Vad är ett Advanced Persistent Threat (ATP)?
Ett avancerat ihållande hot är en bred term som används för att beskriva en attackkampanj där en inkräktare, eller ett team av inkräktare, etablerar en olaglig, långvarig närvaro i ett nätverk för att bryta mycket känslig data.
Målen för dessa övergrepp, som är mycket noggrant utvalda och undersökta, inkluderar vanligtvis stora företag eller statliga nätverk. För att genomföra en APT genomför hackare först spaning på sina mål. De samlar in information om nätverkets struktur, nätverkstjänster och dataflöde.
Efter att ha förstått nätverket och dess resurser installerar de en bakdörr, även kallad agent, som gör att de kan flytta i sidled och stjäla data. När hackarna väl har etablerat en bakdörr startar de processen med att i hemlighet bryta data eller stjäla data.
De kan använda ett verktyg som kallas spionverktyg för att samla in tangenttryckningar. I vissa fall installerar de också skadlig programvara på nätverksnoderna som de kontrollerar, vilket gör att de kan exfiltrera data utan att generera larm.
Hur funkar ATP?
Hackare använder en rad olika metoder för att utföra en APT. Dessa inkluderar:
- Bakdörrsimplantation – implantera ett medel på offrets system för senare rörelse och dataexfiltrering.
- Lateral rörelse – penetrera nätverket genom att få en anställd att ”klicka” på en infekterad bilaga eller genom att använda legitim åtkomst för att kopiera data.
- Exfiltration – stjäla data genom att ta emot det och sedan exfiltrera det.
Hur skyddar man sig mot en ATP?
Det finns ett antal steg du kan vidta för att skydda dig mot ett avancerat ihållande hot. Dessa inkluderar:
- Genomför regelbundna granskningar av ditt nätverk och system för tecken på skadlig aktivitet.
- Installera realtidsövervakningsverktyg på ditt nätverk för att upptäcka onormalt beteende som ovanlig nätverkstrafik, obehöriga enheter eller åtkomstmönster.
- Kryptera känslig information som immateriella rättigheter, finansiella data och personligt identifierbar information.
- Skydda ditt nätverk med en stark implementering av nätverkssäkerhet och starka fysiska säkerhetsåtgärder som begränsad åtkomst till känsliga områden och begränsade eller låsta filskåp.
- Tillämpa bästa praxis för att minska attackytan på ditt nätverk och dina system.
Hur identifierar man en ATP?
Även om de flesta avancerade ihållande hoten är noggrant planerade och verkställda, följer inte alla attacker ett sådant strukturerat tillvägagångssätt. Faktum är att många hackare använder en teknik som kallas ”brute-force attacks”, som använder programvara för att prova olika kombinationer av bokstäver och siffror för att få tillgång till ett konto.
När ett konto har äventyrats kan en angripare sedan använda denna åtkomst för att flytta i sidled, stjäla data eller installera en bakdörr. För att identifiera en avancerad ihållande attack kan du:
- Utföra regelbundna granskningar av ditt nätverk och system för att leta efter tecken på skadlig aktivitet.
- Installera realtidsövervakningsverktyg på ditt nätverk för att upptäcka ovanligt beteende som ovanlig nätverkstrafik, obehöriga enheter eller åtkomstmönster.
- Övervaka nätverkstrafik för att identifiera ovanlig aktivitet som upprepade försök att komma åt ett konto eller överföringar av stora mängder data.