака, в случай че всички защити са се провалили
Допълнителни ресурси
За да разберете атаките в дълбочина, винаги се препоръчва да посетите уебсайта на Mitre. Рамката ATT&CK, ако не ABC, със сигурност е D на киберсигурността. Той описва различните тактики и техники, както и APT (Advanced Persistent Threat) групи.