Tiedät, että sinun pitäisi tehdä enemmän estääksesi kyberhyökkäykset pienyritystäsi vastaan, mutta aikaa ei ole koskaan tarpeeksi.
Tilastot osoittavat kuitenkin, että ilman asianmukaisia varotoimia hyökkäys saattaa todennäköisesti lopettaa liiketoiminnan: 60 % pienyrityksistä kärsii jonkinlaisesta kyberuhkista, ja 60 % näistä yrityksistä lopettaa toimintansa kuuden kuukauden kuluessa rikkomisesta. .
Kyberhyökkäysten määrän ja monimutkaisuuden kasvaessa kaikkien pienyritysten tulisi asettaa turvallisuustoimenpiteet etusijalle mahdollisimman pian.
Yleiskatsaus: Mikä on kehittynyt pysyvä uhka (APT)?
Kehittynyt jatkuva uhka käyttää useita ja jatkuvia hakkerointitekniikoita päästäkseen käsiksi organisaation IT-järjestelmiin. Lopullisena tavoitteena on varastaa arkaluonteisia tietoja, kuten immateriaalioikeuksia.
Nämä jatkuvat hyökkäykset ovat usein kansallisvaltioiden tai rikollisten kartellien järjestämiä, ja ne ovat vaarallisia, koska niitä on vaikea havaita ja jatkaa pahantahtoista soluttautumistaan kauan sen jälkeen, kun ne ovat alun perin murtaneet yrityksen verkoston. Huolimatta uhan korkean tason luonteesta, monet yksinkertaisesti aloittavat petollisilla sähköpostiviesteillä.
"Suurin osa APT:n kompromisseista alkaa sähköpostihyökkäyksillä, joiden tarkoituksena on saada ensimmäinen jalansija uhrin ympäristössä", sanoo Matt Stamper, EVOTEKin CISO ja toimeenpaneva neuvonantaja sekä ISACA San Diegon osaston puheenjohtaja. "Useimmat organisaatiot ovat yksinkertaisesti huonosti valmistautuneita tai ylivoimaisia resursseista, joita APT:n takana olevat uhkatoimijat voivat tuoda mukanaan."
Kuten nimestä voi päätellä, APT:t eivät ole nopeita hittejä. Hyökkääjä asuu verkossa ja viettää joskus viikkoja tai kuukausia viestinnän seuraamiseen, asiakastietojen keräämiseen ja haittaohjelmien levittämiseen koko organisaatioon, mikä usein vaikuttaa verkon ja päätelaitteen suorituskykyyn.
"APT-toimijat kohdistavat usein kohteen tietyille toimialoille tai toimitusketjuille etsiessään vektoria suurempaan kohteeseen, kuten ykköstason valmistajaan, puolustusurakoitsijaan tai valtion virastoon", sanoo Mark Sangster, eSentiren varatoimitusjohtaja ja alan turvallisuusstrategi. . "Mutta viime aikoina [näemme] yhä useammat APT:t kohdistuvat pienempiin yrityksiin joko opportunistisesti huijatakseen niitä tulonlähteenä tai kostoksi poliittisista tapahtumista, kuten sotilaallisesta hyökkäyksestä tai taloudellisista kauppataisteluista."
Kehittynyt pysyvä uhka (APT) vs. haittaohjelmat: Mitä eroa niillä on?
Älä sekoita APT:itä haittaohjelmiin. APT on uhkatekijä, kun taas haittaohjelmat ovat yksi monista työkaluista, joita toimija käyttää päästäkseen järjestelmääsi. Kun pienyritysten omistajat kuulevat "APT-haittaohjelmat", he olettavat haittaohjelmien torjuntaohjelmiston suojaavan heitä APT-hyökkäyksiltä. Ei niin.
Tyypillisten haittaohjelmien on tarkoitus iskeä nopeasti ja aiheuttaa mahdollisimman paljon tuhoa ennen kuin ne havaitaan. Mutta APT-haittaohjelmat – usein räätälöidyt – pyrkivät salaa tunkeutumaan verkkoon ja varastamaan mahdollisimman paljon dataa pidemmäksi aikaa.
Joten, vaikka APT-hakkerointi voi päästä järjestelmään haittaohjelmien, kuten troijalaisten tai tietojenkalastelun, kautta, hyökkääjät voivat peittää jälkensä liikkuessaan järjestelmässä ja istuttaa haittaohjelmia havaitsematta.
"Yritysten on tärkeää ymmärtää, että APT:t käyttävät monenlaisia haittaohjelmia räätälöidyistä työkalupakkeista hyödykehaittaohjelmiin. Kun ihmiset käyttävät termiä "APT-haittaohjelma", he viittaavat usein räätälöityihin, kehittyneisiin haittaohjelmiin – Stuxnet on hyvä esimerkki”, sanoo Karim Hijazi, Prevailionin toimitusjohtaja, joka on seurannut monia merkittäviä APT:itä, mukaan lukien venäläisiä, kiinalaisia, ja iranilaiset ryhmät, jotka käyttävät usein myös hyödykehaittaohjelmia.
"Kysymystä vaikeuttaa entisestään se tosiasia, että kansallisvaltioiden kybertoiminta ei ole niin mustavalkoista kuin miltä se saattaa näyttää; Näissä ponnisteluissa on usein mukana useita ryhmiä varsinaisesta APT:stä rikollisryhmiin ja urakoitsijoihin, jotka suostuvat työskentelemään kansallisvaltion kanssa”, hän lisää. "Tästä syystä hyödykehaittaohjelmien vaarantama organisaatio voidaan sitten siirtää APT-operaatioon."
Haittaohjelmatyyppejä ovat aseet, kuten kiristysohjelmat, jotka lukitsevat tiedostoja ja poistavat palvelimet käytöstä. toimitusmekanismit, jotka jäljittelevät hyvin laillisia tiedostoja ja joita käytetään muiden haittaohjelmien käyttöönottoon ilman havaitsemista; tai tiedustelutyökalut, jotka on suunniteltu keräämään tietoja, kuten käyttäjätunnuksia.
Käytettyjen työkalujen ja "peittojen" kehittymisen lisääntyessä APT-hyökkäyksiä on entistä vaikeampi tunnistaa.
Edistyneen jatkuvan uhkan (APT) hyökkäyksen 9 vaihetta
Näitä hyökkäyksiä vastaan puolustautuminen auttaa ymmärtämään kunkin vaiheen, jotta voit kehittää strategisen, monitahoisen APT-suojausvasteen, joka tarjoaa suojakerroksia. .
Vaihe 1: Kohteen valinta
Critical Path Securityn teknologiajohtajan Patrick Kellyn mukaan APT-hyökkäysten kohteen valinnasta on tullut paljon vähemmän tarkkaa tai tahallista. Aiemmin hyökkääjät tekivät huolellisen tiedustelun valitakseen tietyn yrityksen ja sisääntulopisteen saadakseen halutun pääsyn.
Mutta esimerkiksi Atlantan kaupunkiin vuonna 2018 tehdyn hyökkäyksen tapauksessa hyökkääjät eivät tienneet murtaneensa kaupungin verkkoon. Ja äskettäisessä saksalaisen sairaalahyökkäyksen tapauksessa hakkerit olivat kohdistaneet kohteensa tyypilliseen yritysympäristöön, mutta jättivät jäljen.
Tässä varhaisessa vaiheessa et voi tehdä paljon suojataksesi itseäsi, paitsi ottaa käyttöön turvatoimia, pitää ne ajan tasalla ja varmistaa, että suojaat haavoittuvimpia sisääntulokohtia.
Vaihe 2: Tiedonkeruu
Kun kohde on määritetty, hakkerit keräävät mahdollisimman paljon dataa ennen hyökkäystä ja pääasiallisesti "sulkevat liitoksen" ymmärtääkseen niiden ihmisten tulemisen ja menemisen. päästä verkkoosi. He keräävät usein rikottuja tunnistetietoja tai toimittajatietoja, joita he voivat myöhemmin käyttää päästäkseen verkkoosi luotettujen kanavien kautta.
Salasanojen hallintaohjelmat ja kaksi-/monitekijätodennus ovat paras suojasi hakkereilta tässä vaiheessa.
Vaihe 3: sisääntulopaikka
Kun hyökkääjät ovat valinneet kohteen ja suunnitellut/rakentaneet hyökkäystyökalun, he "toimittavat" sen kohteeseen. Tyypillisesti sisääntulopiste on verkon heikoin kohta, ja ihmiset – ja heidän usein huolimattomasti päätepisteiden turvatoimet – voivat olla se heikko kohta.
"Yli miljardi vuotanutta valtakirjaa vuodessa, ihmiset ovat pääsypiste", Kelley sanoo. "Vuotaneiden tunnistetietojen käyttäminen voi tarjota pääsyn VPN:ään, etätyöpöytäpalveluihin ja pilvitileihin. Arvo on tiedoissa, ei laitteistossa."
Paras puolustus? Tutustu parhaisiin päätepisteiden tietoturvaohjelmistoihin ja käytä sitten salasananhallintaohjelmia ja kaksivaiheista todennusta.
Vaihe 4: Jatkooikeudet
Tässä vaiheessa APT:t erottavat itsensä hyödykehaittaohjelmista. Iskemisen, vahingoittamisen ja mahdollisimman nopean poistumisen sijaan hyökkääjät laajentavat uhan kattamaan mahdollisimman suuren osan verkosta.
Tämä on paljon helpompaa kuin ennen. Nykypäivän etätyöskenaarioissa on lähes mahdotonta pitää jokaista haavoittuvuutta korjattuina, mutta yhä useammat etätyöntekijät kirjautuvat verkkoon vähäisellä päätepistesuojauksella, joka suojaa kotikannettavia tietokoneita. Korjaamattoman järjestelmän tai dokumentaation löytäminen tallennetuilla tunnistetiedoilla on uskomattoman helppoa hakkereille, jotka pääsevät sitten mihin tahansa verkon järjestelmään.
Ehkä yksinkertaisin asia, jonka voit tehdä, on pysyä ajan tasalla ohjelmistokorjauksista, joita myyjät julkaisevat säännöllisesti.
"Pakkaa kaikki. Pidä asento, joka sisältää syvällisen puolustuksen”, Kelley sanoo. "Jos järjestelmä vaarantuu, varmista, että asianmukaiset palomuurit tai VLAN-yhteys tapahtuu rikkoutuneen järjestelmän vaikutuksen vähentämiseksi."
Vaihe 5: Komenna ja hallitse viestintää
Kun järjestelmäsi on saanut tartunnan, se lähettää hyökkääjän palvelimelle lisäohjeita ja antaa uhkatoimijalle verkkosi täydellisen hallinnan. Tämä tapahtuu, koska vain harvat verkot estävät lähtevän liikenteen. Yleinen tapa hakkereille on käyttää Twitter Direct Messaging -palvelua signaalin lähettämiseen ja kommunikointiin palvelimen kanssa, mutta jos yhteyttä ei voida muodostaa, he löytävät toisen menetelmän.
Tässä vaiheessa tarvitset näkyvyyttä tulevasta ja lähtevästä verkkoliikenteestä, oikeat lähtevät palomuurisäännöt ja käyttäytymisen havaitseminen hyökkäyksiltä suojautumiseksi. mutta on silti hyvä mahdollisuus, että et pysty havaitsemaan rikkomusta.
Vaihe 6: Sivusuuntainen liike
Tässä vaiheessa hyökkääjä kerää lisää käyttäjätunnuksia ja jatkaa palvelimien ja työasemien hallinnan laajentamista. He istuttavat haittaohjelmia, kuten kiristysohjelmia, verkkoon ja varmuuskopioihin tehdäkseen nopean palautuksen erittäin vaikeaksi.
Kelleyn mukaan uhkatekijät etsivät tyypillisesti monitoimilaitteita tai VoIP-puhelimia siirtääkseen jatkuvia tunneleitaan, koska kolmannen osapuolen toimittaja valvoo ja ylläpitää harvoin tämäntyyppisiä laitteita. Molemmissa on kuitenkin täydet käyttöjärjestelmät, joiden avulla hyökkääjät voivat suorittaa lähes kaikkia täysin valvotun palvelimen tai työaseman toimintoja.
Näkyvyys ja käyttäytymishavainnot ovat kriittisiä tässä vaiheessa. Virtuaaliset lähiverkot (VLAN) toimivat paremmin turvallisuuden kannalta, koska ne rajoittavat sivuttaisliikettä, koska ne erottavat lähetyslinkit verkon tietokerroksesta. Kelley kuitenkin huomauttaa, että hyökkääjien siirtyessä vaiheiden läpi on paljon vaikeampaa pysäyttää hyökkäys.
Vaihe 7: Omaisuuden löytäminen ja pysyvyys
Tässä vaiheessa hyökkääjä on löytänyt ja käyttänyt suurinta osaa resursseistasi. Tämä kestää yleensä alle 24 tuntia. Kuinka kauan hyökkääjät kestävät, riippuu siitä, kuinka monta hyökkäyspistettä he tarvitsevat, mukaan lukien ulkoiset sisääntulopisteet, joita he käyttävät, jos jokin muu piste havaitaan ja estetään.
Puolustukseen hyökkäyksen tätä vaihetta vastaan sisältyy verkkotoiminnan näkyvyys, asianmukaiset lähtevän palomuurisäännöt ja käyttäytymisen havaitseminen.
Vaihe 8: Suodatus
Lopuksi hyökkääjät siirtävät tiedot verkostasi palvelimilleen. Tämä voidaan suorittaa useilla tavoilla, mukaan lukien tiedostonsiirtoprotokollat (FTP), sähköposti tai ICMP- ja DNS-kyselyt, jotka ovat yksinkertaisesti hyökkääjän tietokoneelta tulevia pyyntöjä, joissa pyydetään tietoja palvelimeltasi. Usein hyökkääjät siirtävät tietoja hyvin hitaasti, jotta he voivat välttää havaitsemisen ja pysyä järjestelmässäsi pidempään.
Näkyvyys, asianmukaiset lähtevät palomuurisäännöt ja käyttäytymisen havaitseminen ovat edelleen tärkeitä puolustukselle tässä vaiheessa. Lisäksi Kelley suosittelee tietojen käytön rajoittamista tietojärjestelmässä: "Jos rikottu tili voi käyttää vain pientä osajoukkoa tiedoista, on vähemmän tietoa, jota voidaan suodattaa."
Vaihe 9: Poistaminen
Hakkeri vetäytyy lopulta varovasti järjestelmästä ja peittää jälkensä havaitsemisen vähentämiseksi. He voivat kuitenkin jättää "takaovet" soluttautuakseen organisaatioon tulevaisuudessa. Joissakin tapauksissa he voivat samanaikaisesti räjäyttää kiristysohjelman sulkeakseen toiminnan ja vaatia sitten kuusinumeroista maksua palauttaakseen järjestelmät toimintatilaan.
"Useimmat hyökkäykset ovat aktiivisia keskimäärin 240 päivää ennen kuin organisaatio tajuaa sen", Kelley sanoo. "Tässä vaiheessa paras puolustus on hyvä lakimies."
Usein kysyttyä
Vaikka jotkin näistä työkaluista voivat olla hieman monimutkaisempia ottaa käyttöön, pienyritysten ei tulisi unohtaa käyttää yksinkertaisia taktiikoita, joita kaikkien tulisi käyttää, mutta eivät useinkaan käytä: liikenteen seurantaa, sovelluksia ja verkkotunnuksen lisääminen sallittujen luetteloon, arkaluontoisten tietojen käytön hallinta, etäyhteyksien salaus ja saapuvien sähköpostien suodatus.
Endpoint Detection and Response (EDR) -työkaluja käytetään päätepisteissä (kannettavassa tietokoneessa ja työasemassa) sekä palvelimissa (joko paikan päällä tai pilvessä). Ne tuovat tärkeitä tietoturvasuojauksia ja kykyä havaita "maan ulkopuolella elävät" vastustajat käyttämällä yleisiä työkaluja, kuten PowerShell ja tekniikoita, jotka sisältävät prosessi- ja DLL-injektiot.
"Monet haittaohjelmamuodot eivät välttämättä johda allekirjoitukseen, jota haittaohjelmien torjuntasovellukset voivat käyttää, vaan pikemminkin poikkeavaa käyttäytymistä ympäristössä, joka voi antaa varoituksia kilpailevasta käytöksestä", Stamper sanoo.
"Nykyaikaiset haittaohjelmat toimivat usein muistissa, ja ne on suunniteltu "piiloutumaan julkisuuteen" ja näyttämään lailliselta toiminnalta, jossa käytetään käyttöjärjestelmän normaaleja prosesseja. Tämä on ensisijainen syy siihen, miksi EDR-työkalut vaativat koneoppimista ja pilvitaustaohjelmia seulomaan miljoonia tapahtumia määrittääkseen, mikä on huono "neula" neuloja täynnä olevassa heinäsuovasta."
Pienet yritykset eivät usein usko olevansa APT-kohteita, koska ne eivät voi kuvitella, että kansallisvaltio tietäisi tai välittäisi niiden olemassaolosta. Koska he eivät usko olevansa vaarassa, nämä yritykset eivät suojele itseään ja ovat APT:n helppo saalis.
"Näytän asiakkaille trenditietoja, jotka osoittavat APT:iden ja kansallisvaltioiden kasvavan läsnäolon pienemmissä yrityksissä", Sangster sanoo. "Turvallisuusoperaatiokeskuksemme näkevät hyökkäysten piikkien tektonisten tapahtumien, kuten Lähi-idän ohjusvaihdon ja Kiinan kanssa käytyjen kauppakiistojen seurauksena. Olemme nähneet osavaltion korkeimman oikeuden hyökkäyksen kohteena, televiestintäkauppiaan
tunkeutuivat luomaan takaovia teknologiaansa, ja asianajotoimisto, jonka kohteena oli kosto, koska he edustivat asiakasta, jota heidän kotimaansa piti toisinajattelijana."
Uhan kohtaaminen
Vaikka pienyritysten omistajat voivat vähätellä kehittyneen jatkuvan uhan riskiä, nämä tapaukset yleistyvät, ja tulokset voivat olla tuhoisia.
Vaikka virus- ja haittaohjelmien torjuntaohjelmistot ovat välttämättömiä ja tehokkaita joihinkin ongelmiin, useimmat pienet yritykset voisivat hyötyä kyberturva-ammattilaisen näkemyksestä arvioidakseen järjestelmänsä, tunnistaakseen haavoittuvuuksia ja suositellakseen parhaita käytäntöjä arkaluonteisten tietojen suojaamiseksi haitallisilta toimijoilta.
Yrityksesi koosta riippuen saattaa olla aika perustaa oma tietoturvakeskus (SOC), joka tarjoaa jatkuvaa uhkien seurantaa, korjauksia ja tapauksiin reagointia.
APT:t ovat todiste siitä, ettei koskaan ole liian aikaista suojata arvokkainta omaisuuttasi.
