1. صفحه نخست
  2. اخبار ایدکو
  3. APT چیست و چرا سازمان‌ها باید نگران آن باشند؟

وبلاگ بیت دیفندر

اخبار ، دیدگاه ها و نگرش کارشناسان بیت دیفندر

APT چیست و چرا سازمان‌ها باید نگران آن باشند؟

در گروهاخبار ایدکو، ۱۴۰۰/۱۰/۲۱

باج‌افزار، فیشینگ، حملات مهندسی اجتماعی، حملات BEC[1] و موارد دیگر از هر طرف سازمان‌ها را مورد تهدید قرار دادند از جنبه‌های مختلف از محیط و کسب‌وکارشان سوءاستفاده می‌کنند. سازمان ها باید بدانند که چه نوع تهدیدهایی خطرناک ترین و حیاتی ترین برای دفاع هستند. یکی از این تهدیدها که پیشتر شرح دادیم، APTها یا تهدیدهای پایدار پیشرفته هستند، دسته‌ای از تهدیدات که به دلیل ماهیت هدفمندشان و اغلب مؤثر بودنشان می‌توانند فاجعه‌بار باشند. این نوع حملات اغلب توسط گروه‌های هکری با منابع خوب یا با حمایت دولتی انجام می‌شوند، که اغلب زمانی که سازمانی را هدف قرار می‌دهند، اخبار را منتشر می‌کنند. در این مقاله، ما قصد داریم به شما نشان دهیم که APT چیست، چه کسی پشت این حملات است و چگونه در برابر آنها دفاع کنید. با ما همراه بمانید.

چرا سازمان‌ها باید نگران حملات APT باشند؟

APT یا تهدید پایدار پیشرفته، به دسته‌ای از حملات اطلاق می‌شود که سازمانی را هدف قرار داده و در محیط آن پنهان شده، داده‌ها را استخراج کرده یا منتظر می‌مانند تا زمان مناسب برای انجام یک حمله فلج‌کننده‌تر برسد.

APTها از جمله حملات پیچیده‌تر هستند و در طیف مخالف حملات رایج‌تر مانند فیشینگ و اسپم قرار دارند. آنها بسیار هدفمند بوده و برای پیشبرد آن‌ها گروه های هکر وقت زیادی می‌گذارند. این حملات طوری طراحی شده‌اند که هفته‌ها، ماه‌ها و احتمالاً سال‌ها در شبکه قربانی پنهان شوند. هدف اصلی این حملات معمولاً نظارت و سرقت داده‌ها یا جاسازی خود در محیط یک شرکت به قدری عمیق است که جلوگیری از حمله بعدی و بازیابی آن دشوار خواهد بود. حملات خودکار وجود ندارد و شرکت های کمتری به دلیل زمان و منابعی که به حمله و هدف اختصاص داده شده است، هدف قرار می‌گیرند. با این حال، این شانس موفقیت را به مراتب بیشتر می‌کند. نحوه انجام یک حمله APT بسیار متفاوت است، اما معمولاً یک مهاجم از طریق یک اکسپلویت یا آسیب‌پذیری در شبکه یک شرکت وارد می‌شود. هک معروف SolarWinds نتیجه یک حمله APT بود که توسط گروه‌های هکر روسی انجام شد و محققان امنیتی مایکروسافت حملات APT را با استفاده از آسیب‌پذیری Log4j اخیراً کشف شده مشاهده کردند.

 

دست‌های پشت پرده حملات APT

از آنجایی که هدف حملات APT لزوماً مالی نیست و اغلب مربوط به اطلاعات است، APT‌ها از جمله حملاتی هستند که بیشتر توسط ارتش سایبری خود کشورها یا سازمان های هکر انجام می‌شوند. این بدان معناست که مهاجمان دولت ملت و گروه های تحت حمایت دولت اغلب پشت پرده حملات APT هستند. با این حال، پژوهش‌های اخیر نشان داده است که سایر گروه‌های هکری با بودجه و منابع خوب در حال ورود به بازی APT هستند. این گروه‌های هکر یا از طرف سازمان‌های دولتی کار خواهند کرد (احتمالاً با قیمتی پرسود) یا ممکن است توسط شرکت‌های بزرگی که ممکن است انگیزه‌های دیگری برای جاسوسی از شرکت‌های بزرگ یا ادارات دولتی داشته باشند، استخدام شوند.

قربانیان احتمالی این نوع حملات چه نهادها یا افرادی هستند؟

از دیم چنین بوده که دولت‌ها، ادارات و سازمان‌های دولتی، شرکت‌های زیرساخت‌های حیاتی، و پیمانکاران دولتی بیشتر در معرض این حملاتند. با این حال، شرکت‌ها و شرکت‌های بزرگ نیز به دلیل حجم داده‌ها و ارزش حساس‌ترین داده‌هایشان، هدف‌های اصلی بوده‌اند. در طی چندین سال گذشته، تهدیدات APT بر انواع سازمان‌ها مانند شرکت‌های متوسط و زنجیره تامین عمده و ارائه‌دهندگان زیرساخت تأثیر گذاشته است (نمونه‌اش همین SolarWinds). و این روند احتمالا در سال 2022 و پس از آن نیز ادامه خواهد داشت. دلیل تا حدی می‌تواند این باشد که حملات APT اکنون آسان‌تر انجام می‌شوند و گروه‌های هکر منابع بیشتری برای انجام این نوع حملات دارند.

راهکارهایی برای مقابله با حملات APT

دفاع در برابر حمله APT ذاتاً دشوارتر است زیرا اگر هدف قرار بگیرید، به این معنی است که هکرها زمان زیادی را صرف یافتن آسیب‌پذیری می‌کنند که ممکن است حتی از وجود آن خبر نداشته باشید. اما با شکار، شناسایی و نظارت مناسب تهدید، می‌توانید APT را قبل از اینکه آسیب بزرگی وارد کند متوقف کنید. اگر روی موارد زیر تمرکز کنید، می توانید انجام یک حمله APT را با چالش‌های زیادی روبرو کنید.

ابزارها و نرم افزارهای خود را پچ کنید APT‌ها اغلب از طریق نرم‌افزارها، برنامه‌ها، دستگاه‌های آسیب‌پذیر راه خود را باز می‌کنند. اگر تمام سیستم‌ها را به روز نگه دارید، هکرها برای یافتن راهی برای ورود به محیط شما با مشکلات بیشتری دست و پنجه نرم خواهند کرد. سعی کنید آپدیت‌های خودکار را تا آنجا که ممکن است حفظ کنید، یک برنامه مدیریت پچ داشته باشید و مطمئن شوید از آسیب‌پذیری‌های مهم خبر دارید.

شناسایی و واکنش اندپیونت (EDR)- رایج‌ترین نقاط کور شما را حذف می‌کند و به شما در مورد رفتارهای مشکوک هشدار می‌دهد. برای موفقیت آمیز بودن یک حمله APT، آنها باید از طریق یکی از اندپوینت‌های شما وارد محیط شوند - با اطمینان از اینکه همه آنها را زیر نظر دارید، می توانید مزاحمی را شناسایی کنید که اقدامات لازم را برای مخفی کردن رد و آثار خود انجام نمی‌دهد.

قابلیت دید مشاهده دارایی و دستگاه - قابلیت دید دارایی و دستگاه به شما کمک می‌کند محیط خود را ردیابی کنید تا بدانید هنگام نظارت بر هرگونه رفتار مشکوک، چه چیزی را باید آپدیت کنید. حملات APT می‌توانند از طریق دستگاه‌هایی انجام شوند که به راحتی فراموش می‌شود به شبکه شما متصلند. اگر دید یا آگاهی نداشته باشید، نمی‌توانید از آنها یا سازمان خود محافظت کنید.

 

نظارت بر شبکه - تهدیدات APT، هنگامی که وارد می‌شوند، اغلب به صورت جانبی در داخل شبکه سازمان حرکت می‌کنند. نقطه اولیه دستکاری ممکن است همیشه دسترسی مورد نظر خود را به مهاجم ندهد، بنابراین آنها احتمالاً به دنبال اکانت‌ها با مجوزها یا دسترسی بالاتر می‌گردند تا بتوانند فایل‌ها و دارایی‌های مهم را پیدا کنند یا عمیق‌تر خود را در شبکه شما جاسازی نمایند. نظارت بر شبکه ابزار مفید دیگری است که به شما در مورد رفتار غیرعادی هشدار می‌دهد و همچنین نشان خواهد داد آیا یک کاربر یا اکانت به فایل‌ها یا سرورهایی که قرار نیست دسترسی داشته باشد دسترسی دارد یا نه. این می‌تواند خود حاکی از حمله APT باشد.

 

 

[1]دستکاری ایمیل سازمانی