Перейти к содержанию

Все, что нужно знать об APT


Рекомендуемые сообщения

Сегодня мы довольно много говорим о вредоносном ПО, которое вторгается в нашу повседневную жизнь. Что-то из этого списка более опасно, что-то менее, что-то ориентировано на обычных пользователей, а что-то — на компании. Компании, кстати, в этом списке еще и потому, что интеллектуальная собственность представляет немалую ценность. Расширенная постоянная угроза (Advanced persistent threats, APT) является одной из самых опасных, существующих в настоящее время. В ходе Европейской конференции RSA-2013 мы встретились с Нилом Такером, специалистом по вопросам стратегии безопасности WebSense, Хайме Бласко, директором AlienValut Labs, и Костином Райю, руководителем центра глобальных исследований и анализа угроз «Лаборатории Касперского». Все вместе мы обсудили характеристики этой угрозы и способы защиты от нее.

Угрозы компаниям: это надо знать.

 

Расширенные постоянные угрозы — довольно угрожающе звучит, верно? Тем не менее они всегда где-то рядом уже несколько лет. «Расширенные» потому, что в этих атаках используются более сложные инструменты, чем те, которые обычно применяют киберпреступники. «Постоянная» потому, что брешь в корпоративной сети пробивается непрерывно, и это может длиться месяцами, а то и годами. Отсюда вывод, что такие атаки организуются против каких-либо корпораций. Тем не менее частные пользователи тоже не могут быть в безопасности, так как сами по себе не являются интересной целью для преступников крупного масштаба. Однако если кто-то из вашего окружения — родственник, член семьи, друг — занимает заметный пост в крупной компании, то в этом случае вы можете стать полезным киберпреступнику, ищущему выход к этой компании. Ущерб от таких атак намного более существенный, чем от атак простых хакеров. Как  объяснил Нил Такер: «Они используют различные векторы, различные типы эксплойтов и самые разнообразные виды уязвимостей доступа к конфиденциальным данным компании». Так что же является основной целью подобных атак? Вы будете удивлены, но основной целью таких атак является интеллектуальная собственность компаний.

Интеллектуальная собственность — основная цель

Основной целью таких атак является интеллектуальная собственность компаний.

Большинство компаний хранят важную информацию в сети. Патенты, инновационные проекты, готовые результаты, порой даже конфиденциальные данные — все это хранится в сети. Основная цель APT — интеллектуальная собственность. Исполнители атаки определяют сотрудников, которые имеют доступ к нужной информации и при этом желательно не в курсе всех вопросов безопасности. Именно они будут теми тоннелями, через которые злоумышленники и будут проникать в сеть и завладевать нужной им информацией. «Если в вашей компании есть информация подобного рода, вы должны быть в курсе этих типов угроз и использовать все необходимые средства, существующие в настоящее время, для защиты объектов интеллектуальной собственности», — предупредил Хайме Бласко. Но исполнители угрозы могут и не заниматься шпионажем.  Они могут нанести серьезные повреждения сети и парализовать всю систему функционирования компании. Как объяснил Костин Райю: «У нас были случаи, когда такие атаки приносили прямой ущерб деятельности компании. Например, целевая атака против нефтяной компании Saudi Aramco парализовала 30 000 компьютеров в августе прошлого года. Так что хотя основной мишенью постоянной расширенной угрозы и является интеллектуальная собственность, но подобная атака может вызвать паралич всей сети, а следовательно, и деятельности компании».

Теперь, когда мы разобрались с целями этих атак, вам, наверное, интересны методы и способы борьбы против них?

Панацеи нет, но это не значит, что защищаться бесполезно

Целевые атаки или APT будут актуальны до тех пор, пока компании будут обладать привлекательной информацией.

Первое, что нужно знать, как говорят все трое наших экспертов, — это то, что абсолютного противоядия нет. Тем не менее каждый из них дал нам некоторые рекомендации, позволяющие свести риск к минимуму. Никаких волшебных рецептов нет, но некоторые действия и процессы должны быть использованы, как о том говорит Хайме Бласко: «Очевидно, вы ждете готовых рецептов, чтобы защититься от угроз, но я считаю правильным комплексное решение из определенных технологий, процессов и особенностей поведения. Я считаю сочетание всего этого наиболее важным». Костин Райю добавил: «Изучение жертв APT также очень полезно. Изучая их, мы замечаем, что 95% жертв стали таковыми из-за недостаточно высоких норм безопасности. Они не знали о возможных рисках, не устанавливали все патчи обновления и не использовали актуальное антивирусное программное обеспечение. И они попали под атаку. Прежде всего компаниям необходимо убедиться, что в системе установлены все последние обновления, самые свежие версии операционных систем и используются безопасные браузеры (такие как FireFox или Chrome) со всеми обновлениями. Однако необходимо также обучать пользователей. Если вам удастся проделать все это, то вы будете неплохо защищены от направленных атак». Нейл Такер считает, что важное значение имеет просвещение сотрудников: «Это образование должно проводиться на всех уровнях компании. Не стоит недооценивать киберпреступников, но если вы все знаете о возможных рисках и приняли все меры безопасности, то с вами постараются не связываться».

В заключение этой беседы с экспертами можно с уверенностью сказать, что целевые атаки или APT будут актуальны до тех пор, пока компании будут обладать привлекательной информацией. Пока готового и общего решения этой проблемы нет, но профилактика и образование являются серьезными барьерами перед возможной опасностью. Всегда помните, что 100-процентной безопасности не существует, поэтому надо постоянно проявлять бдительность.



Читать далее >>
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Желание оставаться анонимным в Интернете существует столько же лет, сколько и сам Интернет. Раньше пользователи считали, что, скрываясь за никнеймом, можно писать гадости про соседа на местных форумах — и никто не узнает об этом. Сейчас таких троллей можно вычислить на раз-два. С тех пор технологии совершили квантовый скачок: появились распределенные сети, анонимные браузеры и прочие инструменты для личной конфиденциальности. Один из них, Tor Browser*, особенно активно продвигал десять лет назад бывший агент АНБ Эдвард Сноуден.
      А может ли сегодня Tor обеспечить полную анонимность — или можно уже не заморачиваться и переходить на классический браузер вроде Google Chrome?
      Как деанонимизируют пользователей Tor
      Если вы впервые слышите про Tor и не представляете, как он работает, ознакомьтесь с нашим винтажным материалом. Там мы ответили на самые популярные вопросы: как в браузере обеспечивается анонимность, кому она нужна и чем обычно занимаются в теневом Интернете. Если коротко, то анонимизация трафика пользователей Tor обеспечивается за счет распределенной сети серверов, которые называют узлами. Весь сетевой трафик многократно шифруется, проходя через несколько сетевых узлов на пути между двумя коммуницирующими компьютерами. Ни один сетевой узел не знает одновременно и адрес отправки пакета данных, и адрес получателя, к тому же узлам недоступно содержимое пакета. Теперь, когда короткий экскурс закончен, мы сосредоточимся на реальной угрозе безопасности адептов анонимного Интернета.
      В сентябре немецкие спецслужбы установили личность одного из пользователей Tor. Как им это удалось? Главным ключом в деанонимизации стали данные, полученные в результате так называемого временнóго анализа.
       
      View the full article
    • Alexk6
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • KL FC Bot
      От KL FC Bot
      Игра Battle City, более известная как танчики, — символ давно ушедшей эпохи. Около 30 лет назад геймеры вставляли картридж в приставку, садились за пузатые телевизоры и пачками уничтожали вражеские танки до тех пор, пока кто-нибудь им не скажет про «кинескоп, который вот-вот должен сесть».
      Сегодня мир совсем другой, а танчики по-прежнему популярны. Дело в том, что современные аналоги предлагают геймерам не только поиграть, но и заработать NFT-токены. Злоумышленники тоже кое-что предлагают: сложную атаку для любителей криптовалютных игр.
      Бэкдор и эксплойт уязвимости нулевого дня в Google Chrome
      Эта история началась в феврале 2024 года, когда наше защитное решение обнаружило проникновение бэкдора Manuscrypt на компьютер пользователя из России. Такой бэкдор нам давно известен, его различные версии используют члены группировки APT Lazarus как минимум с 2013 года. Но что особенного в этой истории, если мы прекрасно знаем основной инструмент и методы работы злоумышленников?
      Дело в том, что эти хакеры обычно нацелены на крупные организации: банки, IT-компании, университеты и даже правительственные организации. Теперь руки Lazarus дотянулись до физических лиц — бэкдор на компьютере частного пользователя! Киберпреступники заманили жертву на сайт игры и получили полный доступ к ее компьютеру. Злоумышленникам удалось это сделать благодаря трем составляющим:
      невероятному желанию жертвы сыграть в любимые танчики в новой оболочке; уязвимости нулевого дня в Google Chrome; наличию эксплойта, позволявшего удаленно выполнить код в процессе Google Chrome. Для тех, кто переживает: компания Google выпустила обновление браузера, заблокировала сайт танчиков и поблагодарила исследователей безопасности «Лаборатории Касперского». Но на всякий случай: наши продукты детектируют и бэкдор Manuscrypt, и эксплойт. Подробности этой истории мы раскрыли в блоге Securelist.
       
      View the full article
    • Саша Добрынин
      От Саша Добрынин
      Добрый день, помогите спасти базу 1с, там несколько лет работы, а диск с бэкапами в самый неподходящий момент навернулся.
      H.7z Addition.txt FRST.txt
    • Muhamor
      От Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
×
×
  • Создать...