Rumah Keselamatan Ancaman yang berterusan: salvo pertama dalam cyberwar yang akan datang?

Ancaman yang berterusan: salvo pertama dalam cyberwar yang akan datang?

Isi kandungan:

Anonim

Serangan ke atas rangkaian komputer bukanlah berita tajuk lagi, tetapi terdapat jenis serangan yang berbeza yang memerlukan keprihatinan keselamatan cybek ke peringkat seterusnya. Serangan ini dipanggil ancaman berterusan lanjutan (APT). Ketahui bagaimana mereka berbeza dari ancaman setiap hari dan mengapa mereka dapat mengenakan begitu banyak kerosakan dalam kajian kami terhadap beberapa kes berprofil tinggi yang telah berlaku sejak beberapa tahun kebelakangan ini. (Untuk bacaan latar belakang, semak The 5 Ancaman Paling Menakutkan di Tech.)

Apakah APT?

Istilah ancaman yang berterusan (APT) boleh merujuk kepada penyerang dengan cara, organisasi dan motivasi yang besar untuk menjalankan cyberattack yang berterusan terhadap sasaran.


APT, tidak menghairankan, maju, berterusan dan mengancam. Ia maju kerana ia menggunakan kaedah stealth dan pelbagai serangan untuk menjejaskan sasaran, selalunya sumber korporat atau kerajaan bernilai tinggi. Serangan jenis ini juga sukar untuk dikesan, dialih keluar dan di atribut kepada penyerang tertentu. Lebih buruk lagi, sebaik sahaja sasaran dilanggar, backdoors sering dibuat untuk menyediakan penyerang dengan akses berterusan ke sistem yang dikompromi.


APT dianggap berterusan dalam erti kata bahawa penyerang boleh menghabiskan bulan mengumpul kecerdasan mengenai sasaran dan menggunakan kecerdasan itu untuk melancarkan pelbagai serangan dalam tempoh yang lama. Ia mengancam kerana pelaku sering selepas maklumat yang sangat sensitif, seperti tata letak loji kuasa nuklear atau kod untuk memecah kontraktor pertahanan AS.


Serangan APT umumnya mempunyai tiga matlamat utama:

  • Kecurian maklumat sensitif dari sasaran
  • Pengawasan sasaran
  • Sabotaj sasaran
Penyerang berharap dapat mencapai matlamatnya sementara baki tidak dapat dikesan.


Pelaku APTs sering menggunakan sambungan yang dipercayai untuk mendapatkan akses kepada rangkaian dan sistem. Sambungan ini boleh dijumpai, sebagai contoh, melalui pekerja dalaman yang bersimpati atau tidak sengaja yang menjadi mangsa serangan phishing lembing.

Bagaimana APT berbeza?

APTs berbeza dari cyberattacks lain dalam beberapa cara. Pertama, APTs sering menggunakan alat dan teknik pencerobohan yang disesuaikan - seperti eksploitasi kerentanan, virus, cacing, dan rootkit - yang direka khusus untuk menembus organisasi sasaran. Di samping itu, APT sering melancarkan pelbagai serangan pada masa yang sama untuk melanggar sasaran mereka dan memastikan akses yang berterusan ke sistem sasaran, kadang kala termasuk umpan untuk menipu targetnya memikirkan serangan telah berjaya ditolak.


Kedua, serangan APT berlaku dalam tempoh masa yang panjang di mana penyerang bergerak perlahan dan senyap untuk mengelakkan pengesanan. Berbeza dengan taktik cepat serangan yang dilancarkan oleh penjenayah siber yang tipikal, matlamat APT adalah tidak dapat dikesan dengan bergerak "rendah dan perlahan" dengan pemantauan dan interaksi berterusan sehingga penyerang mencapai matlamat yang ditetapkan.


Ketiga, APT direka untuk memenuhi keperluan spionase dan / atau sabotaj, biasanya melibatkan pelindung negeri rahsia. Objektif APT merangkumi pengumpulan maklumat perisikan, politik, atau ekonomi, data rahsia atau ancaman rahsia perdagangan, gangguan operasi, atau pemusnahan peralatan.


Keempat, APT ditujukan kepada pelbagai sasaran yang sangat berharga. Serangan APT telah dilancarkan terhadap agensi dan kemudahan kerajaan, kontraktor pertahanan, dan pengeluar produk berteknologi tinggi. Organisasi dan syarikat yang menyelenggara dan mengendalikan infrastruktur negara juga mungkin sasaran.

Beberapa Contoh APT

Operasi Aurora adalah salah satu APT pertama yang dipublikasikan; siri serangan terhadap syarikat AS adalah canggih, sasaran, diam dan direka untuk memanipulasi sasaran.

Serangan, yang dijalankan pada pertengahan 2009, mengeksploitasi kelemahan dalam pelayar Internet Explorer, membolehkan penyerang mendapatkan akses kepada sistem komputer dan memuat turun malware ke sistem tersebut. Sistem komputer disambungkan ke pelayan jauh dan harta intelek dicuri dari syarikat, termasuk Google, Northrop Grumman dan Dow Chemical. (Baca tentang serangan merosakkan yang lain dalam Perisian Berbahaya: Worms, Trojans dan Bot, Oh My!)


Stuxnet adalah APT pertama yang menggunakan cyberattack untuk mengganggu infrastruktur fizikal. Dipercayai telah dibangunkan oleh Amerika Syarikat dan Israel, cacing Stuxnet mensasarkan sistem kawalan perindustrian sebuah loji kuasa nuklear Iran.


Walaupun Stuxnet nampaknya telah dibangunkan untuk menyerang kemudahan nuklear Iran, ia telah menyebar jauh melampaui sasarannya dan juga boleh digunakan terhadap kemudahan perindustrian di negara-negara Barat, termasuk Amerika Syarikat.


Salah satu contoh APT yang paling menonjol adalah pelanggaran RSA, syarikat komputer dan keselamatan rangkaian. Pada bulan Mac 2011, RSA membocorkan kebocoran apabila ia ditembusi oleh serangan tombak-phishing yang menyerang salah seorang pekerjanya dan mengakibatkan tangkapan besar untuk cyberattackers.


Dalam surat terbuka kepada RSA yang disiarkan oleh pelanggan ke laman web syarikat pada bulan Mac 2011, Pengerusi Eksekutif Art Coviello mengatakan bahawa serangan APT yang canggih telah mengeluarkan maklumat berharga yang berkaitan dengan produk pengesahan dua faktor SecurID yang digunakan oleh pekerja terpencil untuk mengakses rangkaian syarikat mereka dengan selamat .


"Walaupun pada masa ini kami yakin bahawa maklumat yang diekstrak tidak membolehkan serangan langsung yang berjaya pada mana-mana pelanggan RSA SecurID kami, maklumat ini berpotensi digunakan untuk mengurangkan keberkesanan pelaksanaan pengesahan dua faktor semasa sebagai sebahagian daripada yang lebih luas serangan, "kata Coviello.


Tetapi Coviello, ternyata salah mengenai perkara itu, seperti ramai pelanggan token RSA SecurID, termasuk gergasi pertahanan Amerika Lockheed Martin, melaporkan serangan yang berlaku akibat pelanggaran RSA. Dalam usaha untuk menghadkan kerosakan, RSA bersetuju untuk menggantikan token untuk pelanggan utama.

Di mana APT?

Satu perkara yang pasti: APT akan diteruskan. Selagi ada maklumat sensitif untuk mencuri, kumpulan terorganisir akan pergi selepas itu. Dan selagi negara-negara wujud, akan ada pengintipan dan sabotaj - fizikal atau cyber.


Telah ada tindak lanjut ke cacing Stuxnet, yang dijuluki Duqu, yang ditemui pada musim gugur tahun 2011. Seperti ejen tidur, Duqu dengan cepat tertanam sendiri dalam sistem perindustrian utama dan sedang mengumpulkan perisikan dan membuang masa. Yakinlah ia sedang mengkaji dokumen reka bentuk untuk mencari tempat yang lemah untuk serangan masa depan.

Ancaman Keselamatan Abad 21

Sudah tentu, Stuxnet, Duqu dan pewaris mereka akan semakin melanda pemerintah, pengendali infrastruktur kritikal dan profesional keselamatan maklumat. Sudah tiba masanya untuk mengambil ancaman-ancaman ini dengan sungguh-sungguh sebagai masalah keamanan maklumat biasa dalam kehidupan seharian di abad ke-21.

Ancaman yang berterusan: salvo pertama dalam cyberwar yang akan datang?