Thích hợp ++?

Mối đe dọa liên tục nâng cao (APT) là một thuật ngữ rộng được sử dụng để mô tả một chiến dịch tấn công trong đó kẻ xâm nhập hoặc nhóm kẻ xâm nhập thiết lập sự hiện diện lâu dài, bất hợp pháp trên mạng để khai thác dữ liệu có độ nhạy cao

Mục tiêu của những cuộc tấn công này, được lựa chọn và nghiên cứu rất cẩn thận, thường bao gồm các doanh nghiệp lớn hoặc mạng lưới chính phủ. Hậu quả của những xâm nhập như vậy là rất lớn, và bao gồm

• Trộm cắp tài sản trí tuệ (e. g. , bí mật thương mại hoặc bằng sáng chế)
• Thông tin nhạy cảm bị xâm phạm (e. g. , dữ liệu riêng tư của nhân viên và người dùng)
• Việc phá hoại cơ sở hạ tầng quan trọng của tổ chức (e. g. , xóa cơ sở dữ liệu)
• Tổng số lần tiếp quản trang web

Thực hiện một cuộc tấn công APT đòi hỏi nhiều tài nguyên hơn một cuộc tấn công ứng dụng web tiêu chuẩn. Thủ phạm thường là các nhóm tội phạm mạng có kinh nghiệm được hỗ trợ tài chính đáng kể. Một số cuộc tấn công APT được chính phủ tài trợ và sử dụng làm vũ khí chiến tranh mạng

Các cuộc tấn công APT khác với các mối đe dọa ứng dụng web truyền thống, ở chỗ

• Chúng phức tạp hơn đáng kể
• Chúng không phải là các cuộc tấn công hit and run—một khi mạng bị xâm nhập, thủ phạm vẫn cố lấy càng nhiều thông tin càng tốt
• Chúng được thực thi thủ công (không tự động) đối với một nhãn hiệu cụ thể và được tung ra một cách bừa bãi đối với một nhóm lớn các mục tiêu
• Chúng thường nhằm mục đích xâm nhập vào toàn bộ mạng, trái ngược với một phần cụ thể

Các cuộc tấn công phổ biến hơn, chẳng hạn như bao gồm tệp từ xa (RFI), SQL injection và cross-site scripting (XSS), thường được thủ phạm sử dụng để thiết lập chỗ đứng trong mạng được nhắm mục tiêu. Tiếp theo, trojan và shell backdoor thường được sử dụng để mở rộng chỗ đứng đó và tạo ra sự hiện diện liên tục trong vành đai mục tiêu

Tiến triển của mối đe dọa liên tục nâng cao (APT)

Một cuộc tấn công APT thành công có thể được chia thành ba giai đoạn. 1) xâm nhập mạng, 2) mở rộng sự hiện diện của kẻ tấn công và 3) khai thác dữ liệu được tích lũy—tất cả đều không bị phát hiện

Giai đoạn 1 – Xâm nhập

Các doanh nghiệp thường bị xâm nhập thông qua việc thỏa hiệp một trong ba bề mặt tấn công. nội dung web, tài nguyên mạng hoặc người dùng được ủy quyền

Điều này đạt được thông qua tải lên độc hại (e. g. , RFI, SQL injection) hoặc các cuộc tấn công kỹ thuật xã hội (e. g. , lừa đảo trực tuyến)—các mối đe dọa mà các tổ chức lớn thường xuyên phải đối mặt

Ngoài ra, những kẻ xâm nhập có thể đồng thời thực hiện một cuộc tấn công DDoS nhằm vào mục tiêu của chúng. Điều này vừa đóng vai trò là màn khói để đánh lạc hướng nhân viên mạng vừa là phương tiện làm suy yếu vành đai an ninh, khiến việc vi phạm dễ dàng hơn

Sau khi đạt được quyền truy cập ban đầu, những kẻ tấn công nhanh chóng cài đặt một shell backdoor—phần mềm độc hại cấp quyền truy cập mạng và cho phép thực hiện các hoạt động lén lút, từ xa. Các cửa hậu cũng có thể ở dạng Trojan được ngụy trang dưới dạng các phần mềm hợp pháp

Giai đoạn 2 – Mở rộng

Sau khi chỗ đứng được thiết lập, những kẻ tấn công di chuyển để mở rộng sự hiện diện của chúng trong mạng

Điều này liên quan đến việc di chuyển lên một hệ thống phân cấp của tổ chức, ảnh hưởng đến các nhân viên có quyền truy cập vào dữ liệu nhạy cảm nhất. Khi làm như vậy, họ có thể thu thập thông tin kinh doanh quan trọng, bao gồm thông tin về dòng sản phẩm, dữ liệu nhân viên và hồ sơ tài chính

Tùy thuộc vào mục tiêu tấn công cuối cùng, dữ liệu tích lũy có thể được bán cho một doanh nghiệp cạnh tranh, thay đổi để phá hoại dòng sản phẩm của công ty hoặc được sử dụng để đánh sập toàn bộ tổ chức. Nếu động cơ là phá hoại, giai đoạn này được sử dụng để giành quyền kiểm soát một cách tinh vi nhiều chức năng quan trọng và điều khiển chúng theo một trình tự cụ thể để gây ra thiệt hại tối đa. Ví dụ: kẻ tấn công có thể xóa toàn bộ cơ sở dữ liệu trong một công ty và sau đó làm gián đoạn liên lạc mạng để kéo dài quá trình khôi phục

Giai đoạn 3 – Khai thác

Trong khi một sự kiện APT đang diễn ra, thông tin bị đánh cắp thường được lưu trữ ở một vị trí an toàn bên trong mạng bị tấn công. Khi đã thu thập đủ dữ liệu, kẻ trộm cần trích xuất nó mà không bị phát hiện

Thông thường, các chiến thuật tiếng ồn trắng được sử dụng để đánh lạc hướng nhóm bảo mật của bạn để thông tin có thể được chuyển ra ngoài. Điều này có thể ở dạng tấn công DDoS, một lần nữa trói nhân viên mạng và/hoặc làm suy yếu khả năng phòng thủ của trang web để tạo điều kiện khai thác

Các biện pháp bảo mật APT

Việc phát hiện và bảo vệ APT thích hợp đòi hỏi cách tiếp cận đa chiều từ phía quản trị viên mạng, nhà cung cấp bảo mật và người dùng cá nhân

Giám sát giao thông

Giám sát lưu lượng truy cập vào và ra được coi là phương pháp hay nhất để ngăn chặn việc cài đặt các cửa hậu và chặn khai thác dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập bên trong vành đai mạng của bạn cũng có thể giúp cảnh báo nhân viên an ninh về bất kỳ hành vi bất thường nào có thể chỉ ra hoạt động độc hại

Tường lửa ứng dụng web (WAF) được triển khai ở rìa mạng lọc lưu lượng truy cập đến các máy chủ ứng dụng web của bạn, do đó bảo vệ một trong những bề mặt dễ bị tấn công nhất của bạn. Trong số các chức năng khác, WAF có thể giúp loại bỏ các cuộc tấn công lớp ứng dụng, chẳng hạn như tấn công RFI và SQL injection, thường được sử dụng trong giai đoạn xâm nhập APT

Các dịch vụ giám sát lưu lượng truy cập nội bộ, chẳng hạn như tường lửa mạng, là mặt khác của phương trình này. Chúng có thể cung cấp chế độ xem chi tiết cho biết cách người dùng đang tương tác trong mạng của bạn, đồng thời giúp xác định các bất thường về lưu lượng truy cập nội bộ, (e. g. , đăng nhập bất thường hoặc truyền dữ liệu lớn bất thường). Cái sau có thể báo hiệu một cuộc tấn công APT đang diễn ra. Bạn cũng có thể theo dõi quyền truy cập vào tệp chia sẻ hoặc hệ thống honeypots

Cuối cùng, các dịch vụ giám sát lưu lượng truy cập đến có thể hữu ích để phát hiện và loại bỏ các vỏ cửa hậu. Chúng có thể được xác định bằng cách chặn các yêu cầu từ xa từ các nhà khai thác

Danh sách trắng ứng dụng và tên miền

Danh sách trắng là một cách kiểm soát các miền có thể được truy cập từ mạng của bạn, cũng như các ứng dụng mà người dùng của bạn có thể cài đặt. Đây là một phương pháp hữu ích khác để giảm tỷ lệ thành công của các cuộc tấn công APT bằng cách giảm thiểu các bề mặt tấn công có sẵn

Tuy nhiên, biện pháp bảo mật này còn lâu mới có thể đánh lừa được vì ngay cả những miền đáng tin cậy nhất cũng có thể bị xâm phạm. Người ta cũng biết rằng các tệp độc hại thường xuất hiện dưới vỏ bọc của phần mềm hợp pháp. Ngoài ra, các phiên bản sản phẩm phần mềm cũ hơn dễ bị xâm nhập và khai thác

Để danh sách trắng hiệu quả, các chính sách cập nhật nghiêm ngặt phải được thực thi để đảm bảo người dùng của bạn luôn chạy phiên bản mới nhất của bất kỳ ứng dụng nào xuất hiện trong danh sách

Kiểm soát truy cập

Đối với thủ phạm, nhân viên của bạn thường đại diện cho điểm mềm lớn nhất và dễ bị tổn thương nhất trong vành đai bảo mật của bạn. Thường xuyên hơn không, đây là lý do tại sao những kẻ xâm nhập xem người dùng mạng của bạn như một cửa ngõ dễ dàng xâm nhập hệ thống phòng thủ của bạn, đồng thời mở rộng phạm vi nắm giữ của chúng trong phạm vi bảo mật của bạn

Ở đây, các mục tiêu có khả năng rơi vào một trong ba loại sau

• Người dùng bất cẩn  bỏ qua các chính sách bảo mật mạng và vô tình cấp quyền truy cập vào các mối đe dọa tiềm ẩn.
• Người dùng nội bộ ác ý  cố ý lạm dụng thông tin xác thực người dùng của họ để cấp cho thủ phạm quyền truy cập.
• Người dùng bị xâm phạm  có đặc quyền truy cập mạng bị kẻ tấn công xâm phạm và sử dụng.

Phát triển các biện pháp kiểm soát hiệu quả đòi hỏi phải xem xét toàn diện mọi người trong tổ chức của bạn—đặc biệt là thông tin mà họ có quyền truy cập. Ví dụ: phân loại dữ liệu trên cơ sở cần biết giúp chặn khả năng kẻ xâm nhập chiếm đoạt thông tin đăng nhập từ một nhân viên cấp thấp, sử dụng dữ liệu đó để truy cập các tài liệu nhạy cảm

Các điểm truy cập mạng chính phải được bảo mật bằng xác thực hai yếu tố (2FA). Nó yêu cầu người dùng sử dụng hình thức xác minh thứ hai khi truy cập các khu vực nhạy cảm (thường là mật mã được gửi đến thiết bị di động của người dùng). Điều này ngăn chặn các tác nhân trái phép cải trang thành người dùng hợp pháp di chuyển trong mạng của bạn

Các biện pháp bổ sung

Ngoài những biện pháp trên, đây là những biện pháp thực hành tốt nhất cần thực hiện khi bảo mật mạng của bạn

• Vá các lỗ hổng phần mềm mạng và hệ điều hành càng nhanh càng tốt
• Mã hóa các kết nối từ xa để ngăn chặn những kẻ xâm nhập hỗ trợ chúng xâm nhập vào trang web của bạn
• Lọc các email đến để ngăn chặn các cuộc tấn công thư rác và lừa đảo nhắm vào mạng của bạn
• Ghi nhật ký ngay lập tức các sự kiện bảo mật để giúp cải thiện danh sách trắng và các chính sách bảo mật khác

×

Ngày 15 tháng 12 Hội thảo trực tuyến sắp tới

×

Xem Imperva Web Application Firewall có thể giúp bạn như thế nào với APT

Yêu cầu demo Tìm hiểu thêm

Các biện pháp bảo mật của Imperva APT

Một chiến lược bảo vệ APT hiệu quả đòi hỏi phải có sự kết hợp của các biện pháp bảo mật để bảo vệ mọi phần trong vành đai của bạn. Imperva có thể đóng vai trò quan trọng trong việc bảo vệ máy chủ web và ứng dụng web của bạn bằng các giải pháp sau

• Tường lửa ứng dụng web – Dịch vụ tuân thủ PCI DSS của chúng tôi là một giải pháp bảo mật cấp doanh nghiệp giám sát lưu lượng truy cập web đến và chặn mọi nỗ lực xâm nhập vào biên mạng của bạn. WAF được cung cấp dưới dạng dịch vụ được quản lý dựa trên đám mây và được duy trì bởi một nhóm chuyên gia. Giải pháp hoàn chỉnh với một công cụ quy tắc tùy chỉnh có thể được sử dụng để kiểm soát truy cập và thực thi các chính sách bảo mật theo trường hợp cụ thể
• Bảo vệ cửa sau – Một tính năng WAF áp dụng cách tiếp cận mới để phát hiện cửa hậu. Thay vì tìm kiếm các tệp nghi ngờ thường được ngụy trang cẩn thận, Trong khi kiểm tra lưu lượng truy cập vào máy chủ web, dịch vụ này sẽ chặn các nỗ lực tương tác với trình bao để tiết lộ vị trí của nó
• Xác thực hai yếu tố – Một giải pháp kiểm soát truy cập linh hoạt cho phép bạn triển khai cổng 2FA trên bất kỳ địa chỉ URL nào chỉ bằng một nút bấm. Dịch vụ này cũng cho phép dễ dàng quản lý các đặc quyền truy cập và có thể được tích hợp với bất kỳ môi trường web nào
• Chống DDoS – Một dịch vụ đã đoạt giải thưởng giúp giảm thiểu tất cả các cuộc tấn công vào lớp mạng và ứng dụng, bao gồm cả các cuộc tấn công bằng tiếng ồn trắng được sử dụng để đánh lạc hướng nhân viên an ninh và làm suy yếu vành đai mạng của bạn

Tất cả các dịch vụ bảo mật đám mây của Imperva đều có tùy chọn tích hợp SIEM. Với nó, bạn có thể tích hợp liền mạch Imperva cloud WAF với các giải pháp quản lý sự kiện và bảo mật hiện có của mình. Làm như vậy sẽ cung cấp quyền truy cập tập trung vào thông tin chi tiết, có giá trị theo thời gian thực về lưu lượng truy cập ở rìa chu vi mạng của bạn

Ý nghĩa đầy đủ của APT là gì?

Làm cách nào để sử dụng từ apt?

một ví dụ thích hợp là gì?

Không thể có ý nghĩa thích hợp hơn?