حملات APT چیست؟ نحوه جلوگیری و پاسخ به آن

قدرتی
اشتراک‌گذاری در:
چگونه از APT جلوگیری کنیم
چگونه از APT جلوگیری کنیم

فهرست مطالب

 آنها تمایل زیادی به «ناشناس ماندن» هرچه بیشتر دارند .مهاجمان، APT‌ها را طوری طراحی می‌کنند که ظریف، دقیق و پایدار باشد؛ تا جایی که ممکن است شناسایی نشوند، یعنی مدت‌ها ناشناس به کار خود ادامه دهند. با اینکه میانگین «زمان ماندن» آنها در شبکه؛  یعنی دوره بین نفوذ تا شناسایی، در سال‌های اخیر کاهش یافته و ممکن است به طور متوسط به چند هفته کاهش یابد، اما هکرهای پیشرفته می‌توانند در همین مدت هم، آسیب زیادی وارد کنند.

برای جلوگیری از(Advanced Persistent Threat) ، نیاز به یک زیرساخت قدرتمند از تکنیک‌های امنیتی اساسی همراه با نظارت امنیتی موثر داریم. با این حال، برخی از تکنیک های امنیتی مکمل و توسعه‌یافته می‌توانند شانس در برابر APT‌ها را حتی بیشتر بهبود بخشند. در این نوشتار قصد داریم علاوه بر APTها و انواع آن‌ها، در خصوص این تکنیک‌ها و راه‌حل‌های جلوگیری و پاسخ به حملات و تهدیدات مسمتر پیشرفته، صحبت کنیم.

مطالب مرتبط: مروری کلی بر امنیت سایبری؛ نکاتی که هر شخصی باید بداند

تهدید مستمر پیشرفته (APT) چیست؟

یک تهدید مستمر پیشرفته (APT) یک حمله سایبری طولانی مدت و هدفمند است که در آن یک مهاجم به یک شبکه دسترسی پیدا می‌کند و به گونه‌ای عمل می‌کند تا برای مدت طولانی شناسایی نشود.

حملات APT برای سرقت داده‌ها به‌جای آسیب رساندن به شبکه سازمان هدف، آغاز می‌شوند.هدف بیشتر حملات APT دستیابی و حفظ دسترسی مداوم به شبکه هدف به جای ورود و خروج در سریع‌ترین زمان ممکن است. از آنجایی که تلاش و منابع زیادی می‌تواند صرف انجام حملات APT شود، هکرها معمولاً اهداف با ارزشی مانند دولت‌ها و شرکت‌های بزرگ را با هدف سرقت اطلاعات در مدت زمان طولانی انتخاب می‌کنند.

برای دستیابی به دسترسی، گروه‌های APT اغلب از روش‌های حمله سطح بالا، از جمله سوءاستفاده‌های پیشرفته از آسیب‌پذیری‌های روز صفر، و همچنین فیشینگ نیزه‌ای بسیار هدفمند و سایر تکنیک‌های مهندسی اجتماعی استفاده می‌کنند. برای حفظ دسترسی به شبکه هدف بدون شناسایی شدن، عوامل تهدید به‌طور مداوم کدهای مخرب را بازنویسی می‌کنند تا از شناسایی و سایر تکنیک‌های پیچیده‌ی فرار جلوگیری کنند. برخی ازAPT ها آنقدر پیچیده هستند که به متخصصان و تیم‌های تمام وقت نیاز دارند تا سیستم‌ها و نرم‌افزارهای آسیب دیده را در شبکه هدف نگهداری کنند.

انگیزه‌های بازیگران این نوع حملات متنوع است. به‌عنوان مثال، مهاجمانی که توسط دولت-ملت‌ها حمایت می‌شوند، ممکن است مالکیت معنوی را برای به‌‌دست آوردن مزیت رقابتی در صنایع خاص مورد هدف قرار دهند. سایر اهداف ممکن است شامل نیروگاه‌های توزیع برق و تاسیسات مخابراتی و سایر سیستم‌های زیرساختی، رسانه‌های اجتماعی، سازمان‌های رسانه‌ای، اهداف انتخاباتی و دیگر اهداف سیاسی باشد. گروه‌های جنایی سازمان‌یافته ممکن است از تهدیدهای مداوم پیشرفته حمایت کنند تا اطلاعاتی را به‌دست آورند که می‌توانند از آن‌ها برای انجام اعمال مجرمانه برای منافع مالی استفاده کنند.

اگرچه شناسایی حملات APT ممکن است دشوار باشد، سرقت اطلاعات هرگز به‌طور کامل غیرقابل کشف نیست. با این حال، عمل استخراج داده‌ها از یک سازمان ممکن است تنها سرنخی باشد که مدافعان مبنی بر اینکه شبکه‌هایشان مورد حمله قرار گرفته‌اند، دارند. متخصصان امنیت سایبری اغلب بر روی تشخیص ناهنجاری‌ها در داده‌های خروجی تمرکز می کنند تا ببینند آیا شبکه هدف حمله APT بوده است یا خیر.

حملات APT برای سرقت داده‌ها

نحوه عملکرد یک حمله APT

مهاجمانی که APTها را اجرا می‌کنند، معمولاً از رویکرد متوالی زیر برای به‌دست آوردن و حفظ دسترسی مداوم به‌یک هدف استفاده می‌کنند:

به‌دست آوردن دسترسی. گروه‌های APT با هدف قرار دادن سیستم‌ها از طریق اینترنت به یک هدف دسترسی پیدا می‌کنند. معمولاً از طریق ایمیل‌های فیشینگ یا از آسیب‌پذیری برنامه‌‌ها به قصد اعمال نفوذ در دسترسی‌ها برای قرار دادن نرم‌افزار مخرب در سیستم هدف.

ایجاد ردپا. پس از دستیابی به هدف، عوامل تهدید از دسترسی خود، برای انجام شناسایی بیشتر استفاده می‌کنند. آنها از بدافزاری که نصب کرده‌اند برای ایجاد مجموعه‌ای از درهای پشتی و تونل‌ها استفاده می‌کنند تا بدون  جلب توجه حرکت کنند. APTها ممکن است از تکنیک‌های بدافزار پیشرفته مانند بازنویسی کد برای پوشش مسیرهای خود استفاده کنند.

دستیابی به دسترسی‌های بیشتر و مهم‌تر. پس از ورود به شبکه هدف، بازیگران APT ممکن است از روش‌هایی مانند شکستن رمز عبور برای به‌دست آوردن مجوزهای قانونی سازمان استفاده کنند. این  موضوع به آنها کنترل بیشتری بر سیستم می‌دهد و سطوح دسترسی عمیق‌تری را در اختیار آنها قرار می‌دهد.

حرکات جانبی. هنگامی که عوامل تهدید سیستم‌های هدف خود را نقض کردند، از جمله به‌دست آوردن مجوزهایی در سطح مدیریتی، می‌توانند به دلخواه خود در شبکه سازمانی حرکت کنند. آنها همچنین می‌توانند برای دسترسی به سرورهای دیگر و همچنین سایر مناطق امن شبکه، تلاش کنند.

صحنه‌سازی حمله. در این مرحله، هکرها داده‌ها را متمرکز، رمزگذاری و فشرده می‌کنند تا بتوانند آن را استخراج کنند.

انتقال داده‌ها. مهاجمان داده‌ها را جمع‌آوری کرده و به سیستم خود منتقل می‌کنند.

ماندن تا زمان شناسایی شدن. مجرمان سایبری می‌توانند این فرآیند را برای مدت طولانی تکرار کنند تا زمانی که شناسایی شوند، یا می‌توانند یک درب پشتی ایجاد کنند تا بتوانند بعداً دوباره به سیستم دسترسی پیدا کنند.

نمونه‌هایی از تهدیدات پایدار پیشرفته

APTها معمولاً توسط کاشفان‌شان نام‌گذاری می‌شوند، اگرچه بسیاری از حملات تهدید مداوم پیشرفته، توسط بیش از یک محقق کشف شده‌اند، بنابراین برخی از آنها با بیش از یک نام شناخته می‌شوند.

تهدیدهای مداوم پیشرفته از اوایل دهه 2000 شناسایی شده‌اند، زمانی که هکرهای مستقر در چین کمپین باران Titan را علیه اهداف دولت ایالات متحده در تلاش برای سرقت اسرار حساس دولتی اجرا کردند. مهاجمان داده‌های نظامی را هدف قرار دادند و حملات APT را به سیستم‌های پیشرفته سازمان‌های دولتی از جمله ناسا و FBI انجام دادند. تحلیلگران امنیتی به ارتش آزادی‌بخش خلق چین به‌عنوان منبع این حملات اشاره کردند.

چند نمونه از تهدیدات پایدار پیشرفته عبارتند از:

خانواده بدافزار Sykipot APT

از نقص‌های Adobe Reader و Acrobat سوء‌استفاده می‌کند. این گروه در سال 2006 شناسایی شد و طبق گزارش‌ها، حملات آن‌ها بیشتر با استفاده از بدافزارها تا سال 2013 ادامه یافت. عوامل تهدید از ویژیگی‌های گروه خانواده بدافزار Sykipot، به‌عنوان بخشی از یک سری حملات سایبری طولانی مدت استفاده کردند که عمدتاً سازمان‌های ایالات متحده و بریتانیا را هدف قرار می‌دادند. هکرها از یک حمله فیشینگ نیزه‌ای استفاده می‌نمودند که شامل پیوندها و پیوست‌های مخرب حاوی سوء‌استفاده‌های روز صفر در ایمیل‌های هدفمند بود.

عملیات جاسوسی سایبری GhostNet

در سال 2009 کشف شد. این حملات از چین اجرا شد و از طریق ایمیل‌های فیشینگ‌نیزه‌ای (یا‌ هدفمند) که حاوی پیوست‌های ‌‌مخرب بود، آغاز شد. این حملات کامپیوترهای بیش از 100 کشور را به خطر انداخت. تمرکز مهاجمان بر دسترسی به دستگاه‌های شبکه وزارتخانه‌ها و سفارتخانه‌های دولتی بود. این حملات هکرها را قادر می‌ساخت تا این دستگاه‌های در معرض خطر را کنترل کنند و با روشن کردن دوربین‌ها و قابلیت‌های ضبط صدا از راه دور، آنها را به دستگاه‌های شنود و ضبط، تبدیل کنند.

کرم استاکس نت  (Stuxnet)

مورد استفاده برای حمله به برنامه هسته‌ای ایران، توسط محققان امنیت سایبری در سال 2010 شناسایی شد. این کرم هنوز هم یکی از پیچیده‌ترین بدافزارهایی است که تاکنون شناسایی شده است. این بدافزار سیستم‌های SCADA (کنترل نظارتی و جمع آوری داده‌ها) را هدف قرار داد که با دستگاه‌های USB آلوده، منتشر شده است. ایالات متحده و اسرائیل هر دو با توسعه استاکس نت مرتبط بوده‌اند، و در حالی که هیچ یک از کشورها رسما نقش خود را در توسعه آن اعتراف نکرده اند، تاییدیه‌های غیررسمی مبنی بر اینکه آنها مسئول استاکس نت بوده اند، وجود دارد.

استاکس نت - لاگ مدیا

APT20

یک گروه تهدید مستقر در چین است که در درجه اول از حملات فیشینگ نیزه‌ای و Watering hole علیه قربانیان استفاده می‌کند.

APT27

یک گروه تهدید مستقر در چین است که در درجه اول از توافق‌های استراتژیک وب برای هدف قرار دادن قربانیان استفاده کرده است. این گروه حداقل از سال 2010 فعال بوده است و سازمان‌هایی را در صنایع هوافضا، دولتی، دفاعی، فناوری، انرژی و تولید هدف قرار داده است.

APT28

گروه تهدید مداوم و پیشرفته روسی که با نام‌های Fancy Bear، Pawn Storm، Sofacy Group و Sednit نیز شناخته می‌شود، توسط محققان Trend Micro در سال 2014 شناسایی شد. APT28 با حملات علیه اهداف نظامی و دولتی در اروپای شرقی، از جمله اوکراین و گرجستان مرتبط است؛ همچنین کمپین‌هایی که توسط سازمان‌های ناتو و پیمانکاران دفاعی ایالات متحده برنامه‌ریزی می‌شد.

APT29

گروه تهدید مداوم و پیشرفته روسی که به‌عنوان «خرس دنج یا گوشه‌گیر» نیز شناخته می‌شود، با تعدادی از حملات، از جمله حمله فیشینگ‌نیزه‌ای در سال 2015 به پنتاگون و همچنین حملات سال 2016 به کمیته ملی دموکرات، مرتبط بوده است.

APT31

یک گروه تهدید متخصص در سرقت مالکیت معنوی است که بر روی داده‌ها و پروژه‌هایی تمرکز دارد که به یک سازمان یا شرکت خاص را در زمینه فعالیتش، مزایای رقابتی اعطا می‌کند. بر اساس داده‌های موجود، به‌نظر می‌رسد APT31 عملیات شبکه را به دستور دولت چین انجام می‌دهد. این گروه تهدید همچنین مظنون به هدف قرار دادن ارائه دهندگان اسناد بالادستی، مانند شرکت‌های حقوقی و ارائه دهندگان خدمات مدیریت شده، برای حمایت از نفوذهای گسترده علیه دارایی‌هایی با مشخصات و اهمیت در سطوح بالا می‌باشد. در سال 2018، این گروه تهدید با فیشینگ‌ نیزه‌ای و عملیات برنامه‌ریزی‌شده برای خودکارسازی برداشت اعتبار، مشاهده شد.

APT32

حداقل از سال 2014 فعال بوده است. به‌نظر می‌رسد این گروه در ویتنام مستقر است و چندین صنعت در بخش خصوصی، دولت‌های خارجی، مخالفان و روزنامه‌نگاران را با تمرکز بر کشورهای آسیای جنوب‌شرقی مانند فیلیپین، لائوس و کامبوج، هدف قرار داده است. این گروه تهدید در درجه اول از توافقات استراتژیک وب برای قربانیان استفاده کرده است.

APT33

یک گروه تهدید مستقر در ایران است که حداقل از سال 2013 فعال بوده است. این گروه تهدید سازمان‌هایی را در چندین صنعت در ایالات متحده، عربستان سعودی و کره جنوبی با تمرکز بر صنایع هوانوردی و انرژی هدف قرار داده است.

APT34

یک گروه تهدید دائمی پیشرفته مرتبط با ایران، که در سال 2017 توسط محققان FireEye شناسایی شد، اما حداقل از سال 2014 فعال بوده است. این گروه تهدید، شرکت‌های خاورمیانه را با حملاتی علیه سیستم‌های مالی، دولتی، انرژی، شیمیایی، مخابراتی و … هدف قرار داده است.

APT35

یک گروه تهدید تحت حمایت ایران است که عمدتاً در خاورمیانه فعالیت می‌کند و به اوایل سال 2014 بازمی‌گردد. گروه پشت این کمپین عمدتاً سازمان‌هایی را در بخش‌های انرژی، دولتی و فناوری که مستقر یا دارای منافع تجاری در عربستان هستند، هدف قرار داده است.

APT36

یک گروه تهدید مستقر در پاکستان است که ارتش هند یا دارایی‌های مرتبط در هند و فعالان و جامعه مدنی در پاکستان را هدف قرار داده است.

APT37

که با نام‌های Reaper، StarCruft و Group 123 نیز شناخته می‌شود، یک تهدید دائمی پیشرفته مرتبط با کره شمالی است که گمان می‌رود در حدود سال 2012 سرچشمه گرفته باشد.

APT38

یک گروه تهدید تحت حمایت دولت کره شمالی است که در عملیات سایبری مالی تخصص دارد.

APT39

یک گروه جاسوسی سایبری ایرانی است که حداقل از سال 2014 فعال بوده است. این گروه تهدید، صنایع مخابراتی و مسافرتی را برای جمع‌آوری اطلاعات شخصی منطبق با اولویت‌های ملی ایران هدف قرار داده است.

APT40

یک گروه جاسوسی سایبری است که حداقل از سال 2013 فعال بوده است. این گروه عمدتاً سازمان‌های دفاعی و دولتی را هدف قرار داده است، اما سایر صنایع از جمله شرکت‌های مهندسی، کشتیرانی و حمل و نقل، تولید، دفاع، ادارات دولتی و دانشگاه‌های تحقیقاتی را نیز هدف قرار داده است. مناطق هدف آن شامل ایالات متحده، اروپای غربی و در امتداد دریای چین جنوبی، می‌باشد.

APT41

یک گروه تهدید است که فعالیت‌های جاسوسی و با انگیزه مالی تحت حمایت دولت چین را انجام می‌دهد. APT41 از اوایل سال 2012 فعال بوده است. این گروه صنایع مراقبت های بهداشتی، مخابراتی، فناوری و بازی‌های ویدیویی را در 14 کشور هدف قرار داده است.

بیشتر بخوانید: آگاهی امنیتی چیست؟ تعریف، تاریخچه و انواع آن

ویژگی‌های تهدیدات پایدار پیشرفته

تهدیدهای پایدار پیشرفته اغلب ویژگی‌های خاصی را نشان می‌دهند که منعکس کننده درجه بالایی از روابط و هماهنگی لازم برای نقض و آسیب‌رسانی به اهداف با ارزش است.

بیشتر‌APT ها در چند فاز انجام می‌شوند، که منعکس‌کننده همان توالی اصلی یعنی: دستیابی، حفظ و گسترش دسترسی، و تلاش برای ناشناخته ماندن در شبکه قربانی تا رسیدن به اهداف حمله است.

تهدیدهای پایدار پیشرفته با تمرکز بر ایجاد چندین نقطه مصالحه، متمایز می‌شوند.APT ها معمولاً سعی می‌کنند چندین نقطه ورود به شبکه‌های هدف ایجاد کنند، که به آن‌ها امکان می‌دهد حتی در صورت کشف فعالیت مخرب و سیستم واکنش به حوادث، دسترسی خود را حفظ کنند و مدافعان امنیت سایبری را قادر می‌سازد تا یک توافق را پایان دهند.

چگونه از APT جلوگیری کنیم

مرحله 1: اولویت‌بندی اصول امنیتی

برای جلوگیری از حملات APT، با اصول اولیه شروع کنید:

1- محدود کردن دسترسی به دستگاه‌ها

  • پورت‌های فایروال غیر‌ضروری را برای شبکه و دستگاه‌های مجزا ببندید.
  • از فایروال برای محافظت از برنامه‌های وبِ در معرض نمایش، استفاده کنید.

2- کنترل دسترسی قدرتمند برای کاربران

  • از رمزهای عبور قوی استفاده کنید.
  • دسترسی با حداقل امتیاز مورد نیاز (“اعتماد صفر”) برای کاربران.

3- دارایی‌های امن

  • حفظ امنیت نقطه پایانی موثر (آنتی ویروس، EDR)
  • نظارت بر ایمیل‌ها و سرورهای ایمیل امن.
  • ایمن کردن و نظارت بر دستگاه‌های شبکه.

4- موجودی و اطلاعات را به موقع و دقیق نظارت کنید

  • موجودی دارایی‌ها و لیست نرم‌افزارهای تایید شده را شناسایی و نگهداری کنید.
  • فایل‌های گزارش موثر و کاربردی را برای سیستم‌ها، دستگاه‌ها و برنامه‌ها، فعال کنید.
  • سیستم‌ها و نرم‌افزارها را پچ کنید و به‌روز نگه دارید.

عدم اجرای اصول اولیه در وهله اول، هرگونه ابزار پیشرفته را تضعیف کرده و هرگونه تلاش امنیتی را دشوارتر خواهد کرد.

مرحله 2: تماشا، بررسی و یادگیری

پس از پوشش اصول اولیه، تیم‌های فناوری اطلاعات و سایر کارشناسان باید به دنبال نشانه‌های حمله باشند، سیستم‌های موجود را بررسی کنند و در مورد APT اطلاعات کسب کنند.

1- مانیتورینگ

استفاده از راه حل‌های نظارت غیرفعال مانند مراکز عملیات امنیتی (SOC) یا ابزارهای مدیریت اطلاعات و رویدادهای امنیتی (SIEM). این ابزارها یا گروه‌های امنیتی، تغییرات ثبت شده توسط فایل‌های گزارش را از منابع مختلف مانند فایروال‌ها، سرورها و نرم‌افزارهای حفاظت نقطه پایانی، ردیابی می‌کنند.

این گزارش‌ها می‌توانند تیم‌های امنیتی ما را از رفتار غیرعادی یا مخرب آگاه کنند. این نظارت می‌تواند داخلی باشد یا به صورت برون‌سپاری مانند ارائه دهندگان خدمات امنیتی مدیریت شده (MSSP) انجام شود.

2- ‌آزمایش کردن

قبل از وقوع حادثه، بررسی کنید که همه سیستم‌ها به‌درستی راه‌اندازی و ایمن شده باشند. تست نفوذ و آسیب‌پذیری را برای تأیید وضعیت سیستم و شناسایی آسیب‌پذیری‌های برجسته انجام دهید.

آسیب‌پذیری‌های موجود باید بر اساس ریسک درک شده و ارزش دارایی تحت تأثیر تحلیل و اولویت‌بندی شوند. در نهایت همه آسیب‌پذیری‌ها باید تصحیح شوند یا کنترل‌هایی برای محدود کردن اثربخشی حمله و آسیب در آینده اعمال شود.

یک شکل بررسی که اغلب نادیده گرفته می‌شود، بررسی یکپارچگی «بعد از پَچ» می‌باشد. پس از اعمال وصله‌های امنیتی حیاتی برای منابع کلیدی، این منابع باید برای تأیید کاربران، برنامه‌ها و وضعیت دارایی بررسی شوند.

به‌عنوان مثال، اعمال پچ سرورهای مایکروسافت اکسچنج داخلی برای از بین بردن آسیب‌پذیری‌های ProxyLogon و ProxyShell، فرصت ایجاد حملات جدید APT را از بین می‌برد، اما هیچکدام از  WebShell‌های نصب شده قبل از هک را حذف نمی‌کند. مدیران سرور  نیاز دارند تا اکسپلویت‌های مختلف شناسایی شده را ردیابی کرده و به‌طور مداوم اصلاحات را اعمال کنند.

3- یادگیری

همه کارکنان باید از روش‌های احتمالی APT و علائم حمله آگاه باشند. کارکنان فناوری اطلاعات باید آموزش‌های فنی مناسب برای مسئولیت‌های خود دریافت کنند. این آموزش بر روی سیستم‌ها و هشدارهای خاص سازمان، هشدارهای امنیتی اخیر و آسیب پذیری‌های تازه کشف شده، متمرکز خواهد بود.

کارمندان خارج از واحد IT، باید به‌‌طور منظم آموزش‌های لازم را در مورد جدیدترین تکنیک‌های فیشینگ، به خطر انداختن ایمیل‌های تجاری و مهندسی اجتماعی دریافت کنند. آنها مجبور نیستند جزئیات فنی نحوه عملکرد یک ماکرو آلوده به بدافزار را در پیوست ایمیل اکسل بدانند، اما باید به‌اندازه کافی بدانند که ماکروها را فعال نکنند.

مرحله سوم: ارتقا در صورت لزوم و امکان

هنگامی که اصول اولیه ما تنظیم شد و تیم‌های ما به‌طور موثر  توسعه یافتند، می‌توانیم ارتقا را در نظر بگیریم. همه سازمان‌ها به‌نوعی از محدودیت‌های منابع رنج می‌برند، بنابراین ارتقا باید بر اساس اولویت‌های سازمان، بودجه و در دسترس بودن پرسنل باشد. برخی از ارتقاهای احتمالی که یک سازمان می‌تواند در نظر بگیرد عبارتند از:

1- محدودیت بیشتر دسترسی به دستگاه‌ها:

  • پیاده‌سازی راه حل‌های کنترل دسترسی شبکه (NAC) را برای مسدود کردن دستگاه‌های فعال و ناامن.
  • استفاده از راه‌حل‌های فایروال پیشرفته با قابلیت‌های بازرسی برنامه‌ها.
  • تقسیم‌بندی شبکه و زیرمجموعه‌های شبکه را برای جداسازی سیستم‌ها.

2- بهبود امنیت کنترل دسترسی برای کاربران

  • اجرای احراز هویت چند عاملی (MFA)
  • اِعمال راه‌حل‌های اعتماد صفر را برای ارتقای مجوز اولیه به مجوز دائم برای افراد، دستگاه‌ها، خدمات و برنامه‌ها.
  • ایجاد گروه‌های کاربری متمایز و جزئی با قواعد و مجوزهای خاص دارایی های امن.
  • ارتقا راه‌حل‌های نقطه پایانی که به‌طور فعال عملکرد آن را نظارت می‌کنند.
  • استفاده از تجزیه و تحلیل رفتار کاربر و بخش (UEBA) برای تشخیص سریع ناهنجاری‌ها.
  • نصب ابزارهای پیشگیری مرتبط با از دست دادن داده‌ها (DLP) را برای نظارت بر حذف، جابجایی یا کپی کردن داده‌ها.
  • به‌کار بستن رمزگذاری داده‌ها در حالت عادی و در حال انتقال.

سیستم‌ها و راهکارهای‌تان را به ابزارهایی با کمک هوش مصنوعی و ML ارتقا دهید که به‌طور فعال هشدارها را تولید می‌کنند و به‌طور خودکار به مسائل معمول پاسخ می‌دهند.

بسیاری از این ارتقاها، مانند MFA، رمزگذاری داده‌ها یا فایروال‌های پیشرفته، اقدامات اساسی (مخصوصا برای سازمان‌های بزرگ یا بالغ ) در نظر گرفته می‌شوند. مدیران فناوری اطلاعات باید همیشه در چارچوب محدودیت‌های منابع خاص خود، به دنبال بهبود باشند.

APT در مفهوم سایبری

چگونه به APT ها پاسخ دهیم؟

پس از شناسایی APT، چه کاری می‌توان انجام داد؟ دعوت از کارشناسان متخصص در واکنش به حوادث برای کمک به مقابله با تخصص مهاجمان، مفید خواهد بود و قطعا ضرری ندارد.

با این حال، صرف‌نظر از اینکه یک سازمان کمک خارجی دریافت می‌کند یا به منابع داخلی خود متکی است، اقداماتی که باید انجام شود مانند سایر حملات و حوادث است. تیم پاسخ دهنده باید بر روی موارد زیر تمرکز کند: مهار، ریشه‌کنی، بازیابی و کسب تجربه.

1- مهار

جداسازی سیستم، اولین اولویت برای جلوگیری از گسترش APT و محدود کردن آسیب خواهد بود. اگر دسترسی مهاجم را نتوان از طریق ابزارهای دیجیتال مهار کرد، سازمان باید به‌صورت فیزیکی از دسترسی به دنیای خارج قطع شود تا زمانی که سیستم‌های آن‌ها رفع آسیب‌پذیری شوند.

تیم‌های واکنش به حادثه (IR) باید حمله APT را ردیابی کنند و ممکن است لازم باشد با جداسازی بخش‌های وسیعی از شبکه شروع کنند. بخش‌های ایزوله را فقط زمانی می‌توان بازیابی کرد که ایمن اعلام شده باشند. این فرآیند احتمالاً برای یک سازمان بسیار مخرب خواهد بود؛ به‌خصوص اگر حمله نتواند به‌موقع شناسایی شود و همچنین به‌شدت گسترش یافته باشد.

به‌خاطر داشته باشید که مهاجمان احتمالاً قبل از شروع به اجرای اهداف خود و ایجاد هشدارهای گسترده‌تر، سعی می‌کنند تعدادی درب پشتی را در بسیاری از سیستم‌های مختلف، ایجاد کنند. ممکن است سیستم‌های زیادی وجود داشته باشند که هیچ فعالیت مخربی را نشان نمی‌دهند، اما ممکن است درب‌های پشتی از قبل برای استفاده در آینده نصب شده باشند.

2- ریشه کنی و بازیابی

هنگامی که حمله مهار شد، تیم IR می‌تواند حمله را تا زمانی که نقطه شروع احتمالی را شناسایی کند، ردیابی کند. این ردیابی باید آسیب‌پذیری اولیه را که اجازه حمله را داده‌ است شناسایی کند. همچنین می‌بایست سیستم‌ها و داده‌های مختلفِ تحت تأثیر APT را، فهرست کند. از این مرحله، تیم IR باید شناسایی کند که چه اقداماتی باید انجام شود تا سیستم، داده‌ها یا شناسه کاربر را به عملکرد خود بازگرداند. این اقدام می‌تواند به‌سادگی بازنشانی رمز عبور یا به سختی تعویض کامل یک دستگاه باشد.

3- درس‌های آموخته شده (کسب تجربه)

پس از بازیابی سیستم‌ها و پایان حمله، تیم IR باید تیم فناوری اطلاعات و مدیریت را در مورد حمله آگاه نماید. آسیب‌پذیری‌های مورد بهره‌برداری باید حذف شوند و هشدارهای مکمل باید ایجاد شود تا حملات مشابه APT در اسرع وقت شناسایی شود.

گفتار پایانی

APTها (حملات مدام یا مستمر پیشرفته) همچنان به‌عنوان تهدیدی برای سازمان‌ها در اندازه‌های مختلف رشد می‌کنند، زیرا گروه‌های تحت حمایت دولت روش‌های جدیدی را توسعه می‌دهند و روش‌های قدیمی‌تر توسط سازمان‌های بین‌المللی مورد شناسایی قرار می‌گیرند. در حالی که مهاجمان APT از مهارت‌ها و ابزارهای پیشرفته استفاده می‌کنند، یک تیم امنیتی و نظارتی کامل و دقیق در واحد فناوری اطلاعات، می‌تواند برای ردیابی و جلوگیری از حملات APT مؤثر باشد.

نظرات ارزشمند شما

1 دیدگاه

یک پاسخ

  1. لطفا راه های مقابله با فیشینگ و مهندسی اجتماعی یک مطلب آموزشی منتشر کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *