ภัยคุกคามถาวรขั้นสูง: การระดมยิงครั้งแรกในโลกไซเบอร์ที่กำลังจะมาถึง?

การโจมตีบนเครือข่ายคอมพิวเตอร์ไม่ใช่ข่าวพาดหัวอีกต่อไป แต่มีการโจมตีประเภทต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ในระดับต่อไป การโจมตีเหล่านี้เรียกว่าภัยคุกคามถาวรขั้นสูง (APT) ค้นหาว่าพวกเขาแตกต่างจากภัยคุกคามในชีวิตประจำวันอย่างไรและทำไมพวกเขาจึงสามารถสร้างความเสียหายได้มากมายในการตรวจสอบของเราในกรณีที่เกิดขึ้นในช่วงไม่กี่ปีที่ผ่านมา (สำหรับการอ่านพื้นหลังให้ตรวจสอบ 5 ภัยคุกคามที่น่ากลัวที่สุดในเทคโนโลยี)

APT คืออะไร

คำว่าภัยคุกคามถาวรขั้นสูง (APT) สามารถอ้างถึงผู้โจมตีด้วยวิธีการที่สำคัญองค์กรและแรงจูงใจในการดำเนินการโจมตีทางไซเบอร์ที่ยั่งยืนกับเป้าหมาย

APT ไม่น่าแปลกใจคือขั้นสูงถาวรและคุกคาม มันเป็นขั้นสูงเพราะมีการลักลอบและการโจมตีหลายวิธีเพื่อประนีประนอมเป้าหมายซึ่งมักเป็นทรัพยากรของ บริษัท หรือทรัพยากรของรัฐบาล การโจมตีประเภทนี้ก็ยากที่จะตรวจจับลบและใช้แอตทริบิวต์กับผู้โจมตีที่เฉพาะเจาะจง ที่แย่กว่านั้นคือเมื่อมีการละเมิดเป้าหมายแล้วแบ็คดอร์ก็มักจะถูกสร้างขึ้นเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกได้อย่างต่อเนื่อง

APT ได้รับการพิจารณาอย่างต่อเนื่องในแง่ที่ว่าผู้โจมตีอาจใช้เวลาหลายเดือนในการรวบรวมข่าวกรองเกี่ยวกับเป้าหมายและใช้ความฉลาดนั้นเพื่อเริ่มการโจมตีหลายครั้งในช่วงระยะเวลาหนึ่ง มันกำลังคุกคามเพราะผู้กระทำความผิดมักจะเป็นข้อมูลที่มีความอ่อนไหวสูงเช่นรูปแบบของโรงไฟฟ้านิวเคลียร์หรือรหัสเพื่อเจาะเข้าไปในผู้รับเหมาป้องกันของสหรัฐ

โดยทั่วไปการโจมตี APT มีสามเป้าหมายหลัก:

• ขโมยข้อมูลที่ละเอียดอ่อนจากเป้าหมาย
• เฝ้าระวังเป้าหมาย
• การก่อวินาศกรรมของเป้าหมาย

ผู้โจมตีหวังว่าจะสามารถบรรลุเป้าหมายได้ในขณะที่ยังไม่ถูกตรวจจับ

ผู้กระทำผิดของ APT มักใช้การเชื่อมต่อที่เชื่อถือได้เพื่อเข้าถึงเครือข่ายและระบบ ตัวอย่างเช่นอาจพบการเชื่อมต่อเหล่านี้ผ่านผู้เห็นใจภายในหรือพนักงานที่ไม่รู้ตัวซึ่งตกเป็นเหยื่อของการโจมตีแบบฟิชชิงหอก

APT ต่างกันอย่างไร

APT นั้นแตกต่างจากการโจมตีทางไซเบอร์อื่น ๆ ในหลายวิธี ขั้นแรก APT มักใช้เครื่องมือที่กำหนดเองและเทคนิคการบุกรุกเช่นช่องโหว่ช่องโหว่ไวรัสเวิร์มและรูทคิทออกแบบมาเพื่อเจาะกลุ่มเป้าหมาย นอกจากนี้ APT มักเปิดตัวการโจมตีหลายครั้งพร้อมกันเพื่อละเมิดเป้าหมายของพวกเขาและให้แน่ใจว่าการเข้าถึงระบบเป้าหมายอย่างต่อเนื่องบางครั้งรวมถึงเหยื่อล่อเพื่อหลอกล่อให้เป้าหมายคิดว่าการโจมตีนั้นสำเร็จแล้ว

ประการที่สองการโจมตี APT เกิดขึ้นในช่วงระยะเวลานานซึ่งผู้โจมตีจะเคลื่อนที่ช้าและเงียบ ๆ เพื่อหลีกเลี่ยงการตรวจจับ ตรงกันข้ามกับยุทธวิธีที่รวดเร็วของการโจมตีจำนวนมากที่เปิดตัวโดยอาชญากรไซเบอร์ทั่วไปเป้าหมายของ APT คือการไม่ถูกตรวจจับโดยการเคลื่อนที่ "ต่ำและช้า" ด้วยการติดตามอย่างต่อเนื่องและการมีปฏิสัมพันธ์จนกว่าผู้โจมตีจะบรรลุวัตถุประสงค์ที่กำหนดไว้

ประการที่สาม APT ได้รับการออกแบบมาเพื่อตอบสนองความต้องการของหน่วยสืบราชการลับและ / หรือการก่อวินาศกรรม วัตถุประสงค์ของ APT รวมถึงการรวบรวมข่าวกรองทางทหารการเมืองหรือเศรษฐกิจข้อมูลที่เป็นความลับหรือภัยคุกคามความลับทางการค้าการหยุดชะงักของการดำเนินงานหรือแม้แต่การทำลายอุปกรณ์

ประการที่สี่ APT มุ่งเป้าไปที่เป้าหมายที่มีค่าสูง การโจมตีของ APT ได้รับการเปิดตัวกับหน่วยงานภาครัฐและสิ่งอำนวยความสะดวกผู้ทำสัญญาป้องกันและผู้ผลิตผลิตภัณฑ์ที่มีเทคโนโลยีสูง องค์กรและ บริษัท ที่รักษาและดำเนินงานโครงสร้างพื้นฐานระดับชาติก็เป็นเป้าหมายเช่นกัน

ตัวอย่างบางส่วนของ APT

Operation Aurora เป็นหนึ่งใน APT ที่เผยแพร่อย่างกว้างขวางครั้งแรก ชุดการโจมตี บริษัท สหรัฐนั้นมีความซับซ้อนมีเป้าหมายมีเล่ห์เหลี่ยมและออกแบบมาเพื่อจัดการกับเป้าหมาย

การโจมตีดังกล่าวดำเนินการในกลางปี ​​2552 ใช้ช่องโหว่ในเบราว์เซอร์ Internet Explorer ทำให้ผู้โจมตีสามารถเข้าถึงระบบคอมพิวเตอร์และดาวน์โหลดมัลแวร์ไปยังระบบเหล่านั้น ระบบคอมพิวเตอร์เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลและทรัพย์สินทางปัญญาถูกขโมยจาก บริษัท ซึ่งรวมถึง Google, Northrop Grumman และ Dow Chemical (อ่านเกี่ยวกับการโจมตีที่สร้างความเสียหายอื่น ๆ ในซอฟต์แวร์ที่เป็นอันตราย: Worms, Trojans และ Bots, Oh My!)

Stuxnet เป็น APT แรกที่ใช้การโจมตีทางไซเบอร์เพื่อทำลายโครงสร้างพื้นฐานทางกายภาพ เชื่อกันว่าได้รับการพัฒนาโดยสหรัฐอเมริกาและอิสราเอลหนอน Stuxnet มุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรมของโรงไฟฟ้านิวเคลียร์ของอิหร่าน

แม้ว่า Stuxnet จะได้รับการพัฒนาขึ้นเพื่อโจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่าน แต่ก็มีการแพร่กระจายเกินกว่าเป้าหมายที่ตั้งไว้และสามารถใช้กับโรงงานอุตสาหกรรมในประเทศตะวันตกรวมถึงสหรัฐอเมริกา

หนึ่งในตัวอย่างที่โดดเด่นที่สุดของ APT คือการละเมิด RSA บริษัท คอมพิวเตอร์และเครือข่ายความปลอดภัย ในเดือนมีนาคม 2554 RSA ได้รั่วไหลเมื่อถูกโจมตีด้วยการโจมตีด้วยหอกซึ่งทำให้พนักงานของตนติดไวรัสและส่งผลให้เกิดการโจมตีครั้งใหญ่

ในจดหมายเปิดผนึกถึง RSA ที่โพสต์โดยลูกค้าไปยังเว็บไซต์ของ บริษัท ในเดือนมีนาคม 2554 ประธานบริหาร Art Coviello กล่าวว่าการโจมตี APT ที่ซับซ้อนได้ดึงข้อมูลที่มีค่าที่เกี่ยวข้องกับผลิตภัณฑ์การรับรองความถูกต้องสองปัจจัย SecurID ที่ใช้โดยพนักงานระยะไกลเพื่อเข้าถึงเครือข่ายของ บริษัท อย่างปลอดภัย .

"ในขณะนี้เรามั่นใจว่าข้อมูลที่ถูกสกัดออกมานั้นไม่สามารถโจมตีลูกค้าของ RSA SecurID ได้โดยตรง แต่ข้อมูลเหล่านี้อาจถูกนำมาใช้เพื่อลดประสิทธิภาพของการตรวจสอบความถูกต้องด้วยสองปัจจัยในปัจจุบัน การโจมตี "Coviello กล่าว

แต่ Coviello กลับกลายเป็นความผิดเกี่ยวกับเรื่องนี้เนื่องจากลูกค้าโทเค็น RSA SecurID จำนวนมากรวมถึง Lockheed Martin ยักษ์ใหญ่ด้านการป้องกันของสหรัฐรายงานการโจมตีที่เกิดจากการละเมิด RSA ในความพยายามที่จะจำกัดความเสียหาย RSA ตกลงที่จะแทนที่โทเค็นสำหรับลูกค้าหลัก

APTs อยู่ที่ไหน

สิ่งหนึ่งที่แน่นอนคือ: APT จะดำเนินต่อไป ตราบใดที่มีการขโมยข้อมูลที่ละเอียดอ่อนกลุ่มที่จัดระเบียบจะดำเนินการต่อไป และตราบใดที่ประเทศมีอยู่จะมีการจารกรรมและการก่อวินาศกรรม - ทางกายภาพหรือไซเบอร์

มีการติดตามหนอน Stuxnet ที่เรียกว่า Duqu ซึ่งถูกค้นพบในฤดูใบไม้ร่วงปี 2554 เช่นเดียวกับตัวแทนของผู้นอนหลับ Duqu นั้นฝังตัวอยู่ในระบบอุตสาหกรรมสำคัญ ๆ อย่างรวดเร็วและรวบรวมข้อมูลและเวลาของมัน มั่นใจได้ว่ากำลังศึกษาเอกสารการออกแบบเพื่อค้นหาจุดอ่อนสำหรับการโจมตีในอนาคต

ภัยคุกคามความปลอดภัยของศตวรรษที่ 21

แน่นอน Stuxnet, Duqu และทายาทของพวกเขาจะทำให้เกิดภัยพิบัติมากขึ้นผู้ประกอบการโครงสร้างพื้นฐานที่สำคัญและผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ถึงเวลาแล้วที่จะต้องดำเนินการกับภัยคุกคามเหล่านี้อย่างจริงจังเช่นเดียวกับปัญหาความปลอดภัยของข้อมูลทางโลกในชีวิตประจำวันในศตวรรษที่ 21