1. apt là gì?
apt là từ viết tắt của advanced dai dẳng mối đe dọa: một thuật ngữ rộng được sử dụng để mô tả một chiến dịch tấn công, thường do một nhóm kẻ tấn công thực hiện, sử dụng các kỹ thuật tấn công nâng cao. cao để hiện diện và lâu dài trên internet để khai thác dữ liệu có tính bảo mật cao.
theo bizflycloud, mục tiêu chính của các cuộc tấn công này thường được lựa chọn và nghiên cứu cẩn thận. họ thường bao gồm các tập đoàn lớn, tổ chức an ninh và cơ quan chính phủ. hậu quả của những cuộc tấn công này là rất lớn:
- tài sản trí tuệ bị đánh cắp (ví dụ: bí mật thương mại hoặc bằng sáng chế…)
- thông tin bí mật bị xâm phạm (ví dụ: dữ liệu cá nhân và nhân viên…)
- đã phá hủy cơ sở hạ tầng quan trọng của tổ chức (ví dụ: cơ sở dữ liệu, máy chủ quản trị…)
- đã viết toàn bộ miền của tổ chức
- Nhân viên bất cẩn phớt lờ các chính sách an ninh mạng và vô tình cấp quyền truy cập vào các mối đe dọa tiềm ẩn
- nhân viên xấu cố tình sử dụng sai thông tin người dùng của bạn để cấp cho thủ phạm quyền truy cập
- người dùng mất thông tin nhạy cảm và thông tin này bị kẻ tấn công sử dụng
thực hiện một cuộc tấn công apt cần nhiều tài nguyên hơn một cuộc tấn công ứng dụng web thông thường. nhưng thủ phạm thường là tội phạm mạng có kinh nghiệm với sự hỗ trợ tài chính khổng lồ. một số cuộc tấn công apt được chính phủ tài trợ và được sử dụng làm vũ khí chiến tranh mạng.
Kẻ tấn công thường sử dụng các kỹ thuật tấn công phổ biến như rfi, sql injection, xss và lừa đảo để thiết lập chỗ đứng trên mạng mục tiêu. thì mã độc thường được sử dụng để mở rộng và duy trì sự hiện diện trên mạng mục tiêu.
2. tiến trình của một cuộc tấn công apt
Một cuộc tấn công apt có thể được chia thành ba giai đoạn.
giai đoạn 1: thâm nhập
Các doanh nghiệp thường bị xâm phạm theo những cách sau: ứng dụng web, tài nguyên mạng và sự bất cẩn của nhân viên. Ban đầu, những kẻ tấn công thường cố gắng tải lên các tệp độc hại thông qua lỗ hổng web, ứng dụng mạng hoặc thông qua các kỹ thuật lừa đảo, đây cũng là những mối đe dọa mà các tổ chức lớn phải đối mặt. Hơn nữa, kẻ tấn công có thể đồng thời thực hiện tấn công ddos đối với mục tiêu. điều này thường được sử dụng để đánh lạc hướng nhân viên hành chính, khiến họ tỉnh táo hơn.
Sau khi xâm nhập vào mạng của mục tiêu, kẻ tấn công nhanh chóng cài đặt một cửa hậu để dễ dàng truy cập, có thể là mã độc hoạt động trong nền để cho phép truy cập từ xa. Mã độc hại cũng có thể đến từ các Trojan được đánh dấu là phần mềm hợp pháp.
giai đoạn 2: mở rộng phạm vi
sau khi thiết lập chỗ đứng trên mạng mục tiêu, kẻ tấn công tiếp tục mở rộng sự hiện diện của chúng trên mạng mục tiêu.
Kẻ tấn công sẽ thực hiện quét các hệ thống khác trên mạng, thu thập thông tin từ nhân viên, phát tán mã độc để chiếm quyền truy cập vào những dữ liệu nhạy cảm nhất. bằng cách này, kẻ tấn công có thể thu thập thông tin kinh doanh quan trọng, bao gồm thông tin về dòng sản phẩm, dữ liệu nhân viên và hồ sơ tài chính.
Tùy thuộc vào mục tiêu cuối cùng của cuộc tấn công, dữ liệu tích lũy được có thể được bán cho một công ty cạnh tranh, sửa đổi và phá hủy dòng sản phẩm của công ty hoặc được sử dụng để kiểm soát toàn bộ tổ chức. nếu động lực là phá hoại, giai đoạn này được sử dụng để kiểm soát các chức năng quan trọng và điều khiển chúng theo trình tự để gây ra thiệt hại tối đa. ví dụ: kẻ tấn công xóa toàn bộ cơ sở dữ liệu của công ty và khóa mạng để kéo dài thời gian khôi phục.
giai đoạn 3: khai thác
Trong khi một cuộc tấn công apt đang diễn ra, thông tin bị đánh cắp thường được lưu trữ ở một vị trí an toàn trên mạng bị tấn công. khi đã thu thập đủ dữ liệu, kẻ tấn công phải xuất dữ liệu mà không bị phát hiện.
Thông thường, các chiến thuật chống bạo động được sử dụng để đánh lừa nhóm bảo mật của công ty để thông tin có thể lọt qua được. điều này có thể xảy ra dưới hình thức tấn công ddos, quét web và ứng dụng mạng.
3. phát hiện và ngăn chặn các cuộc tấn công apt
việc phát hiện và ngăn chặn các cuộc tấn công apt yêu cầu cách tiếp cận đa chiều của quản trị viên mạng, nhà cung cấp bảo mật và người dùng cá nhân.
giám sát đường dây
Giám sát lưu lượng vào và ra được coi là biện pháp tốt nhất để ngăn chặn việc cài đặt backdoor, ngăn chặn việc lấy cắp dữ liệu. giám sát lưu lượng mạng cũng có thể giúp cảnh báo cho nhân viên an ninh về bất kỳ hành vi bất thường nào liên quan đến các cuộc tấn công.
Tường lửa ứng dụng web được triển khai tại cổng sẽ giúp bảo vệ các ứng dụng web khỏi các cuộc tấn công như rfi, sql injection… thường được kẻ tấn công sử dụng để giành quyền truy cập vào mạng của tổ chức.
p>
Giám sát lưu lượng truy cập nội bộ, chẳng hạn như việc sử dụng tường lửa, cung cấp cho quản trị viên cái nhìn chi tiết về cách người dùng tương tác trong mạng của công ty và giúp xác định các điểm bất thường trong lưu lượng truy cập nội bộ.
danh sách trắng các ứng dụng và miền
danh sách trắng là một cách để kiểm soát những miền nào có thể được truy cập từ mạng công ty cũng như những ứng dụng nào nhân viên có thể cài đặt trong công ty. đây là một phương pháp hữu ích khác để giảm tỷ lệ thành công của các cuộc tấn công apt bằng cách giảm thiểu bề mặt tấn công.
Tuy nhiên, biện pháp bảo mật này không hề dễ dàng vì ngay cả các miền và ứng dụng đáng tin cậy cũng có thể bị xâm phạm.
đối với danh sách cho phép hiệu quả, chính sách cập nhật nghiêm ngặt phải được thực thi để đảm bảo rằng người dùng của bạn luôn chạy phiên bản mới nhất của bất kỳ ứng dụng nào được liệt kê.
kiểm soát truy cập
đối với những kẻ tấn công, nhân viên thường là những người yếu nhất và dễ bị tấn công nhất vì:
Việc phát triển chính sách kiểm soát hiệu quả đòi hỏi phải đánh giá kỹ lưỡng tất cả nhân viên trong tổ chức, đặc biệt là thông tin mà họ có quyền truy cập. thông tin quan trọng cần được bảo vệ bằng xác thực hai yếu tố (2fa). điều này làm cho thông tin quan trọng trở nên an toàn hơn.
các biện pháp đề xuất khác
Ngoài các biện pháp trên, dưới đây là các phương pháp hay nhất để đảm bảo tính bảo mật cho mạng của bạn:
– vá phần mềm và hệ điều hành càng nhanh càng tốt
– mã hóa kết nối từ xa để ngăn nghe trộm
– có bộ lọc thư rác và quét vi-rút cho hệ thống thư
– triển khai cơ chế ghi nhật ký để theo dõi và điều tra.
theo dõi chia sẻ trên đám mây bizfly
>> Có thể bạn quan tâm: hàng triệu máy tính mac có nguy cơ bị tấn công bởi một lỗ hổng trong chương trình cơ sở efi