تهدید مداوم پیشرفته (APT) چیست؟ / راه‌های مقابله با آن

مجموعه: متفرقه اينترنت و كامپيوتر

حمله APT یا تهدید مداوم پیشرفته

مهمان ناخوانده در دنیای دیجیتال: بررسی جامع تهدید مداوم پیشرفته (APT) 

اگر یک چیز باشد که متخصصان امنیت سایبری شرکتی را شب‌ها بیدار نگه دارد، فکر کردن به حمله‌ای است که از مجموعه‌ای از تکنیک‌های پیشرفته برای سرقت اطلاعات ارزشمند شرکت استفاده می‌کند. همانطور که از نامش پیداست، یک تهدید مداوم پیشرفته (APT) از تکنیک‌های هک مداوم، پنهانی و پیچیده برای نفوذ به یک سیستم و ماندن در آن برای مدت طولانی با عواقب بالقوه مخرب استفاده می‌کند.

مقابله با تهدیدات مداوم و پیشرفته APT

تهدید مداوم پیشرفته (APT) چیست؟

"تهدید مداوم پیشرفته" (APT) اصطلاحی کلی است که برای توصیف یک حمله سایبری به کار می‌رود که در آن نفوذگر یا گروهی از نفوذگران، به طور غیرقانونی و برای مدت طولانی، در یک شبکه مستقر می‌شوند تا به اطلاعات بسیار حساس دست یابند. اهداف این حملات با دقت انتخاب و بررسی می‌شوند و معمولاً شامل شرکت‌های بزرگ یا شبکه‌های دولتی هستند. عواقب چنین نفوذهایی گسترده است و می‌تواند شامل موارد زیر باشد:

• سرقت مالکیت فکری (مانند اسرار تجاری یا اختراعات ثبت‌شده)

• به خطر افتادن اطلاعات حساس (مانند داده‌های خصوصی کارمندان و کاربران)

• خرابکاری در زیرساخت‌های حیاتی سازمان (مانند حذف پایگاه داده)

• تصاحب کامل وب‌سایت

برای اجرای یک حمله APT، به منابع بیشتری نسبت به یک حمله استاندارد به وب‌سایت نیاز است. عاملان این حملات معمولاً تیم‌هایی از مجرمین سایبری باتجربه هستند که از پشتوانه مالی قابل توجهی برخوردارند. برخی از حملات APT توسط دولت‌ها تأمین مالی می‌شوند و به عنوان سلاح جنگ سایبری مورد استفاده قرار می‌گیرند.

حملات APT با حملات سنتی به وب‌سایت‌ها در موارد زیر تفاوت دارند:

• به‌طور قابل توجهی پیچیده‌تر هستند.

• حمله و فرار نیستند، به محض نفوذ به شبکه، عامل حمله در آن باقی می‌ماند تا به بیشترین اطلاعات ممکن دسترسی پیدا کند.

• به صورت دستی (نه خودکار) علیه یک هدف خاص اجرا می‌شوند و به طور بی‌هدف علیه مجموعه‌ای بزرگ از اهداف پرتاب نمی‌شوند.

• آنها اغلب به دنبال نفوذ به کل شبکه هستند، نه یک بخش خاص.

حملات رایج‌تر مانند گنجاندن فایل از راه دور (RFI)، تزریق SQL و اسکریپت‌نویسی بین سایتی (XSS) اغلب توسط عاملان برای ایجاد جای پا در شبکه هدف مورد استفاده قرار می‌گیرند. سپس، تروجان‌ها و پوسته‌های در پشتی اغلب برای گسترش این جای پا و ایجاد حضور دائمی در داخل محیط هدف استفاده می‌شوند.

اهداف اصلی تهدیدات مداوم پیشرفته (apt)

به دلیل تلاش و زحمت زیادی که برای انجام چنین حملاتی لازم است، APTها معمولاً به سمت اهداف با ارزش بالا مانند کشورهای ملی و شرکت‌های بزرگ نشانه گرفته می‌شوند، با هدف نهایی سرقت اطلاعات برای مدت طولانی، به جای اینکه مانند بسیاری از هکرهای کلاه سیاه در حملات سایبری سطح پایین، صرفاً "چشم‌پوشی" کنند و به سرعت بروند.

APT روشی برای حمله است که باید در رادار مشاغل در همه جا باشد. با این حال، این به این معنی نیست که مشاغل کوچک و متوسط ​​می‌توانند این نوع حملات را نادیده بگیرند.

مهاجمان APT به طور فزاینده‌ای از شرکت‌های کوچک‌تری که زنجیره تامین هدف نهایی خود را تشکیل می‌دهند، به عنوان راهی برای دسترسی به سازمان‌های بزرگ استفاده می‌کنند. آنها از چنین شرکت‌هایی، که معمولاً از امنیت کمتری برخوردار هستند، به عنوان سکوی پرش استفاده می‌کنند.

هدف اصلی یک حمله‌ی APT دستیابی به دسترسی مداوم به سیستم است

پنج مرحله‌ی یک حمله‌ی پیشرفته‌ی مداوم در حال تکامل

هدف اصلی یک حمله‌ی APT، دستیابی به دسترسی مداوم به سیستم است. هکرها این کار را در پنج مرحله‌ی زیر انجام می‌دهند:

مرحله‌ی اول: کسب دسترسی

مرحله‌ی دوم: ایجاد جای پا

مرحله‌ی سوم: تعمیق دسترسی

مرحله‌ی چهارم: حرکت جانبی

مرحله‌ی پنجم: نگاه کردن، یادگیری و ماندن

مرحله‌ی اول: کسب دسترسی

مانند سارقی که با یک دیلم در را می‌شکافد، مجرمین سایبری نیز معمولاً از طریق شبکه، یک فایل آلوده، ایمیل ناخواسته یا آسیب‌پذیری برنامه برای تزریق بدافزار به شبکه‌ی هدف وارد می‌شوند.

مرحله‌ی دوم: ایجاد جای پا

مجرمین سایبری بدافزاری را کار می‌گذارند که امکان ایجاد شبکه‌ای از درهای پشتی و تونل‌ها را برای حرکت در سیستم‌ها بدون شناسایی فراهم می‌کند. بدافزار اغلب از تکنیک‌هایی مانند بازنویسی کد برای کمک به هکرها در پنهان کردن ردپای آن‌ها استفاده می‌کند.

مرحله‌ی سوم: تعمیق دسترسی

هنگامی که هکرها وارد شدند، از تکنیک‌هایی مانند کرک کردن رمز عبور برای به دست آوردن حقوق مدیر استفاده می‌کنند تا بتوانند کنترل بیشتری روی سیستم داشته باشند و سطوح دسترسی بیشتری به دست آورند.

مرحله‌ی چهارم: حرکت جانبی

هکرها با دسترسی مدیر در اعماق سیستم می‌توانند به دلخواه حرکت کنند. آن‌ها همچنین می‌توانند برای دسترسی به سایر سرورها و سایر بخش‌های امن شبکه تلاش کنند.

مرحله‌ی پنجم: نگاه کردن، یادگیری و ماندن

هکرها از داخل سیستم، درک کاملی از نحوه‌ی عملکرد و آسیب‌پذیری‌های آن به دست می‌آورند و به آن‌ها اجازه می‌دهد اطلاعات مورد نظرشان را به دلخواه جمع‌آوری کنند.

هکرها می‌توانند تلاش کنند این فرآیند را به طور بالقوه برای همیشه اجرا کنند یا پس از رسیدن به هدف خاص، عقب‌نشینی کنند. آن‌ها اغلب یک در پشتی باز می‌گذارند تا در آینده دوباره به سیستم دسترسی پیدا کنند.

عامل انسانی در APT

از آنجایی که دفاع سایبری شرکتی نسبت به کاربر خصوصی پیچیده‌تر است، روش‌های حمله اغلب نیاز به مشارکت فعال فردی در داخل سازمان برای رسیدن به آن لحظه‌ی "دیلم زدن" حیاتی دارد. با این حال، این به معنای مشارکت آگاهانه‌ی کارمند در حمله نیست. این معمولاً شامل استفاده‌ی مهاجم از مجموعه‌ای از تکنیک‌های مهندسی اجتماعی مانند "وال‌فیشینگ" (whaling) یا "فیشینگ هدفمند" (spear phishing) است.

تشخیص و حفاظت موثر در برابر حملات APT

اقدامات امنیتی در برابر حملات APT

تشخیص و حفاظت موثر در برابر حملات APT نیازمند رویکردی چندوجهی از طرف مدیران شبکه، ارائه دهندگان امنیت و کاربران فردی است.

۱- نظارت بر ترافیک:

نظارت بر ترافیک ورودی و خروجی، بهترین روش برای جلوگیری از نصب درهای پشتی و مسدود کردن استخراج داده‌های سرقت شده در نظر گرفته می‌شود.

بررسی ترافیک داخل محیط شبکه شما همچنین می‌تواند به هشدار به پرسنل امنیتی در مورد هر رفتار غیرعادی که ممکن است به فعالیت مخرب اشاره کند، کمک کند.

۲- فایروال برنامه وب (WAF):

یک فایروال برنامه وب (WAF) که در لبه شبکه شما مستقر شده است، ترافیک به سرورهای برنامه وب شما را فیلتر می کند و به این ترتیب از یکی از آسیب‌پذیرترین سطوح حمله شما محافظت می کند. یک WAF در میان سایر کارکردها، می تواند به حذف حملات لایه برنامه مانند حملات RFI و تزریق SQL که اغلب در مرحله نفوذ APT استفاده می شوند، کمک کند.

خدمات نظارت بر ترافیک داخلی مانند فایروال شبکه، روی دیگر این معادله هستند. آنها می توانند با نمایش جزئیات نحوه تعامل کاربران در شبکه شما، به شناسایی ناهنجاری های ترافیک داخلی (مانند ورودهای نامنظم یا انتقال داده های غیرعادی) کمک کنند. دومی می تواند نشانه ای از وقوع حمله APT باشد. همچنین می توانید دسترسی به اشتراک گذاری فایل یا هاوپات های سیستمی را نظارت کنید.

در نهایت، خدمات نظارت بر ترافیک ورودی می توانند برای شناسایی و حذف پوسته های در پشتی مفید باشند. با رهگیری درخواست های راه دور از اپراتورها، می توان آنها را شناسایی کرد.

۳- لیست سفید برنامه ها و دامنه ها:

لیست سفید روشی برای کنترل دامنه‌هایی است که از شبکه شما قابل دسترسی هستند و همچنین برنامه‌هایی که کاربران شما می‌توانند نصب کنند. این روش دیگری برای کاهش میزان موفقیت حملات APT با به حداقل رساندن سطوح حمله در دسترس است.

با این حال، این اقدام امنیتی به هیچ وجه غیرقابل نفوذ نیست، زیرا حتی قابل اعتمادترین دامنه ها نیز می توانند به خطر بیفتند. همچنین مشخص است که فایل‌های مخرب به طور معمول با عناوین نرم‌افزارهای قانونی ظاهر می‌شوند. علاوه بر این، نسخه‌های قدیمی‌تر محصولات نرم‌افزاری مستعد به خطر افتادن و سوءاستفاده هستند.

برای لیست سفید موثر، باید سیاست‌های به‌روزرسانی دقیق اجرا شود تا اطمینان حاصل شود که کاربران شما همیشه آخرین نسخه از هر برنامه‌ای را که در لیست ظاهر می‌شود، اجرا می‌کنند.

۴- کنترل دسترسی:

برای عاملان حملات، کارمندان شما به طور معمول بزرگترین و آسیب‌پذیرترین نقطه ضعف در محیط امنیتی شما هستند. اغلب به همین دلیل است که کاربران شبکه شما توسط نفوذگران به عنوان دروازه ای آسان برای نفوذ به دفاع شما و گسترش تسلط آنها در محیط امنیتی شما در نظر گرفته می شوند.

در اینجا، اهداف احتمالی در یکی از سه دسته زیر قرار می گیرند:

• کاربران بی‌احتیاطی که سیاست‌های امنیتی شبکه را نادیده می‌گیرند و ناخواسته به تهدیدهای بالقوه دسترسی می‌دهند.

• نفوذی‌های داخلی که عمداً از اعتبار کاربری خود برای اعطای دسترسی به عاملان حمله سوء استفاده می‌کنند.

• کاربران به خطر افتاده‌ای که امتیازات دسترسی به شبکه آنها به خطر افتاده و توسط مهاجمان مورد استفاده قرار می‌گیرد.

توسعه کنترل‌های موثر مستلزم بررسی جامع همه افراد سازمان شما است، به ویژه اطلاعاتی که به آن دسترسی دارند. به عنوان مثال، طبقه‌بندی داده‌ها بر اساس نیاز به دانستن، به جلوگیری از توانایی مهاجم برای سرقت اطلاعات ورود از یک کارمند سطح پایین و استفاده از آن برای دسترسی به مواد حساس کمک می‌کند.

نقاط کلیدی دسترسی شبکه باید با تایید دو مرحله‌ای (2FA) ایمن شوند. این امر، کاربران را ملزم می‌کند هنگام دسترسی به مناطق حساس (معمولاً کد عبوری که به دستگاه تلفن همراه کاربر ارسال می‌شود) از روش دوم تأیید استفاده کنند. این کار از حرکت بازیگران غیرمجاز که خود را به عنوان کاربران مجاز معرفی می کنند در شبکه شما جلوگیری می کند.

5. اقدامات اضافی

علاوه بر موارد فوق، این اقدامات بهترین روش‌هایی هستند که هنگام ایمن‌سازی شبکه خود باید انجام دهید:

• به‌روزرسانی آسیب‌پذیری‌های نرم‌افزار و سیستم‌عامل شبکه در اسرع وقت. این کار جلوی سوءاستفاده مهاجمان از حفره‌های امنیتی شناخته‌شده را می‌گیرد.

• رمزنگاری اتصالات از راه دور برای جلوگیری از سوار شدن مهاجمان بر روی این اتصالات جهت نفوذ به سایت شما.

• فیلتر کردن ایمیل‌های ورودی برای جلوگیری از حملات اسپم و فیشینگ که شبکه شما را هدف قرار می‌دهند.

• ثبت فوری رویدادهای امنیتی برای کمک به بهبود لیست سفیدها و سایر سیاست‌های امنیتی. با ثبت وقایع امنیتی می توانید الگوهای مشکوک را شناسایی کرده و اقدامات پیشگیرانه‌ی لازم را انجام دهید.

عواقب فاجعه‌بار یک حمله APT

سوالات متداول درباره حملات APT

1. APT مخفف چیست؟

APT مخفف "Advanced Persistent Threat" به معنی "تهدید مداوم پیشرفته" است.

2. حملات APT چه هستند؟

حملات APT نوعی حمله سایبری پیچیده و هدفمند هستند که توسط مهاجمان ماهر برای نفوذ به شبکه‌های کامپیوتری و سرقت اطلاعات حساس انجام می‌شوند. این حملات به دلیل ماهیت پنهان و طولانی‌مدتشان، شناسایی و مقابله با آنها دشوار است.

3. اهداف حملات APT چه کسانی هستند؟

اهداف حملات APT معمولاً سازمان‌های بزرگ و دولتی هستند که دارای اطلاعات حساس و ارزشمندی هستند.

4. در صورت  وقوع  حمله APT  چه باید کرد؟

در صورت  وقوع  حمله APT  باید اقدامات زیر را انجام دهید:

- حمله را  شناسایی و  محدود کنید:  منشأ  حمله را  شناسایی  و  برای  جلوگیری از  گسترش  آن  اقدام کنید.

- شواهد را جمع‌آوری کنید:  تمام  شواهد مربوط به  حمله را  جمع‌آوری  و  ذخیره کنید.

- با  مقامات  ذیصلاح  تماس بگیرید:  با  مقامات  ذیصلاح  مانند  پلیس  فتا  تماس  بگیرید و  حمله را  به آنها گزارش دهید.

تهدید مداوم پیشرفته: یک خطر باقیمانده

خطر اصلی حملات APT این است که حتی زمانی که آنها کشف می شوند و به نظر می رسد تهدید فوری از بین رفته باشد، ممکن است هکرها چندین در پشتی باز گذاشته باشند که به آنها اجازه می دهد در صورت انتخاب برگردند. علاوه بر این، بسیاری از دفاع های سایبری سنتی مانند آنتی ویروس و فایروال همیشه نمی توانند در برابر این نوع حملات از شما محافظت کنند.

برای به حداکثر رساندن شانس یک دفاع مداوم موفق، باید ترکیبی از اقدامات مختلف به کار گرفته شود، از راه حل های امنیتی پیشرفته مانند «امنیت سازمانی کسپرسکی» (Kaspersky Enterprise Security) گرفته تا نیروی کار آموزش دیده و آگاه از تکنیک های مهندسی اجتماعی.

گردآوری:بخش کامپیوتر و اینترنت بیتوته