APT (avanceret vedvarende trussel)
21. august 2022 - César Daniel Barreto
Et APT-angreb er en type cyberangreb, der udføres af en motiveret og ressourcestærk angriber, som har til formål at få langvarig adgang til et måls netværk. Angrebet udføres i flere faser:
- Intelligence Gathering: The APT attacker collects information about the target network, often through phishing emails, malware attachments, and software vulnerabilities.
- Indgangspunkt: Angriberen finder en vej ind i systemet for at installere malware ved hjælp af teknikker som phishing-mails eller udnyttelse af softwaresårbarheder.
- Kommando- og kontrolserver: Angriberen opretter en kommunikationskanal med malwaren, som regel via en IP-adresse i et andet land.
- Lateral bevægelse: Angriberen får adgang til flere maskiner på netværket ved at udnytte softwaresårbarheder og bruge stjålne legitimationsoplysninger.
- Overførsel af data: Angriberen stjæler data ved at exfiltrere dem, normalt ved at komprimere og kryptere dem for at undgå at blive opdaget.
- Tildækning: Angriberen skjuler sine spor ved at slette filer, deaktivere logning eller bruge andre midler til at gøre angrebet svært at opdage.
Hvordan man udfører tilstrækkelig sikkerhed mod de avancerede trusler
Vi er nået til et vendepunkt inden for sikkerhed, hvor organisationer må acceptere, at de vil blive hacket. Det er også rimeligt at antage, at alle kritiske systemer, der er forbundet med et netværk og derefter eksponeret for internettet, allerede er blevet kompromitteret.
Der er ingen garantier for, at nogen organisation er fri for truslen. Det er passende for en organisation at håbe på, at den ikke bliver hacket, men det giver mening at have forholdsregler til at opdage det, hvis det nu skulle ske. Og når der sker et brud, kan det opdages så hurtigt som muligt.
Det er vigtigt at finde problemet hurtigt, så det ikke sker igen.
Vores topprioritet er at holde vores virksomhed flydende, og den bedste måde at gøre det på er ved at opdage databrud tidligt og reagere hurtigt for at minimere skaden. Desværre har de seneste begivenheder vist, at virksomheder er nødt til at gøre mere for at se disse kompromisser.
Forståelse af risici
Virksomheder bør være lige så forsigtige med sikkerheden, som vi er i vores hverdag. Ville du spise en chokoladebar fra jorden, som en anden allerede havde taget en bid af? Nej, selvfølgelig ikke! På samme måde bør virksomheder ikke tage unødvendige risici, hvor de ikke ved, hvad der kan ske, eller hvordan tingene kan ende.
Desværre har vi endnu ikke fået indprentet den samme sunde fornuft, når det gælder cybersikkerhed. Det er lige så risikabelt at samle et USB-stik op og bruge det, som er faldet på jorden, som at spise mad fra gulvet. Men de fleste mennesker har endnu ikke lært ikke at gøre det sidste siden barndommen. Og det er vigtigt at uddanne folk om farerne i den digitale verden.
Fokus på organisationens sårbarheder
Vi fokuserer naturligvis på de trusler, der har størst chance for at blive udnyttet og få en betydelig effekt. Ti større sårbarheder er lettere at rette end 100 mindre. I stedet for at forbedre én eksponering ad gangen, indtil den er væk, begår mange organisationer denne fejl og hyperfokuserer på at reparere én, indtil den er løst, i stedet for at reducere mange risici på samme tid.
Dette nærsynede syn skaber en falsk følelse af sikkerhed og giver CISO'er indtryk af, at de gør deres arbejde, når de i virkeligheden kun foretager marginale forbedringer.
Når en organisations sikkerhed bliver brudt, er det desuden ikke kun CISO'ens job, der står på spil. Hele virksomhedens omdømme er på spil. Så alle i organisationen skal være opdateret på de seneste sikkerhedstrusler.
Og selv om en virksomhed har en cybersikkerhedsforsikring, er der brug for mere. De gennemsnitlige omkostninger ved databrud er $3,86 millioner, og det er kun gennemsnittet! De samlede omkostninger kan være meget højere, afhængigt af virksomhedens størrelse og typen af stjålne data.
Cybersikkerhedsforsikringer dækker kun en brøkdel af de samlede omkostninger og bidrager ikke til at forbedre virksomhedens sikkerhedsposition. Så selv om en virksomhed har en forsikring, er det stadig i dens bedste interesse at gøre alt, hvad den kan, for at forhindre et brud i at ske i første omgang.
Reducer angrebsfladen
Et af de kritiske områder i forebyggelsen af APT-trusler er at reducere angrebsfladen eller fjerne uvedkommende komponenter, der ikke bruges. Rimelige hærdningsprocedurer og solid konfigurationsstyring er nøglen til succes.
Åbne porte og scripts kan gøre en organisation sårbar over for sikkerhedsbrud. Hvis disse tjenester bliver hacket, kan konsekvenserne være katastrofale. Men hvis en organisation bruger tjenester, der ikke er til legitime formål, og disse tjenester er kompromitteret, har du al mulig grund til at være bekymret.
Mange vellykkede APT-angreb har udnyttet de aktiverede muligheder, men de bruges ikke til praktiske formål.
Organisationer kan forbedre deres sikkerhed ved at reducere antallet af software-, program- og systemfunktioner. Færre funktioner betyder færre muligheder for angribere til at finde en vej ind.
Vær opmærksom på HTML-indlejret e-mail-indhold
Organisationer, der bruger HTML-indlejret indhold i deres e-mails, er mere modtagelige for spear phishing-angreb fra APT'er. Mens nogle mennesker bruger HTML-funktionerne i en e-mail til at lege med farver og baggrunde eller indlejre indhold, har de fleste virksomheder ikke brug for HTML i deres daglige drift.
Nogle gange sender folk dig e-mails med links. Folk klikker måske på linket i den tro, at det fører dem derhen, hvor de gerne vil. Men cyberkriminelle har fundet en måde at skjule den faktiske destination i e-mailens kode.
Hvis organisationer slukkede for HTML-mail, ville de stoppe mange spear phishing-angreb.
Øg bevidstheden hos brugerne
Mange farer kommer ind i et netværk på bedragerisk vis, f.eks. ved at lokke brugeren til at åbne en vedhæftet fil eller klikke på et link, som de ikke burde. Sessioner kan langt hen ad vejen mindske den samlede eksponering ved at begrænse de handlinger, en bruger har lov til at udføre med passende opmærksomhed.
Rangering af adfærd
Ofte bruger sofistikerede angribere standardtaktikker til at afgøre, om noget er sikkert. Selv om denne metode ikke er særlig pålidelig, bruges den stadig i vid udstrækning af utallige angribere.
Angribere ønsker ikke at blive opdaget, så du skal være forsigtig med deres handlinger. Mange angribere forsøger at ligne almindelig trafik. Det gør de, så de kan komme forbi sikkerheden uden at blive bemærket. Men når de først er inde, viser de deres sande hensigter. Så du skal holde øje med bestemte typer adfærd og finde ud af, om det ligner en almindelig bruger eller en person med onde motiver.
Skab et sandkassemiljø
En sandkasse er et isoleret testmiljø, som giver brugerne mulighed for at køre programmer eller afvikle filer uden at påvirke resten af systemet.
Et typisk forretningsmiljø har mange brugere, som skal have adgang til forskellige applikationer og data. Men ikke alle brugere har brug for adgang til alle applikationer og data. De fleste brugere har kun brug for adgang til en lille delmængde af applikationerne og dataene.
Ved at skabe et sandkassemiljø kan virksomheder begrænse mængden af data og applikationer, som brugerne har adgang til. En sandkasse vil minimere risikoen for databrud og reducere konsekvenserne, hvis der sker et brud.
Derudover kan sandboxing også hjælpe med at forhindre malware i at sprede sig. Hvis en bruger åbner en fil, der indeholder malware, bliver malwaren isoleret i sandkassen og kan ikke inficere resten af systemet.
Implementer mindste privilegium
Mindste privilegium er et sikkerhedsprincip, der siger, at brugere kun skal have det minimum af adgang, der er nødvendigt for at udføre deres arbejde.
For eksempel bør brugere kun have redigeringsadgang, hvis de læser data fra en database. Ved at begrænse brugerne til det mindst nødvendige adgangsniveau kan virksomheder reducere risikoen for brud på datasikkerheden.
Derudover bør virksomheder også overveje at implementere "least privilege" for applikationer. Hvis en applikation kun skal læse data fra en database, bør du ikke give den skriveadgang. Ved at begrænse applikationer til det mindst nødvendige adgangsniveau kan virksomheder yderligere reducere risikoen for databrud.
Sikre netværkets udgående trafik
Da der er større sandsynlighed for, at udgående trafik indeholder data, der er stjålet fra et netværk, er det endnu vigtigere at overvåge den. Ved at se på udgående trafik kan du identificere enhver usædvanlig aktivitet og tage skridt til at forhindre, at din virksomhed bliver skadet.
Forstå, hvordan lovovertrædelsen fungerer
For at beskytte din organisation mod APT-angreb skal du forstå, hvordan angrebene fungerer. Du skal også holde dig opdateret om de nyeste angrebsmetoder for at forberede dit forsvar.
Styr slutpunktet
Angribere kan bruge et endpoint til at komme ind i et netværk, men deres hovedmål er som regel at stjæle data. Hvis du vil beskytte dine data og minimere virkningen af et angreb, fokus på at sikre og overvåge slutpunktet.
Organisationer kan bruge mange forskellige teknikker til at kontrollere slutpunktet. En standardmetode er at kræve to-faktor-autentificering (TFA) for alle brugere. TFA sikrer, at kun autoriserede brugere kan få adgang til data.
En anden metode er at bruge whitelisting af applikationer. Denne teknik tillader kun godkendte applikationer at køre på et endpoint. Ved at kontrollere, hvilke programmer der får lov til at køre, kan du reducere risikoen for et angreb.
Du kan også bruge overvågningsværktøjer til at kontrollere slutpunktet. Disse værktøjer kan hjælpe dig med at opdage og reagere på mistænkelig aktivitet.
Implementer et dataklassifikationssystem
Du skal have en passende dataklassificeringsprocedure for at beskytte din virksomhed mod APT'er. En data Klassifikationssystem betyder at vide, hvilke oplysninger der er følsomme nok til at kræve beskyttelse. Et af problemerne med APT'er er, at de konstant forsøger at stjæle data fra din organisation. Du kan kun forhindre nogle ting i at forlade din virksomhed, men hvis du har en passende dataklassificeringsprocedure, kan du forsvare dig mod disse angreb.
Den bedste måde at opbevare dine data på er på et internetbaseret netværk. Dette lagringsnetværk er meget sikkert og hjælper med at holde dine data sikre. Det er også vigtigt kun at lade nødvendige oplysninger forlade virksomheden, så følsomme data forbliver intakte.
Hvis du har to filer, den ene offentlig og den anden fortrolig, er den fortrolige fil i større fare, fordi folk måske ikke ved, at den er hemmelig. En organisation kan nu regulere og styre informationsstrømmen med en DLP-løsning (Data Loss Prevention), som er tæt forbundet med DRM (Digital Rights Management).
Der er flere trin i en passende dataklassifikationsprocedure:
1. Bestem administratoren
2. Angiv typerne af data
3. Kategoriser dataene
4. Indstil sikkerhedskontroller
5. Træn medarbejderne i proceduren
6. Overvåg og gennemgå proceduren
3. Bestem værdien af dataene
4. Klassificer dataene
5. Opret en politik
6. Træn medarbejdere
7. Håndhæv politikken
8. Overvåg overholdelse
En procedure for dataklassificering er en vigtig del af enhver sikkerhedsplan. Ved at implementere en klassifikationsprocedure kan du hjælpe med at beskytte din virksomhed mod APT'er.
Cybersikkerhed er afgørende. Organisationer vil blive ved med at blive hacket, men vi kæmper stadig.
Vi kan ikke altid stoppe alle angreb, men ved at være forberedte og omhyggelige kan vi begrænse den skade, som hackere kan gøre.
César Daniel Barreto
César Daniel Barreto er en anerkendt cybersikkerhedsskribent og -ekspert, der er kendt for sin dybdegående viden og evne til at forenkle komplekse cybersikkerhedsemner. Med omfattende erfaring inden for netværks sikkerhed og databeskyttelse bidrager han regelmæssigt med indsigtsfulde artikler og analyser om de seneste cybersikkerhedstendenser og uddanner både fagfolk og offentligheden.