Advanced Persistent Threat (APT) - Блог Бешкова Андрія - Beshkov Andrey

Будь-хто, хто читає новини інформаційної безпеки помітить, що стрічки новин рясніють повідомленнями про успішні атаки найбільших компаній ІТ-індустрії. Sony, Google, Nortel, RSA були змушені оголосити заявити про нечуване раніше. Крім них безліч інших компаній заявило про те, що вони зазнали атак у стилі APT. Термін APT останні кілька років на слуху у всіх. Перекладають його по-різному:

  • витончені постійні загрози
  • постійні прицільні атаки
  • просунуті постійні загрози

Бачачи розбрід і хитання в дискусіях про APT, а іноді і використання APT як нового способу продавати дорогі товари та послуги у сфері ІБ я написав статтю про те, що таке APT і чим вони відрізняються від звичних нам атак.

Багато хто говорить про атаку в стилі APT припускають використання складних засобів або раніше невідомих уразливості. Інші вірять, що якщо ви не гігантська корпорація, то вам нема чого побоюватися. Обидва твердження помилкові. Найчастіше під час атаки застосовуються дуже прості засоби, відомі кожному фахівцю ІБ, такі як Windows Credential Editor, minkatz, pwdump.

Раніше було прийнято вважати, що достатньо побудувати захист, що відображатиме атаки випадкових зловмисників, і вони підуть атакувати сусіда, то тепер так просто відбутися не вдасться. З приходом APT модель атакуючого кардинально змінилася. Тепер вони відрізняються надзвичайною посидючістю, наполегливістю та наявністю великих ресурсів. Жодних технологічно просунутих прийомів в APT не використовується, тому Microsoft пропонує застосовувати новий термін Determined Adversaries – наполегливі супротивники (атокуючі). Це дозволить більш точно відобразити те, що відбувається в ІБіндустрії та вписати в єдину картину такі явища як Stuxnet.

Якщо ваша компанія працює над інноваційними рішеннями, володіє цінною інтелектуальною власністю, виконує урядові замовлення або пов'язана з політичними партіями, то, швидше за все, вам потрібно ретельно перевірити свою інфраструктуру і готуватися до відображення наполегливих і прицільних атак. Корпоративний шпигунство був завжди, але зараз ми увійшли в нову еру.

Як захищатися від атак у стилі APT розповідається у другій статті. У ній я розглядаю міфи, пов'язані з уразливістю, розповідаю про швидке розгортання оновлень, говорю про інструменти проведення аудиту інфраструктури, такі як MSAT, MBSA та закінчую варіантами сегментування мережі за допомогою IPsec.

Навіть якщо ви не вважаєте, що ваша організація схильна до APT рекомендую подивитися вебкаст про Advanced Persistent Threat з конференції Teched Russia. Він допоможе вам навчитися захищатися від найбільш часто застосовуваних атак, актуальних для Windows інфраструктури.