آنچه که خواب شب را از چشم متخصصان امنیت سایبری سازمانها میرباید، این است که حملات سایبری از تعداد بی شماری تکنیک جهت سرقت اطلاعات ارزشمند سازمانشان استفاده میکنند.
تهدیدات پیشرفته مستمر (APT) بازیگر اصلی حملات به سازمانهای دولتی و زیرمجموعههایشان هستند. در این نوع حملات یک دسترسی غیر مجاز به شبکه کامپیوتری ایجاد میشود. دسترسی ایجاد شده معمولاً به مدت طولانی به صورت پنهان ادامه یافته و به مهاجم اجازه حضور طولانی مدت در شبکه را میدهد. اخیراً این عبارت برای حملات مشابه به سازمانهای غیر دولتی ولی بزرگ مقیاس نیز به کاربرده میشود.
همانگونه که از کلمه پیشرفته در عبارت تهدیدات پیشرفته مستمر بر میآید. این گونه حملات شامل تکنیکهای هک است که، به صورت مخفیانه مداوم وپیچیده ای، برای دسترسی و استقرار در سیستمهای کامپیوتری با عواقب آسیب زای احتمالی طراحی و توسعه داده میشوند.
همانگونه که از نام این تهدیدات برمیآید در سه ویژگی موردبررسی قرار میگیرند:
یک تهدید هستند زیرا هم از توانایی و هم از انگیزه کافی برخوردار هستند. حملات APT برخلاف بسیاری دیگر از حملات با اقدامات برنامهریزیشده انسانی عمل میکنند نه کدهای بیفکر از پیش برنامهریزیشده. عاملین حمله هدفمند، ماهر، باانگیزه، سازماندهی شده، و دارای بودجه خوبی هستند.
عاملین پشت این حملات به طیف گستردهای از تکنیکها و ابزارهای گردآوری اطلاعات دسترسی دارند. این امکانات ممکن است؛ نرمافزارهای موجود در بازار یا فنآوریهای منبع باز کامپیوتری و یا داراییهای محرمانه دولتی باشند.
این در حالی است که تکتک اجزای تشکیلدهنده حمله؛ ممکن است بهتنهایی بهعنوان توسعهیافته شده، بهحساب نیایند. ولی عاملین حمله معمولاً از ابزارها، روشها و تکنیکهای ترکیبی برای نفوذ و حفظ موقعیت در شبکه هدف استفاده میکنند.
در برخی از موارد ممکن است مهاجمان تمرکز خود را نسبت به اهداف کمتر پیشرفته نشان دهند. دلیل این کار ممکن است؛ تلاش برای ورود به یک شبکه پیشرفته از طریق زنجیره تامین باشد.
مهاجمان اینگونه حملات معمولا اهداف مشخصتری؛ نسبت به جستجوی شانسی اطلاعات بازرگانی یا موارد اینچنینی دارند. این تمایز نشان از انگیزه قویتر مهاجمان اینگونه حملات است.
قربانی حمله بهصورت مستمر در معرض پایش و مداخله قرار میگیرد. تا زمانیکه مهاجم امکان دستیابی به اهدافش را فراهم نماید.
این موضوع به معنی حمله پیدرپی و بهروزرسانی بدافزارها نیست. بلکه معمولاً در اینگونه حملات یک رویکرد آهسته و پیوسته بیشتر با موفقیت همراه است. اگر عاملین حمله به هر دلیلی دسترسی خود را به سوژه از دست بدهند؛ به هر شکل ممکن سعی میکنند، مجدداً به سیستم دسترسی پیدا کنند. هدف اصلی مهاجم در این نوح تهدیدات دسترسی طولانیمدت به هدف است.
به دلیل زحمت بالایی که چنین حملاتی میطلبند؛ حملات APT معمولاً اهداف سطح بالا در ادارات دولتی یا شرکتهای خصوصی بزرگ را مورد هدف قرار میدهند.
عمده هدف این نوع حملات سرقت اطلاعات در بازههای زمانی طولانی است. برخلاف حملات معمول هکرهای کلاه سایه که ورود و خروج سریعی به دستگاهها دارند.
اگرچه گفتهشده که معمولاً کسبوکارهای بزرگ درگیر APT میشوند. تهدیدات پیشرفته مستمر نوعی از حمله است که همه کسبوکارها حتماً باید به آن هشیار باشند. حتی کسبوکارهای کوچک و متوسط؛
عوامل APT در حال افزایش حملات به کسبوکارهای کوچکتر هستند. این بنگاهها که تأمینکننده سازمانهای دولتی و یا شرکتهای بزرگترند. معمولاً از بنیه دفاع سایبری ضعیفتری نسبت به شرکتهای بزرگ برخوردارند. و اهداف سادهتری بهحساب میآیند.
هکرها باهدف دسترسی دائمی به سیستمهای کامپیوتری معمولاً ۵ مرحله زیر را اجرا میکنند:
مانند سارقی که درب منزل را با روش مختص خود باز میکند. مجرمان سایبری نیز معمولاً یک شبکه را، با استفاده از یک فایل آلوده، هرزنامه یا یک حفره امنیتی در یک نرمافزار برای وارد نمودن بدافزار خود مورد هدف قرار میدهند.
مجرمین امنیتی بدافزارهایی را در سیستم کارگذاری میکنند که برایشان بهاصطلاح در پشتی و تونلهایی در شبکه قربانی ایجاد میکنند. تا بهوسیله آنها بتوانند بهصورت پنهانی به هرکجا سرک بکشند.
بدافزارها معمولاً از شیوه بازنویسی کدها برای کمک به استتار رد پای هکرها استفاده میکنند.
زمانی که در سیستم به جایگاه تثبیتشده خود رسیدند. با استفاده از روشهایی مثل شکستن رمز ورود تلاش میکنند دسترسی ادمین را کسب کنند و بتوانند کنترل بیشتر روی سیستم پیدا کنند
با در اختیار داشتن دسترسی ادمین هکرها میتوانند به همهجا سرک بکشند همچنین قادرند برای دسترسی به سایر سرورها و بخشهای امنیتی شبکه اقدام نمایند.
از درون شبکه هکرها شناخت کاملی از نحوه عملکرد و آسیبپذیریهایش را پیدا میکنند که به آنها اجازه استخراج اطلاعات موردنظرشان را میدهد.
هکرها معمولاً قادر به اجرای این فرآیند بعد از نفوذ بهصورت مادام یا تا زمانی که به اهداف خود دست یابند هستند و معمولاً درِ پشتی را برای دفعات بعد باز میگذارند
به دلیل اینکه دفاع امنیت سایبری شرکتهای بزرگ از کاربران خانگی بسیار قویتر است روش حمله به آنان نیز غالباً نیازمند یک بازیگر از درون را برای کسب اطلاعات حیاتی و حساس از درون سازمان را دارد
البته این بدان معنی نیست که کارکنان لزوماً بهصورت آگاهانه با مجرمین همکاری میکنند مهاجمان معمولاً با روش مهندسی اجتماعی آنان را مورد حملات فیشینگ قرار میدهند.
خطر تکرار حملات
مهمترین خطرAPTدر این است که اگر نفوذ آنها در لحظه مشخص شود و به نظر برسد که حمله متوقف یا برطرف شده است و هنوز احتمال دارد که مجرمین چند تونل برای استفادههای بعدی خود ایجاد کرده باشند. بهاضافه اینکه روشهای دفاعی متداول مانند آنتیویروس و فایروال معمولاً قادر به شناسایی اینگونه حملات نیستند
مجموعهای از نماگرهای چندگانه موجود در راهکارهای امنیتی پیچیده مثل امنیت سازمانی کسپرسکی Kaspersky Enterprise Security به همراه کارکنان آموزشدیده و آگاه از چگونگی حملات مهندسی اجتماعی در کنار هم میتوانند؛ شانس موفقیت در دفاع و پیشگیری ازاینگونه حملات را افزایش دهند.