Advanced Persistent Threatとは何ですか?

公開: 2021-06-10

高度な持続的脅威は、ハッカーまたは許可されていないユーザーがかなりの時間システムまたはネットワークに強制的にアクセスし、誰にも気付かれずにそこにとどまるタイプの攻撃です。

Advanced Persistent Threats(APT)は、特に企業にとって非常に危険です。これらのハッカーは、機密性の高い企業データに一貫してアクセスできるためです。 高度な持続的脅威の主な目的は、ローカルマシンやネットワークに損害を与えることではなく、データの盗難に関連することです。

記事上で
  • APTの仕組み
  • ステージは、Advanced Persistent Threat(APT)攻撃の進化です
  • Advanced PersistentThreatを特定する方法
  • Advanced PersistentThreatの例
  • APTセキュリティ対策
  • ネットワークセキュリティのベストプラクティス

Advanced Persistent Threatの手順とは何ですか?また、どのように機能しますか?

高度な持続的脅威は通常、段階的な方法で実行されます。これは、ネットワークのハッキングから始まり、ハッキングの検出を回避します。 さらに、ハッカーは攻撃計画を作成し、会社のデータをマッピングして、ラタに最も簡単にアクセスできる場所を見つけます。 最後に、彼らはこの機密データを収集して吸い上げます。

これらの脅威は、多くのデータ侵害を引き起こし、大きな経済的影響をもたらすと言われています。 従来のセキュリティ対策のいくつかによって検出されないままでいるその能力は、企業にとって心配な点です。 また、企業の懸念をさらに高めるために、ハッカーは目標を達成するためのより高度な方法を作成しており、高度な持続的脅威が急増しています。

Advanced Persistent Threatは、さまざまな方法を使用してネットワークへの初期アクセスを取得します。 場合によっては、攻撃者はインターネットを使用してマルウェアをプッシュし、アクセスを取得する可能性があります。 また、保護されたネットワークに侵入できるように、物理的なマルウェア感染や外部からの悪用を誘発することもあります。

同じ動作を一貫して示すウイルスやマルウェアなどの従来の脅威の多くと比較すると、高度な持続的脅威は毎回大きく異なります。 高度な持続的脅威には、広範または一般的なアプローチはありません。

それどころか、それらは細心の注意を払って計画された脅威であり、特定の組織を標的にするという明確に定義された目的を持っています。 したがって、高度な持続的脅威は、企業の既存のセキュリティ対策から逃れるために、非常にカスタマイズされ、非常に洗練された設計になっています。

多くの場合、ハッカーは信頼できる接続を使用して最初のエントリを取得しました。 これは、ハッカーが従業員またはビジネスパートナーからの資格情報を介してアクセスできることを意味します。この資格情報には、フィッシング攻撃によって再びアクセスされます。 これらのクレデンシャルを使用すると、攻撃者はシステム内で長期間検出されないままになり、組織のシステムとデータを計画し、攻撃の計画を立てて会社のデータを使い果たすことができます。

高度な持続的脅威の成功の観点から、マルウェアは重要なコンポーネントです。 特定のネットワークが侵害されると、マルウェアは標準のナビゲーションシステムの一部から簡単に隠れ、あるシステムから別のシステムに移動し、データの収集を開始し、ネットワークアクティビティを監視する可能性があります。

もう1つの重要な側面は、これらのハッカーがリモートで操作し、これらの高度な持続的脅威をリモートで制御できることです。 これにより、ハッカーは会社のネットワークをナビゲートして重要なデータを検索し、情報にアクセスして、そのデータの吸い上げを開始することができます。

進化する高度な持続的攻撃の5つの段階

高度な持続的脅威の攻撃は、次の5つの異なる段階で実行できます。

  • ステージ1:アクセスを取得する

    これは、ハッカーまたはハクティビストが3つの方法のいずれかでネットワークに最初にアクセスする場所です。 Webベースのシステム、ネットワーク、または人間のユーザーのいずれかを介して。 彼らはアプリケーションの脆弱性を探し、悪意のあるファイルをアップロードします。

  • ステージ2:足場を確立する

    最初のアクセスが取得されると、ハッカーはバックドア型トロイの木馬を作成して侵入したシステムを侵害します。このトロイの木馬は、正規のソフトウェアのように見えるようにマスクされています。 このようにして、入力されたシステムをリモートで制御するネットワークにアクセスできます。

  • ステージ3:アクセスを深める

    攻撃者は足場を確立した後、ネットワークに関する詳細情報を収集します。 彼らは強力に攻撃し、ネットワークの脆弱性を見つけようとします。これにより、より深いアクセスを取得し、それによって追加のシステムを制御できます。

  • ステージ4:横方向に移動

    これらの攻撃者は、ネットワークの奥深くに入ると、追加のバックドアチャネルを作成します。これにより、ネットワークを横方向に移動し、必要なときに必要なときにデータにアクセスする機会が与えられます。

  • ステージ5:見て、学び、そして残る

    ネットワーク上を移動し始めると、データの収集を開始し、システム外への転送の準備をします。これは、エクスフィルトレーションと呼ばれます。 攻撃者がデータを吸い上げている間、DDoS攻撃の形で逸脱を引き起こします。 APT攻撃が検出されなかった場合、攻撃者はネットワーク内に留まり、別の攻撃の機会を探し続けます。

また読む:クラウドセキュリティとは何ですか?)

Advanced Persistent Threatを検出する方法は?

その性質上、高度な持続的脅威は簡単には検出されません。 実際のところ、これらの脅威は、タスクを実行するために気づかれずにいる能力に依存しています。 ただし、会社が経験できるいくつかの指標があり、早期の警告サインとして扱うことができます。

  • 深夜または従業員がネットワークにアクセスしていないときのログイン数の増加。
  • 大規模なバックドア型トロイの木馬に気付いたとき。 これらは通常、高度な持続的脅威を使用してネットワークへのアクセスを維持できるようにするハッカーによって使用されます。
  • 内部オリジンから内部および外部マシンへの突然の大量のデータフローを探す必要があります。
  • データバンドルを確認してください。 これは通常、ハッカーがデータをネットワーク外に移動する前にネットワーク内のデータを集約するため、高度な持続的脅威を計画している攻撃者によって使用されます。
  • パスザハッシュ攻撃を特定する。 これらは通常、パスワードデータが保持されるパスザハッシュストレージまたはメモリを対象としています。 これにアクセスすると、新しい認証セッションを作成する機会が与えられます。 すべてのケースで高度な持続的脅威ではない可能性がありますが、そのような状態を特定した場合は、さらに調査する必要があります。

以前は大規模な組織のみを標的と考えていたものでしたが、高度な持続的脅威は中小規模の企業にも浸透していません。 これらのハッカーは高度な方法を使用して攻撃するため、組織は、その規模に関係なく、これに対処するための堅牢なセキュリティ対策を実装する必要があります。

Advanced Persistent Threatの例にはどのようなものがありますか?

Crowdstrike(1)のようなサイバーセキュリティ企業は、世界中で150を超えるこのような不利な状況を追跡しています。 これには、活動家やeCriminalsのハッキングが含まれます。 彼らは実際にその地域に関連する俳優や動物の名前を使用する方法を持っています。

たとえば、BEARはロシアを指し、PANDAは中国を指し、KITTENはイランを指し、SPIDERは地域に限定されないeCrimeです。 これは、Crowdstrikeによって検出される高度な持続的脅威の例の一部です。

  1. APT 27(GOBLIN PANDA)

    これは、ハッカーが複数のセクターで事業を展開している大手テクノロジー企業のネットワークを攻撃した2013年に最初に検出されました。

  2. APT28(FANCY BEAR)

    この特定の高度な持続的脅威は、実際には正当なものと同様のWebサイトのなりすましやフィッシングメッセージを使用して、コンピューターや携帯電話などのデバイスにアクセスします。

  3. APT32(オーシャンバッファロー)

    これはベトナムを拠点とする攻撃者であり、2012年から活動しています。この高度な持続的脅威は、SWCとも呼ばれるStrategic Web Compromiseを介したマルウェアの配布に加えて、既製のツールを組み合わせて使用​​します。

Crowstrikeによって検出された上記のものに加えて、次のような高度な持続的脅威の他の例があります。

  • Ghostnet:これは、マルウェアを含むフィッシングメールを介して攻撃が計画および実行された中国を拠点としています。 このグループは実際に100か国以上のデバイスをターゲットにしています
  • Stuxnet:これは主にSCADAシステム(重工業アプリケーション)を標的とするマルウェアであり、イランの核開発計画で使用されているマシンへの侵入に成功したことから明らかです。
  • Sykipot:これは主にスマートカードを攻撃するマルウェアの一種です。

APTセキュリティ対策

高度な持続的脅威は多面的な攻撃であり、ツールや手法の形で複数のセキュリティ対策を講じる必要があることは明らかです。

  • トラフィックの監視:これにより、企業は侵入、あらゆる種類の横方向の動き、およびデータの漏えいを特定できます。
  • アプリケーションとドメインのホワイトリスト:既知で信頼できるドメインとアプリケーションがホワイトリストに含まれていることを確認します。
  • アクセス制御:強力な認証プロトコルとユーザーアカウントの管理を設定する必要があります。 特権アカウントがある場合は、特別な焦点を当てる必要があります。

ネットワークを保護する際に取るべきベストプラクティスの対策。

高度な持続的脅威に関する厳しい現実は、100%効果的な単一のソリューションは存在しないということです。 したがって、APT保護のベストプラクティスのいくつかを見ていきます。

  • ファイアウォールをインストールします。

    高度な持続的脅威に対する防御の第1層として機能する適切なファイアウォール構造を選択することが重要です。

  • Webアプリケーションファイアウォールをアクティブにします。

    これは、特にHTTPトラフィックを使用するインターネット/ Webアプリケーションからの攻撃を防ぐので便利です。

  • アンチウイルス:

    マルウェア、トロイの木馬、ウイルスなどのプログラムを検出および防止できる最新のウイルス対策ソフトウェアを入手してください。

  • 侵入防止システム:

    侵入防止システム(IPS)は、悪意のあるコードがないかネットワークを監視し、すぐに通知するセキュリティサービスとして機能するため、重要です。

  • サンドボックス環境を用意します。

    これは、稼働中のシステムに損傷を与えることなく、疑わしいスクリプトやコードをテストするのに役立ちます。

  • VPNを設定します。

    これにより、APTハッカーがネットワークに簡単にアクセスできないようになります。

  • 電子メール保護を設定します。

    電子メールは最も頻繁に使用されるアプリケーションの1つであるため、脆弱性もあります。 したがって、電子メールのスパムおよびマルウェア保護をアクティブにします。

最終的な考え

高度な持続的脅威は絶えずドアをノックしており、大規模な被害を生み出すには、ネットワークへの小さな開口部が1つ必要です。 はい、これらの攻撃を検出することはできませんが、適切な対策を講じることで、企業はこれらの攻撃による逆境を回避するために警戒することができます。 ベストプラクティスに従い、セキュリティ対策を講じることで、このような攻撃を効果的に防止できます。

その他の役立つリソース:

サイバー脅威を回避するための5つのヒントと戦略

インサイダーの脅威を防ぐ10の方法

2021年に戦うサイバー脅威

ビジネスにおけるサイバーセキュリティの重要性