Какво е APT? Да разберем прогресивните постоянни заплахи 

Категория: Информационна Сигурност
Information Security & Storage
сряда, 1 Декември 2010 15:31ч

 Какво е APT? Да разберем прогресивните постоянни заплахи 

Терминът прогресивни постоянни заплахи (advanced persistent threat или APT) се присъедини към общата терминология на професията по информационна сигурност в средата на януари, когато Google обяви, че нейната интелектуална собственост е била жертва на целенасочена атака с произход от Китай. Google не е единствена, повече от 30 други технологични фирми, изпълнители на военни поръчки и големи предприятия са били пробити от хакерите, които са използвали набор от социално инженерство, насочен зловреден софтуер и технологии за наблюдение, за да получат тайно достъп до купища чувствителни корпоративни данни.

Публичното признание на Google постави проблема с целенасочените дълговременни атаки на упоритите нападатели, които искат да получат достъп до корпоративна собственост и военна информация. То също така постави началото на серия от доставчици, рекламиращи обещаващи продукти и услуги за борба с APT, които служат само за замъгляване на въпроса пред мениджърите по сигурност и ръководителите на дейностите.

В тази статия ще определим APT, ще разсеем някои митове и обясним какво можете да направите срещу този противник.

Какво представляват прогресивните постоянни заплахи?

Военновъздушните сили на САЩ изковаха фразата прогресивни постоянни заплахи през 2006 г., тъй като екипите, работещи там се нуждаеха от начин за комуникация с партньори от света на некласифицираната обществена администрация. Хората от Министерството на отбраната и разузнаването обикновено дават класифицирани имена на конкретни заплахи и нападатели и ги използват за описание на дейностите на участниците в тези заплахи. Ако Военновъздушните сили искат да говорят за някое проникване с друг персонал, те не биха могли да използват класифицираното име на действащото лице в заплахата. Поради това те са измислили терминът APT като некласифициран псевдоним.

От решаващо значение за тази дискусия е да признаем, че APT е правилното съществително. APT се отнасят до конкретни действащи лица в заплахите; APT не се отнасят до неясни и сенчести интернет сили. Терминът най-често се прилага към различни групи, действащи от азиатско-тихоокеанския регион. Тези, които познават APT дейностите, могат да проведат честен спор по въпроса дали понятието трябва да се използва за обозначаване само на някои участници от азиатско-тихоокеанския регион или може да се разшири като общ класификатор. С други думи, ако престъпници от Източна Европа работят с помощта на същите инструменти, тактики и процедури като традиционните APT, тези действащи лица също ли ще носят етикета APT?

Отговорът на този въпрос зависи от лицето, което го задава. Един специалист по информационна сигурност в частна организация обикновено няма да се интересува дали участниците в заплахата, атакуващи компанията, са с произход от Азия и Тихия океан или от Източна Европа. Причината е, че той най-вероятно ще извърши същите отбранителни действия, независимо от местонахождението или националната принадлежност на противника.

Обаче някой с юридическа и/или национална отговорност за сигурността, който прилага дипломатически, разузнавателни, военни или икономически (ДРВИ) мерки, със сигурност ще иска да се определи произходът на една атака. За целите на тази статия, насочена към практикуващите информационна сигурност, не е необходимо да се отговаря на въпроса „Кой”. Въпреки това, тези, които имат някаква ДРВИ власт, трябва да приемат изявленията на Google и други жертви сериозно.

Въздействие на APT

Политически цели като подкопаване на вътрешната стабилност.

Икономически цели, които се основават на кражба на интелектуална собственост от жертвите. Такъв IP може да бъде клониран и продаден, проучван и подбиван в цената при конкурентни сделки, или смесван със собствени изследвания за създаване на нови продукти и услуги с по-малко разходи от тези на жертвата.

Технически цели, които разширяват възможностите за завършване на мисията. Те включват получаване на достъп до сорс код за по-нататъшна разработка на пробиви или изучаване на работата на защитата с цел по-добре да я завладеят или разбият. Най-тревожното е, че нападателите могат да направят промени, за да подобрят позициите си и да отслабят жертвата.

Военни цели, които включват идентифициране на слабостите, които позволяват на по-слабите военни сили да провалят по-силните. – Ричард Бейтлич 

Аналитиците оценяват APT дейностите като насочени към четири основни целиПовечето от тези, които активно противодействат на APT дейностите, описват противника по следния начин: Прогресивни означава, че противниците могат да действат по целия спектър на компютърното нападение. Те може да използват найбаналните, леснодостъпни пробиви срещу добре известни уязвимости или да издигнат своята игра до изследване на нови уязвимости и да разработят специфични методи за пробив, зависещи от ситуацията на целта. Постоянни означава, че противникът има изричната задача да завърши мисията си. Това не са случайни нападатели. Те получават директиви от своите шефове по същия начин както и една разузнавателна група. Постоянни не означава непременно, че те непрекъснато изпълняват зловреден код на компютрите на жертвите. По-скоро те поддържат определено ниво на взаимодействие, необходимо да изпълнят целта си. Заплаха означава, че противникът не е парче безсмислен код. Това е заплаха, която е организирана, финансирана и мотивирана. Някои хора говорят за много „групи“, състоящи се от специализирани „екипажи“ с разнообразни мисии.

Накратко APT е противник, който извършва дръзки операции (наречени мрежови компютърни операции или вероятно мрежови компютърни експлоатации), за да поддържа информация за целите във връзка с тяхното състояние. APT се характеризира с постоянство в поддържането на някаква степен на контрол върху компютърната инфраструктура на целта, като се действа непрекъснато, за да се съхрани или да се възобнови контролът и достъпът. На неофициалните срещи на контраразузнаването и военните техните аналитици използват термина „агресивен“, за да наблегнат на степента, до която APT преследва целите си срещу различни правителствени, военни и частни цели. реден софтуер, за който се твърди, че е свързан с инцидента в Google и независимо от другите даде името „Аврора” на аферата поради път, намерен в зловредния софтуер.

Защо не се разбират правилно прогресивните постоянни заплахи

От началото на януари и увеличавайки се през февруари и март много хора, занимаващи се с цифровата сигурност, фокусираха вниманието си върху APT. За съжаление някои от говорещите за проблема бързо започнаха само да повтарят изказвания и съмнителни изследвания, предлагани от страни, които не са запознати с APT. Няколко фактора допринесоха за общото чувство на обърканост, като някои от по-надеждните източници се конкурираха със страни, които би било по-добре да стоят настрана.

Няколко фактора доведоха до това явление:

• Освен публичното изявление на Google и последвалите доклади от втора ръка за вероятно засегнати фирми-партньори, нямаше много достоверни данни на разположение. Без подробности, които да се обсъдят, общността на хората от сигурността се обърна към почти всеки, готов да говори за инцидента. В твърде много случаи говорителите се оказаха доставчици, които видяха APT като маркетингова възможност за възобновяване на бързо спадащите разходи за сигурност. Конференцията RSA 2010 бе наситена с много компании, продаващи продукти за борба с APT, надявайки се да извлекат полза от новата гореща тема на 2010 г.

• McAfee съобщи, че е направила анализ на злов-реден софтуер, за който се твърди, че е свързан с инцидента в Google и независимо от другите даде името „Аврора” на аферата поради път, намерен в зловредния софтуер. В края на март McAfee обвини „мъглата на войната” за погрешното объркване на един ботнет, насочен към Виетнам, с инцидента със зловредния софтуер в Google. За съжаление, като комбинира тази невярна следа с инцидента Google, McAfee предизвика различни изследователи по сигурност да насочат усилията си върху код, който вероятно няма нищо общо с инцидента в Google.

• Много анализатори са твърде тясно фокусирани върху елементите на инцидента, които те разбират най-добре, независимо от истинската същност на събитието. Например, фирмите, специализирани в ботнет изследвания, приемат, че са участвали ботнети, и говорят за инцидента в Google по този начин. Други, които са насочени към определяне на уязвимостите и разработването на пробиви, се концентрират върху един недостатък в Internet Explorer (патчван чрез MS10-002), за който се предполага, че вероятно е използван от нарушители, за да получат достъп до ресурси на Google. За съжаление, ботнетите нямат нищо общо с APT, а уязвимостите, пробивите и зловредният софтуер са само елементи на APT инцидентите, а не основните им функции.

APT нещо ново ли са?

Когато атаката срещу Google влезе в публичното пространство, много хора се чудеха дали APT е нещо ново. Отговорът на този въпрос зависи от гледната точка, както и от това да се разбере част от историята. Както бе споменато по-рано, терминът APT е на около 4 години. Той влиза в общата лексика в началото на 2010 г. с публичността, събрана от Google. Въпреки това консултантски фирми, особено Mandiant, са провеждали публично обсъждане в уеб и са правили презентации на APT с това име още през 2008 г.

Преди изобретения през 2006 г. термин APT в новините за китайските нарушители, атакуващи военни и правителствени организации, се слагаше етикетът „Титанов дъжд”. Например през 2005 г. списание Тайм публикува статия от Нейтън Торнбърг, озаглавена „Нашествие на китайски кибершпиони”, която описва битката на Шон Карпентър, а след това защитава националните лаборатории Sandia. Тази история споменава опита на Карпентър с подобни нарушители, датиращ от края на 2003 година. Дори през 1998 г., докато служих като капитан във военовъздушните сили в отдела за спешно реагиране на компютърни инциденти, се натъквахме на противници, на които сега много хора биха лепнали етикет APT.

Някои дори твърдят, че нищо за APT не е ново. Доколкото шпионажът е толкова стар, колкото и самата война, някои твърдят, че APT дейностите са просто шпионаж в друга форма и дори не са нова медия, като се има предвид историята на компютърния шпионаж, датиращ от работата на Клиф Стол през 1980 г.

Аз твърдя, че APT са нови, ако тези, които задават въпроса, излезнат извън двумерното мислене. Ако се мисли за APT дейностите в термините на нарушител, защитник, средства, мотив и възможност, APT определено са нови. Аргументите за „стария” лагер включват самоличност на извършителя (национални държави), както и мотив (шпионаж). Аргументите за „новия” лагер са по-силни:

Защитник: Аз разделям APT целите на четири фази: 1) края на 1990-те военни жертви; 2) 2000-2004 невоенни правителствени жертви; 3) 2005-2009 – защитата на промишлени бази; 4) 2009-настояще – цели, богати на интелектуална собственост, и софтуерни компании. (За съжаление има ясни примери на по-ранни жертви, но тези дати покриват приблизително най-известните случаи.) Нападенията, осъществени през фази 3 и 4, са безпрецедентни, което означава, че изцяло нова класа защитници трябва да се предпазват от нападатели, които по-рано са били грижа единствено на военните.

Средства: Твърде много критици се съсредоточават върху зловредния софтуер, като не отчитат (или не са запознати) с впечатляващото управление и администрация, прилагани към многократнит опити за достъп, или запазването на достъпа д целевите организации. APT инцидентите не с дейности от вида „грабни и бягай“.

Възможност: Експлозията на интернет свърз ността през последното десетилетие и разпро транението на чувствителни данни до крайн устройства предоставя евтина, с ниска степен н риск, възможност за отдалечен достъп за напад телите за разлика от всичко, което може да е н разположение на човека-шпионин.

В крайна сметка аз твърдя, че APT са нови, ко гато се разглеждат от гледна точка на невоеннит цели, и като не се забравя, че дейностите във фаз 3 на APT започнаха през 2003 г. и се превърнах в сериозен проблем през 2005 година.

Какво трябва да правят защитниците за противодействие на APT?

По-голямата част на тази статия се фокусир върху описанието на APT и неговата истори защото борбата с този противник не се нужда от техническо решение. Най-ефективната борб с APT са обучените и знаещите анализатори н информационна сигурност. Много от доставчицит на сигурност са приели APT в рекламната си лите ратура. Някои предлагат възможност да открива APT в мрежите на потенциалната жертва. Друг дори са регистрирали APT имена на домейни. Инструментите са винаги полезни, но най добрият съвет, който мога да предоставя, е д се образоват бизнеслидерите за заплахите, так че те да подкрепят организационни програми з сигурност, изготвени от компетентни и инфор мирани служители.

Вторият въпрос, който е вероятно да се задад е следният: Как да разбера дали съм цел на APT Свържете се с местното бюро за разследване н киберсигурност. Една от най-големите промени борбата с APT през последните години са пос щенията на полицейски и контраразузнавателн специалисти при потенциалните жертви. Трудно да се отрече пробив в сигурността, когато пред ставители на Националните служби за сигурнос покажат извадки от частни данни или интелектуалн собственост и попитат „Тези данни ваши ли са?

На техническо ниво изграждането на видимост организацията ще предостави осъзнаване на ситу цията и шанс да се открият и осуетят APT дейност Без информация от мрежата, хостовете, логовет и други източници дори и най-квалифицирания анализатор е безпомощен. За щастие получаванет на такава информация не е ново предизвикателств и повечето отдели за сигурност сигурно вече с ползвали такива програми. Целта на борбата с AP операциите трябва да затрудни колкото е възможн повече противника, опитващ се да открадне инт лектуална собственост или както казват някои д се повиши цената му за мегабайт.


Етикети: информационна сигурност , APT , прогресивни постоянни заплахи

Четете още:



Последни новини
Джони Деп се завръща на голям екран в емблематичната си ...
 
AOC представя най-бързият геймърски монитор с NVIDIA G-SYNC до момента. ...
 
Още един смартфон от богатото портфолио на Huawei вече е ...
 
Приложенията Word, Excel и Outlook вече могат да бъдат интегрирани ...



Най-четени