حمله APT یا تهدید مداوم پیشرفته
در این مقاله از ، به بررسی حمله APT یا تهدید مداوم پیشرفته میپردازیم. این نوع حمله سایبری توسط گروههای ماهر و با انگیزه انجام میشود که به دنبال دسترسی طولانیمدت به شبکهها و سیستمهای کامپیوتری هستند.
اگر یک چیز باشد که متخصصان امنیت سایبری شرکتی را شبها بیدار نگه دارد، فکر کردن به حملهای است که از مجموعهای از تکنیکهای پیشرفته برای سرقت اطلاعات ارزشمند شرکت استفاده میکند. همانطور که از نامش پیداست، یک تهدید مداوم پیشرفته (APT) از تکنیکهای هک مداوم، پنهانی و پیچیده برای نفوذ به یک سیستم و ماندن در آن برای مدت طولانی با عواقب بالقوه مخرب استفاده میکند.
مقابله با تهدیدات مداوم و پیشرفته APT
"تهدید مداوم پیشرفته" (APT) اصطلاحی کلی است که برای توصیف یک حمله سایبری به کار میرود که در آن نفوذگر یا گروهی از نفوذگران، به طور غیرقانونی و برای مدت طولانی، در یک شبکه مستقر میشوند تا به اطلاعات بسیار حساس دست یابند. اهداف این حملات با دقت انتخاب و بررسی میشوند و معمولاً شامل شرکتهای بزرگ یا شبکههای دولتی هستند. عواقب چنین نفوذهایی گسترده است و میتواند شامل موارد زیر باشد:
• سرقت مالکیت فکری (مانند اسرار تجاری یا اختراعات ثبتشده)
• به خطر افتادن اطلاعات حساس (مانند دادههای خصوصی کارمندان و کاربران)
• خرابکاری در زیرساختهای حیاتی سازمان (مانند حذف پایگاه داده)
• تصاحب کامل وبسایت
برای اجرای یک حمله APT، به منابع بیشتری نسبت به یک حمله استاندارد به وبسایت نیاز است. عاملان این حملات معمولاً تیمهایی از مجرمین سایبری باتجربه هستند که از پشتوانه مالی قابل توجهی برخوردارند. برخی از حملات APT توسط دولتها تأمین مالی میشوند و به عنوان سلاح جنگ سایبری مورد استفاده قرار میگیرند.
حملات APT با حملات سنتی به وبسایتها در موارد زیر تفاوت دارند:
• بهطور قابل توجهی پیچیدهتر هستند.
• حمله و فرار نیستند، به محض نفوذ به شبکه، عامل حمله در آن باقی میماند تا به بیشترین اطلاعات ممکن دسترسی پیدا کند.
• به صورت دستی (نه خودکار) علیه یک هدف خاص اجرا میشوند و به طور بیهدف علیه مجموعهای بزرگ از اهداف پرتاب نمیشوند.
• آنها اغلب به دنبال نفوذ به کل شبکه هستند، نه یک بخش خاص.
حملات رایجتر مانند گنجاندن فایل از راه دور (RFI)، تزریق SQL و اسکریپتنویسی بین سایتی (XSS) اغلب توسط عاملان برای ایجاد جای پا در شبکه هدف مورد استفاده قرار میگیرند. سپس، تروجانها و پوستههای در پشتی اغلب برای گسترش این جای پا و ایجاد حضور دائمی در داخل محیط هدف استفاده میشوند.
به دلیل تلاش و زحمت زیادی که برای انجام چنین حملاتی لازم است، APTها معمولاً به سمت اهداف با ارزش بالا مانند کشورهای ملی و شرکتهای بزرگ نشانه گرفته میشوند، با هدف نهایی سرقت اطلاعات برای مدت طولانی، به جای اینکه مانند بسیاری از هکرهای کلاه سیاه در حملات سایبری سطح پایین، صرفاً "چشمپوشی" کنند و به سرعت بروند.
APT روشی برای حمله است که باید در رادار مشاغل در همه جا باشد. با این حال، این به این معنی نیست که مشاغل کوچک و متوسط میتوانند این نوع حملات را نادیده بگیرند.
مهاجمان APT به طور فزایندهای از شرکتهای کوچکتری که زنجیره تامین هدف نهایی خود را تشکیل میدهند، به عنوان راهی برای دسترسی به سازمانهای بزرگ استفاده میکنند. آنها از چنین شرکتهایی، که معمولاً از امنیت کمتری برخوردار هستند، به عنوان سکوی پرش استفاده میکنند.
هدف اصلی یک حملهی APT دستیابی به دسترسی مداوم به سیستم است
هدف اصلی یک حملهی APT، دستیابی به دسترسی مداوم به سیستم است. هکرها این کار را در پنج مرحلهی زیر انجام میدهند:
مرحلهی اول: کسب دسترسی
مرحلهی دوم: ایجاد جای پا
مرحلهی سوم: تعمیق دسترسی
مرحلهی چهارم: حرکت جانبی
مرحلهی پنجم: نگاه کردن، یادگیری و ماندن
مانند سارقی که با یک دیلم در را میشکافد، مجرمین سایبری نیز معمولاً از طریق شبکه، یک فایل آلوده، ایمیل ناخواسته یا آسیبپذیری برنامه برای تزریق بدافزار به شبکهی هدف وارد میشوند.
مجرمین سایبری بدافزاری را کار میگذارند که امکان ایجاد شبکهای از درهای پشتی و تونلها را برای حرکت در سیستمها بدون شناسایی فراهم میکند. بدافزار اغلب از تکنیکهایی مانند بازنویسی کد برای کمک به هکرها در پنهان کردن ردپای آنها استفاده میکند.
هنگامی که هکرها وارد شدند، از تکنیکهایی مانند کرک کردن رمز عبور برای به دست آوردن حقوق مدیر استفاده میکنند تا بتوانند کنترل بیشتری روی سیستم داشته باشند و سطوح دسترسی بیشتری به دست آورند.
هکرها با دسترسی مدیر در اعماق سیستم میتوانند به دلخواه حرکت کنند. آنها همچنین میتوانند برای دسترسی به سایر سرورها و سایر بخشهای امن شبکه تلاش کنند.
هکرها از داخل سیستم، درک کاملی از نحوهی عملکرد و آسیبپذیریهای آن به دست میآورند و به آنها اجازه میدهد اطلاعات مورد نظرشان را به دلخواه جمعآوری کنند.
هکرها میتوانند تلاش کنند این فرآیند را به طور بالقوه برای همیشه اجرا کنند یا پس از رسیدن به هدف خاص، عقبنشینی کنند. آنها اغلب یک در پشتی باز میگذارند تا در آینده دوباره به سیستم دسترسی پیدا کنند.
از آنجایی که دفاع سایبری شرکتی نسبت به کاربر خصوصی پیچیدهتر است، روشهای حمله اغلب نیاز به مشارکت فعال فردی در داخل سازمان برای رسیدن به آن لحظهی "دیلم زدن" حیاتی دارد. با این حال، این به معنای مشارکت آگاهانهی کارمند در حمله نیست. این معمولاً شامل استفادهی مهاجم از مجموعهای از تکنیکهای مهندسی اجتماعی مانند "والفیشینگ" (whaling) یا "فیشینگ هدفمند" (spear phishing) است.
تشخیص و حفاظت موثر در برابر حملات APT
تشخیص و حفاظت موثر در برابر حملات APT نیازمند رویکردی چندوجهی از طرف مدیران شبکه، ارائه دهندگان امنیت و کاربران فردی است.
نظارت بر ترافیک ورودی و خروجی، بهترین روش برای جلوگیری از نصب درهای پشتی و مسدود کردن استخراج دادههای سرقت شده در نظر گرفته میشود.
بررسی ترافیک داخل محیط شبکه شما همچنین میتواند به هشدار به پرسنل امنیتی در مورد هر رفتار غیرعادی که ممکن است به فعالیت مخرب اشاره کند، کمک کند.
یک فایروال برنامه وب (WAF) که در لبه شبکه شما مستقر شده است، ترافیک به سرورهای برنامه وب شما را فیلتر می کند و به این ترتیب از یکی از آسیبپذیرترین سطوح حمله شما محافظت می کند. یک WAF در میان سایر کارکردها، می تواند به حذف حملات لایه برنامه مانند حملات RFI و تزریق SQL که اغلب در مرحله نفوذ APT استفاده می شوند، کمک کند.
خدمات نظارت بر ترافیک داخلی مانند فایروال شبکه، روی دیگر این معادله هستند. آنها می توانند با نمایش جزئیات نحوه تعامل کاربران در شبکه شما، به شناسایی ناهنجاری های ترافیک داخلی (مانند ورودهای نامنظم یا انتقال داده های غیرعادی) کمک کنند. دومی می تواند نشانه ای از وقوع حمله APT باشد. همچنین می توانید دسترسی به اشتراک گذاری فایل یا هاوپات های سیستمی را نظارت کنید.
در نهایت، خدمات نظارت بر ترافیک ورودی می توانند برای شناسایی و حذف پوسته های در پشتی مفید باشند. با رهگیری درخواست های راه دور از اپراتورها، می توان آنها را شناسایی کرد.
لیست سفید روشی برای کنترل دامنههایی است که از شبکه شما قابل دسترسی هستند و همچنین برنامههایی که کاربران شما میتوانند نصب کنند. این روش دیگری برای کاهش میزان موفقیت حملات APT با به حداقل رساندن سطوح حمله در دسترس است.
با این حال، این اقدام امنیتی به هیچ وجه غیرقابل نفوذ نیست، زیرا حتی قابل اعتمادترین دامنه ها نیز می توانند به خطر بیفتند. همچنین مشخص است که فایلهای مخرب به طور معمول با عناوین نرمافزارهای قانونی ظاهر میشوند. علاوه بر این، نسخههای قدیمیتر محصولات نرمافزاری مستعد به خطر افتادن و سوءاستفاده هستند.
برای لیست سفید موثر، باید سیاستهای بهروزرسانی دقیق اجرا شود تا اطمینان حاصل شود که کاربران شما همیشه آخرین نسخه از هر برنامهای را که در لیست ظاهر میشود، اجرا میکنند.
برای عاملان حملات، کارمندان شما به طور معمول بزرگترین و آسیبپذیرترین نقطه ضعف در محیط امنیتی شما هستند. اغلب به همین دلیل است که کاربران شبکه شما توسط نفوذگران به عنوان دروازه ای آسان برای نفوذ به دفاع شما و گسترش تسلط آنها در محیط امنیتی شما در نظر گرفته می شوند.
در اینجا، اهداف احتمالی در یکی از سه دسته زیر قرار می گیرند:
• کاربران بیاحتیاطی که سیاستهای امنیتی شبکه را نادیده میگیرند و ناخواسته به تهدیدهای بالقوه دسترسی میدهند.
• نفوذیهای داخلی که عمداً از اعتبار کاربری خود برای اعطای دسترسی به عاملان حمله سوء استفاده میکنند.
• کاربران به خطر افتادهای که امتیازات دسترسی به شبکه آنها به خطر افتاده و توسط مهاجمان مورد استفاده قرار میگیرد.
توسعه کنترلهای موثر مستلزم بررسی جامع همه افراد سازمان شما است، به ویژه اطلاعاتی که به آن دسترسی دارند. به عنوان مثال، طبقهبندی دادهها بر اساس نیاز به دانستن، به جلوگیری از توانایی مهاجم برای سرقت اطلاعات ورود از یک کارمند سطح پایین و استفاده از آن برای دسترسی به مواد حساس کمک میکند.
نقاط کلیدی دسترسی شبکه باید با تایید دو مرحلهای (2FA) ایمن شوند. این امر، کاربران را ملزم میکند هنگام دسترسی به مناطق حساس (معمولاً کد عبوری که به دستگاه تلفن همراه کاربر ارسال میشود) از روش دوم تأیید استفاده کنند. این کار از حرکت بازیگران غیرمجاز که خود را به عنوان کاربران مجاز معرفی می کنند در شبکه شما جلوگیری می کند.
علاوه بر موارد فوق، این اقدامات بهترین روشهایی هستند که هنگام ایمنسازی شبکه خود باید انجام دهید:
• بهروزرسانی آسیبپذیریهای نرمافزار و سیستمعامل شبکه در اسرع وقت. این کار جلوی سوءاستفاده مهاجمان از حفرههای امنیتی شناختهشده را میگیرد.
• رمزنگاری اتصالات از راه دور برای جلوگیری از سوار شدن مهاجمان بر روی این اتصالات جهت نفوذ به سایت شما.
• فیلتر کردن ایمیلهای ورودی برای جلوگیری از حملات اسپم و فیشینگ که شبکه شما را هدف قرار میدهند.
• ثبت فوری رویدادهای امنیتی برای کمک به بهبود لیست سفیدها و سایر سیاستهای امنیتی. با ثبت وقایع امنیتی می توانید الگوهای مشکوک را شناسایی کرده و اقدامات پیشگیرانهی لازم را انجام دهید.
عواقب فاجعهبار یک حمله APT
1. APT مخفف چیست؟
APT مخفف "Advanced Persistent Threat" به معنی "تهدید مداوم پیشرفته" است.
2. حملات APT چه هستند؟
حملات APT نوعی حمله سایبری پیچیده و هدفمند هستند که توسط مهاجمان ماهر برای نفوذ به شبکههای کامپیوتری و سرقت اطلاعات حساس انجام میشوند. این حملات به دلیل ماهیت پنهان و طولانیمدتشان، شناسایی و مقابله با آنها دشوار است.
3. اهداف حملات APT چه کسانی هستند؟
اهداف حملات APT معمولاً سازمانهای بزرگ و دولتی هستند که دارای اطلاعات حساس و ارزشمندی هستند.
4. در صورت وقوع حمله APT چه باید کرد؟
در صورت وقوع حمله APT باید اقدامات زیر را انجام دهید:
- حمله را شناسایی و محدود کنید: منشأ حمله را شناسایی و برای جلوگیری از گسترش آن اقدام کنید.
- شواهد را جمعآوری کنید: تمام شواهد مربوط به حمله را جمعآوری و ذخیره کنید.
- با مقامات ذیصلاح تماس بگیرید: با مقامات ذیصلاح مانند پلیس فتا تماس بگیرید و حمله را به آنها گزارش دهید.
خطر اصلی حملات APT این است که حتی زمانی که آنها کشف می شوند و به نظر می رسد تهدید فوری از بین رفته باشد، ممکن است هکرها چندین در پشتی باز گذاشته باشند که به آنها اجازه می دهد در صورت انتخاب برگردند. علاوه بر این، بسیاری از دفاع های سایبری سنتی مانند آنتی ویروس و فایروال همیشه نمی توانند در برابر این نوع حملات از شما محافظت کنند.
برای به حداکثر رساندن شانس یک دفاع مداوم موفق، باید ترکیبی از اقدامات مختلف به کار گرفته شود، از راه حل های امنیتی پیشرفته مانند «امنیت سازمانی کسپرسکی» (Kaspersky Enterprise Security) گرفته تا نیروی کار آموزش دیده و آگاه از تکنیک های مهندسی اجتماعی.
گردآوری:بخش کامپیوتر و اینترنت
در آیدت،
فایلهای
خود را به فروش بگذارید و یا
مقالاتتان
را منتشر کنید👋
پاسخ ها