APT چیست؟ تهدیدات مداوم پیشرفته چگونه کار می کنند

1399/12/02
ارسال شده توسط
امنیت شبکه
2.84k بازدید
apt چیست
زمان مطالعه: 3 دقیقه

در این مقاله از ساینت قرار به تهدیدات مداوم پیشرفته یا APTها بپردازیم، از جمله نحوه عملکرد آنها و چگونگی تشخیص علائم حمله APT، اطلاعاتی را کسب کنیم.

Advanced Persistent Threat و یا تهدیدات مداوم پیشرفته چیست؟

تهدید مداوم پیشرفته حمله ای است که در آن کاربر غیرمجاز به سیستم یا شبکه دسترسی پیدا می کند و برای مدت زمان طولانی بدون شناسایی در آن باقی می ماند. تهدیدات مداوم پیشرفته به ویژه برای شرکت ها خطرناک است، زیرا هکرها به طور مداوم به داده های حساس شرکت دسترسی دارند. تهدیدهای مداوم پیشرفته معمولاً آسیبی به شبکه های شرکت یا ماشین های محلی نمی رساند. در عوض، هدف تهدیدات مداوم پیشرفته اغلب سرقت داده ها است.

تهدیدات مداوم پیشرفته معمولاً دارای چندین مرحله است: از جمله هک شبکه، جلوگیری از شناسایی، ساختن برنامه حمله و نقشه برداری از داده های شرکت برای تعیین محل دسترسی بیشتر به داده های مورد نظر، جمع آوری داده های حساس شرکت و ارسال آنها به مقصد بیرونی.

تهدیدات مداوم پیشرفته باعث نقض امنیت داده های بزرگ و البته پرهزینه شده است و با ویژگی عدم شناسایی شناخته می شوند و با اقدامات امنیتی سنتی قابل شناسایی نیستند. علاوه بر این، تهدیدات مداوم پیشرفته به طور فزاینده ای رایج می شوند زیرا مجرمان اینترنتی برای دستیابی به اهداف خود اقدامات پیچیده تری را انجام می دهند.

APT ها چگونه کار می کنند؟

تهدیدات مداوم پیشرفته از تکنیک های مختلفی برای دستیابی اولیه به شبکه استفاده می کنند. مهاجمان ممکن است از اینترنت به عنوان ابزاری برای رساندن بدافزار و دسترسی به آن، آلودگی به بدافزار فیزیکی یا حتی اکسپلویت آسیب پذیری ها برای دسترسی به شبکه های محافظت شده استفاده کنند.

این حملات با بسیاری از تهدیدهای سنتی، مانند ویروس ها و بدافزارها که رفتار یکسانی از خود نشان می دهند و برای حمله به سیستم ها یا شرکت های مختلف استفاده می شوند، کاملا متفاوت است. تهدیدهای مداوم پیشرفته رویکرد کلی و گسترده ای ندارند. در عوض، آنها با هدف حمله به یک شرکت یا سازمان خاص، با دقت برنامه ریزی و طراحی می شوند. بنابراین، تهدیدات مداوم پیشرفته بسیار سفارشی و پیچیده هستند، که به طور خاص برای دور زدن اقدامات امنیتی موجود در یک شرکت طراحی شده اند.

غالباً، از اتصالات مطمئن برای دستیابی به دسترسی اولیه استفاده می شود. این بدان معناست که مهاجمان ممکن است از اعتبار کارمندان یا شرکای تجاری خود که از طریق حملات فیشینگ یا سایر ابزارهای مخرب بدست آمده استفاده کنند. این امر به مهاجمان کمک می کند تا هدف مهمی را که برای شناسایی سیستم ها و داده های سازمان و تهیه یک برنامه استراتژیک حمله برای برداشت داده های شرکت، کافی نیستند، شناسایی کنند.

بدافزار Malware برای موفقیت یک تهدید مداوم پیشرفته حیاتی است. هنگامی که امنیت شبکه شکسته شد، بدافزار می تواند از دید سیستم های شناسایی پنهان شود، در شبکه از سیستم به سیستم دیگر منتقل شود، داده ها را بدست آورد و فعالیت شبکه را کنترل کند. توانایی مهاجمان در کنترل تهدید مداوم پیشرفته از راه دور نیز کلیدی است، این گزینه مجرمان سایبری را قادر می سازد تا در شبکه سازمان برای شناسایی داده های مهم، دسترسی به اطلاعات مورد نظر و شروع برون یابی داده ها حرکت کنند.

علائم هشدار دهنده یک APT

کشف و پیداکردن تهدیدهای مداوم پیشرفته، ذاتاً ، دشوار است. در واقع، این نوع حملات به توانایی آنها برای عدم شناسایی برای انجام مأموریت خود متکی هستند. با این حال، برخی از شاخص های اصلی وجود دارد که ممکن است شرکت شما یک حمله تهدید مداوم پیشرفته را تجربه کند:

افزایش ورود به سیستم در اواخر شب یا هنگامی که این کارمندان معمولاً به شبکه دسترسی ندارند.

کشف Trojan های Backdoor این Backdoor معمولاً توسط مهاجمینی که سعی در تهدید مداوم پیشرفته دارند استفاده می شود تا اطمینان حاصل شود که می توانند دسترسی خود را حفظ کنند، حتی اگر کاربری که اطلاعات ورود به سیستم او به خطر افتاده است متوجه نقض و اعتبار خود شود.

جریانهای بزرگ و غیرمنتظره داده. به دنبال جریان های گسترده ای از داده ها از مبدا داخلی به سیستم های داخلی یا خارجی باشید. این جریانات باید از طریق تجهیزات زیرساخت شرکت شما قابل تشخیص باشد.

کشف بسته های داده غیرمنتظره مهاجمین که یک حمله تهدید مداوم پیشرفته را انجام می دهند، اغلب داده ها را در داخل شبکه جمع می کنند قبل از اینکه بخواهند داده ها را به خارج از شبکه منتقل کنند. این بسته های داده ای اغلب در جاهایی کشف می شوند که داده ها معمولاً در شرکت ذخیره نمی شوند و گاهی اوقات در قالب بایگانی بسته می شوند که معمولاً شرکت از آنها استفاده نمی کند.

شناسایی حملات شکستن Hash. این حملات که برای ایجاد جلسات جدید و تأیید شده  هش رمز عبور را از پایگاه داده های ذخیره سازی حافظه ذخیره سازی حافظه یا حافظه می دزدند  همیشه در تهدیدهای مداوم پیشرفته استفاده نمی شوند. با این حال، کشف آنها در شبکه شرکت شما علامت مطمئنی است که نیاز به بررسی بیشتر دارد.

تهدیدهای مداوم پیشرفته، زمانی که عمدتاً برای هدف قرار دادن سازمان ها یا شرکت های با رده بالا با داده های با ارزش بالا مورد استفاده قرار می گرفت ، اکنون در بین شرکت های کوچکتر و کمتر مشهور رایج شده است. از آنجایی که مهاجمان به روشهای پیچیده تری برای حمله روی می آورند ، شرکتها در هر اندازه باید به دنبال اقدامات امنیتی سختگیرانه ای باشند که بتواند این تهدیدات را کشف و پاسخ دهد.

 

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید