Consolidarea Frontului Digital: O Abordare Comunitară în Securitatea Cibernetică

postat în: Știri 0

Evenimentul “Cyber Security Talks” organizat de La French Tech Bucharest a evidențiat importanța colaborării și educației în domeniul securității cibernetice. Speakerii, printre care Ciprian Covas de la Leroy Merlin și Maria Manuela Catrina de la Direcția Națională pentru Securitate Cibernetică, au subliniat că lupta împotriva amenințărilor cibernetice necesită un efort comun, implicând atât specialiștii din sectorul public, cât și pe cei din sectorul privat. Subliniind că securitatea cibernetică este un “sport de echipă”, evenimentul a evidențiat nevoia de educație continuă și conștientizare pentru a întări apărarea digitală.

Dezbaterile au inclus și rolul inteligenței artificiale (AI) în detectarea și prevenirea atacurilor cibernetice. În primul rând, AI aduce o eficiență sporită în detectarea atacurilor cibernetice prin analiza datelor și identificarea modelelor comportamentale suspecte în rețelele informatice. Folosind algoritmi de învățare automată, AI poate recunoaște rapid activități neobișnuite sau semne ale unor posibile atacuri, contribuind astfel la identificarea și neutralizarea acestora într-un timp cât mai scurt.

Pe lângă eficiența în detectarea atacurilor, AI oferă și o capacitate remarcabilă de scalabilitate și adaptabilitate. Prin procesarea rapidă a cantităților mari de date în timp real, AI poate răspunde prompt la amenințările cibernetice în schimbare constantă și poate adapta strategiile de apărare pentru a face față noilor tactici și tehnici de atac introduse de infractori.

Un alt aspect important al rolului AI în securitatea cibernetică este automatizarea răspunsului la amenințări. Sistemele AI pot fi programate să reacționeze automat la detectarea unei amenințări, blocând accesul utilizatorilor sau izolând părți ale rețelei pentru a preveni răspândirea atacului. Această capacitate de acțiune autonomă poate reduce semnificativ timpul de răspuns și poate minimiza impactul atacurilor cibernetice.

Totuși, este important să recunoaștem că utilizarea AI în securitatea cibernetică nu este lipsită de riscuri și provocări. Există posibilitatea ca atacatorii să exploateze vulnerabilitățile sau să manipuleze algoritmii AI pentru a evita detectarea sau pentru a genera atacuri mai sofisticate. Prin urmare, este crucial ca organizațiile să abordeze cu atenție și să gestioneze aceste riscuri în implementarea și utilizarea sistemelor AI în strategiile lor de securitate cibernetică. Experți ca Andrei Avădănei, fondatorul Bit Sentinel, și Adrian Furtună de la Pentest-Tools.com, au evidențiat dualitatea AI, care, pe lângă faptul că poate îmbunătăți semnificativ eficiența apărării cibernetice, prezintă riscuri prin potențialul său de a fi exploatată de atacatori pentru a dezvolta metode de atac mai sofisticate.

Mihail Andrieș, CISO la BRD – Groupe Societe Generale, și alți speakeri au subliniat necesitatea unei schimbări de mentalitate atât la nivel individual cât și organizațional. Această schimbare presupune conștientizarea permanentă a riscurilor cibernetice și adoptarea unei strategii pe termen lung pentru securitatea cibernetică, integrată în cultura organizațională și practicile zilnice. AI poate juca un rol crucial în facilitarea acestei schimbări de mentalitate și în integrarea unei strategii pe termen lung pentru securitatea cibernetică. Prin capacitatea sa de analiză avansată a datelor, AI poate identifica modele și tendințe în comportamentul utilizatorilor și al sistemelor informatice, ajutând organizațiile să anticipeze și să prevină potențialele amenințări înainte ca acestea să devină probleme majore. Totuși, aceasta implică nu doar adoptarea tehnologiilor AI, ci și dezvoltarea capacităților interne pentru a gestiona și monitoriza aceste sisteme în mod eficient.

Evenimentul a pus accent pe importanța colaborării intersectoriale, încurajând parteneriate între sectorul public, cel privat și mediul academic pentru a dezvolta soluții inovative în securitatea cibernetică. S-au oferit exemple concrete și argumente care evidențiază necesitatea acestei colaborări intersectoriale:

  1. Parteneriate între sectoare: Speakerii au pus accentul pe beneficiile colaborării între diferite sectoare pentru a face față amenințărilor cibernetice. De exemplu, un reprezentant al unei companii private a evidențiat importanța parteneriatelor cu organizațiile guvernamentale în schimbul de informații și resurse pentru a contracara amenințările cibernetice.
  2. Dezvoltarea de proiecte comune: S-a discutat despre necesitatea dezvoltării de proiecte comune între sectorul public, privat și academic pentru a inova în domeniul securității cibernetice. Un exemplu menționat a fost crearea unor centre de cercetare și dezvoltare care să adune experți din diverse sectoare pentru a lucra împreună la identificarea și soluționarea problemelor legate de securitatea digitală.
  3. Partajarea de cunoștințe și experiență: Participanții au subliniat importanța partajării de cunoștințe și experiențe între diferitele sectoare pentru a îmbunătăți înțelegerea și abordarea amenințărilor cibernetice. Aceasta ar putea include schimbul de bune practici, colaborarea la proiecte de cercetare și organizarea de evenimente de formare și conștientizare în comun.
  4. Îmbunătățirea continuă a mecanismelor de apărare: Un alt aspect evidențiat a fost necesitatea unei abordări proactive în îmbunătățirea continuă a mecanismelor de apărare împotriva amenințărilor cibernetice. Prin colaborarea intersectorială, organizațiile pot identifica mai rapid și pot răspunde mai eficient la noile tipuri de atacuri și vulnerabilități.

“Cyber Security Talks” reafirmă că securitatea cibernetică este o responsabilitate comună, care necesită implicarea activă a tuturor actorilor din societate. Evenimentul a fost un apel la acțiune pentru creșterea nivelului de conștientizare și educație în domeniul securității cibernetice, subliniind importanța unei strategii integrate pe termen lung pentru a face față provocărilor din acest domeniu în continuă evoluție. În lumina discuțiilor intense purtate la eveniment și a complexității tot mai mari a amenințărilor cibernetice în societatea modernă, devine tot mai evidentă importanța urmării unor cursuri în domeniul securității cibernetice.

Aceste cursuri, fie ele la nivel de licență, master sau post universitare, reprezintă nu doar o modalitate de a acumula cunoștințe teoretice și practice în domeniul securității cibernetice, ci sunt, în esență, un angajament către protejarea propriei securități digitale și contribuirea la securitatea colectivă a societății.

Atunci când vorbim despre rolul acestora, putem să ne gândim la ele ca la un bastion al conștientizării riscurilor cibernetice. Ele oferă participanților nu doar cunoștințe despre tipurile de amenințări cu care se confruntă mediul online, ci și instrumentele și strategiile necesare pentru a contracara aceste amenințări.

 

Dar mai mult decât atât, urmarea unor cursuri în securitate cibernetică deschide uși către oportunități de carieră din ce în ce mai valoroase într-o lume în care securitatea informațională devine tot mai critică pentru organizații. Profesioniștii calificați în acest domeniu sunt tot mai căutați și apreciați, iar aceste cursuri pot reprezenta baza solidă pentru o carieră de succes în securitatea cibernetică.

Însă impactul urmării unor astfel de cursuri nu se oprește la nivel individual sau profesional. Ele aduc și o contribuție semnificativă la securitatea colectivă a societății. Cu cât avem mai mulți cetățeni conștienți și pregătiți să facă față amenințărilor cibernetice, cu atât suntem mai bine protejați în fața acestor riscuri.

 

Referințe:

Redactat de Horia Tudor. Informațiile și analizele prezentate în acest document se bazează pe informații extrase din „Cyber Security Talks by La French Tech Bucharest. Securitatea cibernetică este un „sport“ de echipă. Ne bazăm unii pe alţii pentru a crea un mediu digital protejat şi pentru asta avem nevoie de oameni calificaţi” – Ziarul Financiar

Studii de caz privind atacurile cibernetice – Amenințările persistente avansate

Sfetcu, Nicolae (2024), Studii de caz privind atacurile cibernetice – Amenințările persistente avansate, IT & C, 3:1, DOI: 10.58679/IT23220, https://www.internetmobile.ro/studii-de-caz-privind-atacurile-cibernetice-amenintarile-persistente-avansate/

 

Cyber Attack Case Studies – Advanced Persistent Threats

Abstract

In the rapidly evolving technology landscape, the proliferation of cyberattacks has become a pervasive threat, permeating every sector of society. From government institutions to private businesses and individual users, no entity is immune to the pernicious effects of cybercrime. Understanding the anatomy of past cyberattacks is crucial to strengthening defenses and fostering resilience in the face of future threats. These incidents underscore the importance of cybersecurity measures and the constant need for vigilance against evolving cyber threats.

Keywords: cyberattacks. advanced persistent threats, Titan Rain., Sykipot, GhostNet, Stuxnet, Duqu, Flame, Carbanak, Red October

Rezumat

În peisajul cu evoluție rapidă a tehnologiei, proliferarea atacurilor cibernetice a devenit o amenințare omniprezentă, pătrunzând în fiecare sector al societății. De la instituții guvernamentale la întreprinderi private și utilizatori individuali, nicio entitate nu este imună la efectele pernicioase ale criminalității informatice. Înțelegerea anatomiei atacurilor cibernetice din trecut este crucială pentru întărirea apărării și încurajarea rezilienței în fața amenințărilor viitoare. Aceste incidente subliniază importanța măsurilor de securitate cibernetică și nevoia constantă de vigilență împotriva amenințărilor cibernetice în evoluție.

Cuvinte cheie: atacuri cibernetice. amenințările persistente avansate, Titan Rain., Sykipot, GhostNet, Stuxnet, Duqu, Flame, Carbanak, Red October

 

IT & C, Volumul 3, Numărul 2, Iunie 2024, pp. xxx
ISSN 2821 – 8469, ISSN – L 2821 – 8469, DOI: 10.58679/IT23220
URL: https://www.internetmobile.ro/studii-de-caz-privind-atacurile-cibernetice-amenintarile-persistente-avansate/
© 2024 Nicolae Sfetcu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.

 

Studii de caz privind atacurile cibernetice – Amenințările persistente avansate

Ing. fiz. Nicolae SFETCU[1], MPhil

nicolae@sfetcu.com

[1] Cercetător – Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973

 

Introducere

În peisajul cu evoluție rapidă a tehnologiei, proliferarea atacurilor cibernetice a devenit o amenințare omniprezentă, pătrunzând în fiecare sector al societății. De la instituții guvernamentale la întreprinderi private și utilizatori individuali, nicio entitate nu este imună la efectele pernicioase ale criminalității informatice.

În ultimul timp numărul atacurilor prin amenințări persistente avansate (APT), cele mai subtile atacuri cibernetice, a crescut rapid și au fost raportate numeroase incidente de securitate. Adversarii exploatează adesea faptul că majoritatea eforturilor de protecție merg în protecția perimetrului, neglijând interiorul infrastructurii[1], de exemplu, zona demilitarizată (DMZ), dar intensitatea supravegherii este limitată. Instrumentele specializate pentru detectarea intruziunilor sau prevenirea intruziunilor necesită o cantitate mare de resurse administrative și umane pentru a monitoriza rezultatul acestor sisteme. Detectarea atacurilor APT a devenit obiectul unor cercetări ample. Motoarele de înregistrare (de exemplu, syslog) sau soluții de gestionare a jurnalelor (de exemplu, Graylog) sunt utile, dar detectarea de evenimente în aceste fișiere jurnal este insuficientă. În această idee, AECID (Automatic Event Corelation for Incident Detection)[2] aplică liste albe și monitorizează evenimentele din sistem și interdependența dintre diferitele sistem, fiind capabil să obțină o imagine de ansamblu asupra comportamentului „normal” al infrastructurii[3].

Modalități de contracarare a atacurilor cibernetice

Pe măsură ce tărâmul digital continuă să se extindă și să se interconecteze, arsenalul de tehnici folosite de actori rău intenționați devine din ce în ce mai sofisticat și divers. Examinarea unora dintre cele mai notorii atacuri cibernetice pune în lumină natura multifațetă a acestei amenințări omniprezente și subliniază imperativul măsurilor proactive de securitate cibernetică.

Rass, König, și Schauer[4] iau în considerare teoria jocurilor ca o unealtă naturală de analiză a conflictelor de interese în cazul APT[5] care, împreună cu modele bazate pe agenți[6], poate fi aplicată pentru analiză și cuantificarea riscului. De asemenea, discută despre jocurile cu matrice ca un model adecvat pentru a explica ceea ce poate face victima împotriva unei APT[7], și propune o formă nouă de captare a incertitudinii de profit în modele teoretice de joc.

Investigarea comunităților de hackeri[8] (din forumurile dark-web)[9] poate ajuta la identificarea vulnerabilităților zero-day înainte de a fi exploatate. Cercetarea în acest domeniu are potențialul de a avea un impact social ridicat[10].

În Vukalovic și Delija[11], autorii au discutat despre educarea utilizatorilor și implementarea unor politici și reguli statice mai stricte pentru a detecta anomalii.

În Ussath et al.[12], autorii au analizat mai multe rapoarte și au ajuns la concluzia că spear-phishing este cea mai comună abordare aleasă pentru compromisul inițial, și eliminarea acreditărilor este cea mai frecventă metodă pentru mișcarea laterală.

Chen și Desmet[13] au studiat atacurile APT, contramăsurile care trebuie luate și câteva metode de detectare a APT.

Tankard și colab.[14] au studiat atacurile APT și au explicat diferitele etape ale atacurilor și tehnicile de detectare, inclusiv metodele de monitorizare pentru a detecta APT într-o rețea uriașă.

Studii de caz

Studiile de caz din lumea reală oferă informații valoroase despre succes și scenarii de detecție a atacurilor cibernetice, inclusiv APT, nereușite. Analizarea incidentelor și a metodelor corespunzătoare de detectare aplicate permit o înțelegere mai profundă a provocărilor și se constituie în lecții pentru combaterea amenințărilor.

APT au început în sectoare de securitate națională, dar și-au extins domeniul de aplicare la sectoarele neguvernamentale comerciale și financiare. Symantec, în 2018 Internet Security Threat Report, volumul 23[15], afirmă că APT folosesc ransomware ca instrument de atac. Alshamrani et al.[16] detaliază principalele atacuri APT cunoscute până în prezent:

Titan Rain

În 2003, o serie de atacuri cibernetice coordonate au infiltrat mai multe computere și rețele în instituțiile de apărare din SUA. Acestea au continuat până la sfârșitul anului 2015, furând informații neclasificateprin utilizarea înșelăciunilor și a folosirii vectorilor de atac multipli[17]. Hackerii din China au condus campania Titan Rain împotriva țintelor guvernului american în încercarea de a fura secrete de stat sensibile. Atacatorii au vizat date militare și au lansat atacuri APT asupra sistemelor de vârf ale agențiilor guvernamentale, inclusiv NASA și FBI. Analiștii de securitate au indicat Armata Populară Chineză de Eliberare drept sursa atacurilor.

Sykipot

Programele malware Sykipot APT exploatează defecte în Adobe Reader și Acrobat. A fost detectat în 2006, și au continuat până în 2013. Familia de malware Sykipot a fost folosită în APTca parte a unei serii de lungă durată de atacuri cibernetice, vizând în principal organizațiile din SUA și Marea Britanie, folosind un atac de tip spear phishing cu linkuri și atașamente rău intenționate care conțineau exploit-uri zero-day[18].

GhostNet

Atacul GhostNet a fost descoperit în 2009, fiind executat din China prin mesaje de tip spear phishing, compromițând computere din peste 100 de țări. Ținte au fost ministerele și ambasadele guvernamentale, transformându-le în surse de ascultare și înregistrare prin pornirea de la distanță a camerelor și a capabilităților de înregistrare audio[19].

Operațiunea Aurora

Operațiunea Aurora a fost lansată în 2009, vizând diferite companii comerciale, folosind troianul Hydraq. A folosit mai multe componente malware criptate în mai multe straturi. Google, care a anunțat acest atac, a fost una dintre victime, urmat de Adobe. Numele „Aurora” vine din malware injectat în timpul compilării acestuia pe mașina atacatorilor, folosind un exploit zero-day în Internet Explorer (CVE-2010-0249 și MS10-002)[20] pentru a stabili un punct de sprijin. Una dintre componente a creat un backdoor, permițând accesul în rețea. Mai înainte, malware-ul exploatase o vulnerabilitate din aplicațiile Adobe Reader și Acrobat (CVE-2009-1862). Atacurile au continuat câteva luni în diferite țări de pe glob sub diferite variante ale troianului Hydraq. Malware-ul aduna informații despre sistem și rețea, și colecta numele de utilizator și parolele într-un fișier trimis apoi centrului de comandă și control cu IP sau nume de domeniu codificat[21].

Stuxnet

Stuxnet a fost lansat în 2009 și descoperit în 2010, un vierme sofisticat cu scopul de a împiedica proiectul nuclear al Iranului. Folosea criptarea XOR cu o cheie statică (OxFF) pentru a decripta părți din sarcina utilă și o cheie fixă de 32 de octeți pentru a codifica datele pe care le trimitea la serverul C&C, folosind din nou un algoritm XOR[22]. Acesta a exploatat o vulnerabilitate zero-day găsită în fișierul LNK al Windows Explorer. Microsoft i-a dat denumirea Stuxnet, o combinație de nume de fișiere găsite în codul rău intenționat (.stub și MrxNet.sys). Ulterior s-a descoperit că acesta a folosit și o vulnerabilitate în spoolerul de imprimantă al computerelor Windows, răspândindu-se pe toate calculatoarele care au partajat imprimanta, și 2 vulnerabilități în fișierul tastaturii Windows și fișierul Task Scheduler pentru a obține controlul deplin prin escaladarea privilegiilor. A folosit o parolă codificată într-un software Siemens Step7 pentru a infecta serverele de baze de date cu Step7 și de acolo alte mașini conectate. După prima intruziune, acesta trimite IP-ul intern și IP-ul public al sistemului respectiv împreună cu numele computerului, sistemul de operare și informații despre Siemens Step7, către una dintre cele 2 servere de comandă din 2 țări diferite. Malware-ul a infectat sistemul, și s-a actualizat cu o nouă funcționalitate. Ulterior au fost infectate și alte computere din mai multe țări[23]. Stuxnet a folosit 4 vulnerabilități zero-day, 2 certificate furate și 2 centre de comandă și control. Inteligent și stratificat, putea fi modificat de atacatori prin centrele de comandă și control folosind peste 400 de elemente în fișierul său de configurare. Activitatea sa s-a încheiat în 2012, încetinind procesul de generare a armelor nucleare[24].

Duqu

Duqu a fost detectat în septembrie 2011, dar a fost activ din februarie 2010. Are asemănări cu Stuxnet, dar obiectiv diferit (spionajul) [25]. A infectat cca. 50 de ținte în întreaga lume. După infecția inițială, a rămas activ timp de 30 de zile înainte de a se autodistruge. Infecția și propagarea inițială a fost prin fișierele Microsoft Word care conțineau vulnerabilitatea de analiză a fontului True Type de zero-day (CVE-2011-3402). Programul s-a conectat la servere prin porturile 80/TCP și 443/TCP și a folosit un protocol C&C personalizat. Duqu a folosit stenografia prin codificarea și atașarea datelor transferate la fișierele imagine JPEG[26].

Atacul RSA SecureID

În 2011, atacul cibernetic asupra RSA de la EMC Software a compromis informațiile asociate cu SecureID, un token de autentificare cu doi factori. Intruziunea a fost ajutată de phishing trimis angajatorilor firmei cu fișiere Excel atașate, prin exploit zero-day (CVE-2011-0609) la Adobe flash player instalând un backdoor[27].

Flame

Flame a fost detectat întâmplător  pentru prima dată în mai 2012[28], dar se crede că era deja activ de 5-8 ani. Are o dimensiune neobișnuită, de cca 20 MB. A infestat mii de sisteme Windows, în special în Orientul Mijlociu. Atacatorii au trebuit să efectueze un atac criptoanalitic complex (atac de coliziune prefix ales pentru algoritmul MD5) împotriva autorității de certificare a licențelor pentru serviciile terminale Microsoft. Flame a folosit peste 80 de domenii ca servere C&C. Comunicarea a fost efectuată prin HTTP, HTTPS sau SSH, folosind criptarea XOR și algoritm RC4[29].

Carbanak

Carbanak a fost un atac pentru furtul de bani de la instituțiile financiar, început în 2013, folosind spear-phishing, cu fișiere atacate exploatând vulnerabilitățile Microsoft Office (CVE-2012-0158, CVE-2013-3906 și CVE-2014-1761). A rămas nedetectat până la începutul lui 2014[30]. După stabilirea unui punct de sprijin prin instalarea de backdoor, s-a făcut recunoașterea internă ca parte a mișcării lor laterale, comunicând cu serverul C&C al atacatorilorprin un protocol binar personalizat. Carbanak a încetinit activitatea în 2015 dar a continuat până în 2017 în diferite variante[31].

Red October

Red October (Octombrie Roșu) a fost descoperit în octombrie 2012 dar a fost activ din mai 2007, vizând instituții diplomatice, guvernamentale și științifice[32]. Cu o arhitectură minimalistă, a reușit  furtul de informații de pe telefoanele mobile, fiind instalat ca un plugin pentru aplicațiile de citire Office și Adobe. A folosit criptarea XOR pentru a-și împacheta executabilul principal și pentru a codifica datele exfiltrate.

Alte atacuri prin APT

Conform lui [33]:

APT28, cunoscut și sub numele de Fancy Bear, Pawn Storm, Sofacy Group și Sednit, a fost identificat de cercetătorii de la Trend Micro în 2014, atacând ținte militare și guvernamentale din Europa de Est, inclusiv Ucraina și Georgia, precum și campanii care vizează organizațiile NATO și contractorii de apărare din SUA.

APT29 (grupul rusesc Cozy Bear) a folosit atacuri spear phishing din 2015 asupra Pentagonului, din 2016 asupra Comitetului Național Democrat.

APT34 (Iran) a fost identificat în 2017 de către cercetătorii de la FireEye, dar este activ din 2014. A vizat companii din Orientul Mijlociu.

APT37 (denumit și Reaper, StarCruft și Group) 123, este o amenințare persistentă avansată legată de Coreea de Nord despre care se crede că a apărut în jurul anului 2012, folosind atacuri spear phishing exploatând o vulnerabilitate Adobe Flash zero-day.

Alte atacuri cibernetice

Yahoo Data Breaches (2013-2014): Yahoo a suferit două atacuri masive de date, cea mai mare din istorie, afectând toate cele 3 miliarde de conturi de pe serviciul său. Atacurile au inclus furtul de informații despre contul de utilizator.

Sony Pictures Hack (2014): Un atac cibernetic asupra Sony Pictures Entertainment de către un grup numit „Gardienii păcii”, care prin care s-au extras date confidențiale despre angajații și filmele Sony. Guvernul SUA a atribuit atacul Coreei de Nord.

Mirai (2016) Un atac botnet asupra dispozitivelor Internet of Things (IoT), a penetrat sute de mii de dispozitive IoT cu atacuri masive de refuzare a serviciului distribuit (DDoS). Aceste atacuri au perturbat serviciile și infrastructura de internet.

WannaCry Ransomware Attack (2017): Acest atac cibernetic global a vizat computerele care rulează sistemul de operare Microsoft Windows prin criptarea datelor și solicitarea plăților de răscumpărare în Bitcoin. A afectat peste 200.000 de computere din 150 de țări.

NotPetya (2017): Inițial considerat un ransomware, a fost identificat ulterior ca un atac sponsorizat de Rusia împotriva Ucrainei, care s-a răspândit la nivel global. A provocat daune de miliarde de dolari mai multor corporații globale, inclusiv Maersk, Merck și FedEx.

Equifax Data Breach (2017): Au fost expuse informații personale la cca 147 de milioane de persoane, ca urmare a exploatării unei vulnerabilități în cadrul web Apache Struts.

SolarWinds Hack (2020): Un atac sofisticat al lanțului de aprovizionare care a compromis software-ul Orion de către SolarWinds, afectând mii de agenții guvernamentale și companii. Atacatorii au rămas nedetectați luni de zile, atacul fiind atribuit unui grup de hacking rus.

Colonial Pipeline Ransomware Attack (2021): Un atac ransomware care a dus la închiderea celei mai mari conducte de combustibil din Statele Unite, atribuit grupului DarkSide, cerând o plată de răscumpărare mai multe milioane de dolariț

Caracteritici comune

Virvilis, Gritzalis, și Apostolopoulos [34] au identificat caracteristici comune (tehnici, căi de atac, funcționalități) care pot permite malware-ului să evite detectarea:

  1. Sistem de operare și arhitectură vizate: versiuni de Windows pe 32 de biți (niciun malware nu s-ar executa pe sisteme pe 64 de biți), mai ales când se vizează componentele kernelului. Dar, întrucât atacatorii aveau acces la certificate valide (Stuxnet, Duqu) pentru a semna pe 64 de biți, principalul motiv pentru 32 de biți ar putea fi că majoritatea victimelor folosesc această arhitectură.
  2. Vectorii de atac inițiali: Duqu și Octombrie Roșu au folosit documente Word și Excel pentru a-și infecta țintele, în timp ce MiniDuke a exploatat PDF Reader de la Adobe. La Stuxnet și Flame metoda inițială de infecție probabilă a fost prin unități amovibile sau atacuri watering hole. Odată cu Office 2010 Suite, Microsoft a introdus „vizualizare aprotejată”, ca o protecție suplimentară. Astfel, se presupune că victimele care s-au infectat rulau versiuni învechite ale MS Office sau aveau dezactivate funcțiile de securitate. MiniDuke a fost capabil să exploateze toate versiunile Adobe Reader și să evite sandbox.
  3. Executarea comenzilor și escaladarea privilegiilor: Toate programele au folosit exploit-uri zero-day pentru comenzi sau escaladarea privilegiilor.
  4. Acces la rețea.: Comunicările s-au făcut prin porturile 80/TCP, 443/TCP sau 22/TCP, folosite pentru traficul de ieșire cu protocoalele HTTP, HTTPS și SSH, folosind în plus criptarea/ofuscarea și compresia. Majoritatea victimelor aveau restricții de acces la internet foarte relaxate.
  5. ID-uri de rețea și produse antivirus pentru punctele finale: Stuxnet, Flame, Duqu și MiniDuke au evitat software-ul antivirus. Flame, Duqu, Red October și MiniDuke au criptat sau evitat traficul propriu de rețea pentru a „trece sub radar” evitând sistemele de detectare a intruziunilor în rețea (NIDS). Deficiențele unor astfel de sisteme de protecție sunt bine cunoscute[35], dar sunt în continuare cele mai comune seturi de instrumentele utilizate.
  6. Utilizarea criptării/evitării: Toate atacurile s-au bazat pe „criptarea” XOR pentru a evita detectarea și a complica analiza malware, și pentru a proteja fișierele de configurare și traficul transmis. Duqu și Flame au folosit în plus și algoritmi AES și, respectiv, RC4.
  7. Exploatarea semnăturilor digitale: Stuxnet și Duqu au fost semnate digital folosind certificate digitale compromise. Flame a exploatat rezistența la coliziune a funcției hash MD5, și a replicat-o prin serviciul WSUS.

Concluzie

Peisajul atacurilor cibernetice se caracterizează prin complexitatea, diversitatea și evoluția sa neobosită. De la izbucniri de ransomware la spionaj sponsorizat de stat prin atacuri persistente avansate și compromisuri ale lanțului de aprovizionare, actorii amenințărilor și tehnicile folosite continuă să evolueze în sofisticare și scară. Înțelegerea anatomiei atacurilor cibernetice din trecut este crucială pentru întărirea apărării și încurajarea rezilienței în fața amenințărilor viitoare. Aceste incidente subliniază importanța măsurilor de securitate cibernetică și nevoia constantă de vigilență împotriva amenințărilor cibernetice în evoluție. Numai prin vigilență colectivă, măsuri proactive de securitate cibernetică și cooperare internațională putem spera să atenuăm amenințarea generalizată a criminalității cibernetice și să protejăm infrastructura digitală pe care se bazează societatea modernă.

Bibliografie

  • Alshamrani, Adel, Sowmya Myneni, Ankur Chowdhary, și Dijiang Huang. 2019. „A Survey on Advanced Persistent Threats: Techniques, Solutions, Challenges, and Research Opportunities”. IEEE Communications Surveys & Tutorials 21 (2): 1851–77. https://doi.org/10.1109/COMST.2019.2891891.
  • BBC. 2009. „Major Cyber Spy Network Uncovered”, 29 martie 2009. http://news.bbc.co.uk/2/hi/americas/7970471.stm.
  • Bencsáth, B., Gábor Pék, L. Buttyán, și M. Félegyházi. 2012. „Duqu: Analysis, Detection, and Lessons Learned”. În . https://www.semanticscholar.org/paper/Duqu%3A-Analysis%2C-Detection%2C-and-Lessons-Learned-Bencs%C3%A1th-P%C3%A9k/9974cdf65ffbdee47837574432b0f8b59ffbddd1.
  • Benjamin, Victor, Weifeng Li, și Thomas Holt. 2015. Exploring threats and vulnerabilities in hacker web: Forums, IRC and carding shops. https://doi.org/10.1109/ISI.2015.7165944.
  • Busby, J. S., B. S. S. Onggo, și Y. Liu. 2016. „Agent-based computational modelling of social risk responses”. European Journal of Operational Research 251 (3): 1029–42. https://doi.org/10.1016/j.ejor.2015.12.034.
  • Chen, Ping, Lieven Desmet, și Christophe Huygens. 2014. „A Study on Advanced Persistent Threats”. În Communications and Multimedia Security, ediție de Bart De Decker și André Zúquete, 63–72. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer. https://doi.org/10.1007/978-3-662-44885-4_5.
  • Denault, Michel, Dimitris Karagiannis, Dimitris Gritzalis, și Paul Spirakis. 1994. „Intrusion detection: Approach and performance issues of the SECURENET system”. Computers & Security 13 (6): 495–508. https://doi.org/10.1016/0167-4048(91)90138-4.
  • Dijk, Marten van, Ari Juels, Alina Oprea, și Ronald L. Rivest. 2013. „FlipIt: The Game of “Stealthy Takeover””. Journal of Cryptology 26 (4): 655–713. https://doi.org/10.1007/s00145-012-9134-5.
  • Ferrer, Zarestel, și Methusela Cebrian Ferrer. 2010. „In-depth Analysis of Hydraq – The face of cyberwar enemies unfolds”. http://cybercampaigns.net/wp-content/uploads/2013/05/Hydraq.pdf.
  • Friedberg, Ivo, și Roman Fiedler. 2014. „Dealing with Advanced Persistent Threats in Smart Grid ICT Networks: 5th IEEE Innovative Smart Grid Technologies Conference”. Ediție de Florian Skopik. Proceedings of the 5th IEEE Innovative Smart Grid Technologies Conference, 1–6.
  • Hamilton, S., W. L. Miller, Allen Ott, și O. S. Saydjari. 2002. „Challenges in Applying Game Theory to the Domain of Information Warfare †”. În . https://www.semanticscholar.org/paper/Challenges-in-Applying-Game-Theory-to-the-Domain-of-Hamilton-Miller/a65d0d3c8aae0f35a524c84d15748f85b01df7de.
  • Johnson, Ariana. 2016. „Cybersecurity for Financial Institutions: The Integral Role of Information Sharing in Cyber Attack Mitigation”. North Carolina Banking Institute 20 (1): 277.
  • Langner, Ralph. 2011. „Stuxnet: Dissecting a Cyberwarfare Weapon”. IEEE Security & Privacy 9 (3): 49–51. https://doi.org/10.1109/MSP.2011.67.
  • Nunes, Eric, Ahmad Diab, Andrew Gunn, Ericsson Marin, Vineet Mishra, Vivin Paliath, John Robertson, Jana Shakarian, Amanda Thart, și Paulo Shakarian. 2016. Darknet and deepnet mining for proactive cybersecurity threat intelligence. https://doi.org/10.1109/ISI.2016.7745435.
  • Rass, Stefan, Sandra König, și Stefan Schauer. 2017. „Defending Against Advanced Persistent Threats Using Game-Theory”. PLOS ONE 12 (1): e0168675. https://doi.org/10.1371/journal.pone.0168675.
  • SecureList. 2013. „“Red October” Diplomatic Cyber Attacks Investigation”. 14 ianuarie 2013. https://securelist.com/red-october-diplomatic-cyber-attacks-investigation/36740/.
  • Symantec. 2018. „2018 Internet Security Threat Report”. https://docs.broadcom.com/doc/istr-23-executive-summary-en.
  • Tankard, Colin. 2011. „Advanced Persistent threats and how to monitor and deter them”. Network Security 2011 (8): 16–19. https://doi.org/10.1016/S1353-4858(11)70086-1.
  • Ussath, Martin, David Jaeger, Feng Cheng, și Christoph Meinel. 2016. „Advanced persistent threats: Behind the scenes”. 2016 Annual Conference on Information Science and Systems (CISS), martie, 181–86. https://doi.org/10.1109/CISS.2016.7460498.
  • Virvilis, Nikos, și Dimitris Gritzalis. 2013. „The Big Four – What We Did Wrong in Advanced Persistent Threat Detection?” În 2013 International Conference on Availability, Reliability and Security, 248–54. https://doi.org/10.1109/ARES.2013.32.
  • Virvilis, Nikos, Dimitris Gritzalis, și Theodoros Apostolopoulos. 2013. „Trusted Computing vs. Advanced Persistent Threats: Can a Defender Win This Game?” În 2013 IEEE 10th International Conference on Ubiquitous Intelligence and Computing and 2013 IEEE 10th International Conference on Autonomic and Trusted Computing, 396–403. https://doi.org/10.1109/UIC-ATC.2013.80.
  • Vukalovic, J., și Damir Delija. 2015. Advanced Persistent Threats – detection and defense. https://doi.org/10.1109/MIPRO.2015.7160480.
  • Yasar, Kinza, și Linda Rosencrance. 2021. „What Is an Advanced Persistent Threat (APT)? | Definition from TechTarget”. Security. 2021. https://www.techtarget.com/searchsecurity/definition/advanced-persistent-threat-APT.

Note

[1] (Tankard 2011)

[2] (Friedberg și Fiedler 2014)

[3] (Rass, König, și Schauer 2017)

[4] (Rass, König, și Schauer 2017)

[5] (van Dijk et al. 2013)

[6] (Busby, Onggo, și Liu 2016)

[7] (Hamilton et al. 2002)

[8] (Alshamrani et al. 2019)

[9] (Nunes et al. 2016)

[10] (Benjamin, Li, și Holt 2015)

[11] (Vukalovic și Delija 2015)

[12] (Ussath et al. 2016)

[13] (Chen, Desmet, și Huygens 2014)

[14] (Tankard 2011)

[15] (Symantec 2018)

[16] (Alshamrani et al. 2019)

[17] (Alshamrani et al. 2019)

[18] (Yasar și Rosencrance 2021)

[19] (BBC 2009)

[20] (Ferrer și Ferrer 2010)

[21] (Alshamrani et al. 2019)

[22] (Virvilis și Gritzalis 2013)

[23] (Langner 2011)

[24] (Alshamrani et al. 2019)

[25] (Bencsáth et al. 2012)

[26] (Virvilis și Gritzalis 2013)

[27] (Alshamrani et al. 2019)

[28] (Bencsáth et al. 2012)

[29] (Virvilis și Gritzalis 2013)

[30] (Johnson 2016)

[31] (Alshamrani et al. 2019)

[32] (SecureList 2013)

[33] (Yasar și Rosencrance 2021)

[34] (Virvilis, Gritzalis, și Apostolopoulos 2013)

[35] (Denault et al. 1994)

 

CC BY SA 4.0Articol cu Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).

Detectarea amenințărilor persistente avansate în războiul cibernetic – Studii academice

Sfetcu, Nicolae (2024), Detectarea amenințărilor persistente avansate în războiul cibernetic – Studii academice, IT & C, 3:1, DOI: 10.58679/IT78363, https://www.internetmobile.ro/detectarea-amenintarilor-persistente-avansate-in-razboiul-cibernetic-studii-academice/

 

Detecting Advanced Persistent Threats in Cyber Warfare – Academic Studies

Abstract

In the ever-evolving landscape of cybersecurity, advanced persistent threats pose a formidable challenge. Detecting advanced persistent threats is a complex and ongoing challenge for organizations and cybersecurity professionals, requiring a multi-layered strategy incorporating various tools, techniques, and approaches. This essay explores the methods and challenges involved in detecting APTs.

Keywords: advanced persistent threats, APT, anomaly detection, behavioral analysis, sandbox, machine learning, cyber warfare, academic studies

Rezumat

În peisajul în continuă evoluție al securității cibernetice, amenințările persistente avansate reprezintă o provocare formidabilă. Detectarea amenințărilor persistente avansate este o provocare complexă și continuă pentru organizații și profesioniștii în securitate cibernetică, necesitând o strategie cu mai multe straturi care încorporează diverse instrumente, tehnici și abordări. Acest eseu explorează metodele și provocările implicate în detectarea APT-urilor.

Cuvinte cheie: amenințările persistente avansate, APT, detectarea anomaliilor, analiza comportamentală, sandbox, învățarea automată, războiul cibernetic, studii academice

 

IT & C, Volumul 3, Numărul 2, Iunie 2024, pp. xxx
ISSN 2821 – 8469, ISSN – L 2821 – 8469, DOI: 10.58679/IT78363
URL: https://www.internetmobile.ro/detectarea-amenintarilor-persistente-avansate-in-razboiul-cibernetic-studii-academice/
© 2024 Nicolae Sfetcu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.

 

Detectarea amenințărilor persistente avansate în războiul cibernetic – Studii academice

Ing. fiz. Nicolae SFETCU[1], MPhil

nicolae@sfetcu.com

[1] Cercetător – Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973

 

Introducere

În peisajul în continuă evoluție al securității cibernetice, amenințările persistente avansate (Advanced Persistent Threats – APT) reprezintă o provocare formidabilă. APT sunt amenințări cibernetice sofisticate, pe termen lung, ascunse și adesea sponsorizate de stat, care vizează furtul de informații sau compromiterea sistemelor pe o perioadă lungă, mai degrabă decât să provoace un prejudiciu imediat. Ele sunt orchestrate de adversari cu înaltă calificare, adesea cu resurse și motivații semnificative, de la spionaj la câștiguri financiare sau sabotaj.

Detectarea amenințărilor persistente avansate (APT) este o provocare complexă și continuă pentru organizații și profesioniștii în securitate cibernetică. Detectarea necesită o strategie cu mai multe straturi care încorporează diverse instrumente, tehnici și abordări.

Iată o prezentare generală a componentelor cheie implicate în detectarea APT-urilor:

Înțelegerea amenințărilor persistente avansate

Amenințările persistente avansate sunt caracterizate prin ascundere, persistență și adaptabilitate. Spre deosebire de atacurile cibernetice tipice, care urmăresc exploatarea imediată și exfiltrarea rapidă a datelor, APT funcționează discret, pe perioade lungi, rămânând adesea nedetectate luni sau chiar ani într-o rețea țintă. Aceste amenințări folosesc diverse tactici, cum ar fi exploit-uri zero-day, inginerie socială și amenințări interne pentru a obține accesul inițial și a stabili un punct de sprijin în infrastructura vizată.

În rețelele complexe, este posibil ca o anomalie care se repetă să nu fie detectată printr-o singură regulă. Numai prin combinarea mai multor reguli în model, abordarea poate detecta în mod fiabil anomalia evaluată. Deși acest comportament este suficient pentru a detecta majoritatea anomaliilor, provoacă o sarcină mare de lucru pentru administrator atunci când efectuează o analiză a cauzei principale. Este nevoie de o abordare mai inteligentă pentru generarea de clase de evenimente. Lipsa de informații despre asemănările claselor de evenimente duce la ipoteze redundante care ar putea supraîncărca modelul de sistem. Cu toate acestea, o abordare mai inteligentă pentru generarea de ipoteze nu este posibilă fără cunoștințe despre relații sau o ierarhie între clasele de evenimente. Având în vedere o ierarhie a claselor de evenimente, ar trebui dezvoltat un algoritm îmbunătățit pentru generarea de ipoteze. O abordare ar fi un algoritm care generează toate regulile posibile într-un sub-arbore limitat de clase de evenimente similare și permite doar ipotezei celei mai semnificative sau mai stabile să devină o regulă[1].

Strategii de detectare

Utilizarea celor mai bune practici/contramăsuri acceptate pe scară largă, ar reduce impactul unui malware utilizat în APT. Din păcate, se pare că, chiar și în infrastructurile critice, a fost aplicat doar un mic subset de astfel de mecanisme de protecție. Pe baza faptului că soluțiile tradiționale de securitate nu au reușit în mod repetat să abordeze problema APT și organizațiile sunt reticente în a adopta soluții/contramăsuri de întreținere ridicată, trebuie să se caute soluții mai robuste și mai transparente. O bază de calcul de încredere poate fi un instrument util în abordarea acestei probleme multidimensionale[2].

Detectarea anomaliilor: O strategie cheie în detectarea APT-urilor implică identificarea comportamentului anormal în cadrul rețelei. Acest lucru poate fi realizat prin utilizarea sistemelor de detectare a intruziunilor în rețea (NIDS), a a sistemelor de prevenire a intruziunilor în rețea (NIPS) și a instrumentelor SIEM (Security Information and Event Management). Prin monitorizarea și analiza traficului de rețea, a jurnalelor de sistem și a activității utilizatorilor pentru modele suspecte, anomaliile care indică activitatea APT, cum ar fi modele neobișnuite de acces la date sau modificări neautorizate ale sistemului, pot fi semnalate pentru investigații suplimentare.

Monitorizarea tradițională a rețelei este dificil de tratat sistematic cu atacurile APT împotriva impredictibilității sale unice, a ascunderii profunde și a nocivității grave. Pentru a depăși această provocare, se impun noi concepte pentru a descrie modelele de comportament ale rețelei, profitând de cele mai recente progrese din domeniile analizei inverse a protocolului, cloud computing și prelucrarea big data, cu analiza și extragerea automată și procesarea în timp real, formând cadre noi de detectare pentru APT[3].

Informații despre amenințări: Valorificarea fluxurilor și platformelor de informații despre amenințări poate oferi informații valoroase asupra tacticilor, tehnicilor și indicatorilor de compromis (IOC) cunoscute APT, și înțelegerea tacticilor, tehnicilor și procedurilor (TTP) ale atacatorilor. Prin actualizarea continuă a apărării cu cele mai recente date de informații despre amenințări, partajarea informațiilor cu colegii din industrie și participarea la forumuri de securitate cibernetică, organizațiile pot detecta și atenua mai bine activitatea APT înainte ca aceasta să provoace daune semnificative.

Analiza comportamentală: APT folosesc adesea tehnici de evaziune sofisticate pentru a ocoli măsurile tradiționale de securitate. Tehnicile de analiză comportamentală se folosesc pentru a detecta anomalii în comportamentul utilizatorului sau al sistemului care se abat de la normă. Implementarea instrumentelor de analiză a comportamentului utilizatorilor și entităților (UEBA) valorifică învățarea automată pentru a identifica modele neobișnuite de comportament. Ele includ sandbox-ul și detectarea anomaliilor bazată pe învățarea automată, cu ajutorul cărora se pot evita metodele de detectare bazate pe semnături.

Endpoint Detection and Response (EDR): Soluțiile de securitate endpoint joacă un rol crucial în detectarea și răspunsul la APT care vizează dispozitive individuale dintr-o rețea, prin monitorizarea și răspunsul la amenințările la punctele finale (de exemplu, laptopuri, desktop-uri). Soluțiile EDR oferă vizibilitate în timp real asupra activității punctului final și capabilități de răspuns automat, permițând detectarea rapidă a comportamentului suspect și răspunsul în timp util pentru a atenua potențialele amenințări.

Alte strategii de detectare a APT:

Managementul jurnalelor și SIEM: Pentru agregarea, corelarea și analiza datelor de jurnal din diverse surse pentru semne de activitate rău intenționată, prin utilizarea sistemelor SIEM (Security Information and Event Management) pentru a colecta jurnalele de pe toate dispozitivele și aplicațiile, oferind o vedere holistică a securității organizației. postură.

Sandboxing: Analiza fișierelor și URL-urilor suspecte într-un mediu sigur, prin care se execută cod suspect într-un mediu izolat pentru a observa comportamentul acestuia fără a risca rețeaua principală.

Securitate e-mail: Pentru a detecta tentativele de phishing și spear-phishing adesea utilizate în campaniile APT, prin implementarea de soluții avansate de securitate a e-mailului care includ detectarea phishing-ului, sandbox-ul de atașamente și analiza legăturilor pentru conținut rău intenționat.

Managementul vulnerabilităților: Pentru a preveni atacatorii să exploateze vulnerabilități cunoscute ca puncte de intrare, prin scanare regulată a sistemelor și aplicațiilor pentru a detecta vulnerabilități, urmată de corecție în timp util sau măsuri de atenuare.

Planificarea răspunsului la incident: Pentru a răspunde eficient amenințărilor detectate, prin dezvoltarea unui plan de răspuns la incident care include proceduri de izolare, eradicare, recuperare și lecții învățate.

Educație și conștientizare: Pentru a se asigura că toți angajații sunt conștienți de riscurile APT-urilor și cum să le prevină. Se realizează prin sesiuni regulate de instruire, simulări de phishing și actualizări cu privire la cele mai recente informații despre amenințări.

Învățarea automată

Deoarece natura atacului APT este prezența permanentă și persistentă în sistemul victimei, detectarea timpurie a acestui atac necesită o precizie ridicată și un FPR minim în primele etape. Modelul de învățare profundă este una din cele mai bune soluții în ceea ce privește acuratețea în detectarea atacurilor APT pe seturi de date. Învățarea profundă poate fi considerată cel mai înalt și cel mai bun sistem în majoritatea domeniilor de detectare a securității rețelei. Ideal ar fi o combinație de metode de învățare automată și de învățare profundă implementate pe seturi de date și pe fluxul de trafic din rețea. În plus, pot fi utilizate metode de învățare profundă supravegheată și nesupravegheată, cum ar fi rețelele neuronale recurente și, respectiv, rețelele neuronale cu codificare automată[4].

Majoritatea soluțiilor actuale de detectare APT evaluează metodologiile propuse folosind modele de învățare automată care implică de obicei trei componente majore: colectarea datelor, extragerea caracteristicilor și testarea. Colectarea datelor poate fi dintr-un scenariu de rețea reală sau fabricată virtual (model sintetic). Scenariul real al rețelei are avantaje, cum ar fi baza de testare realistă; cu toate acestea, are dezavantaje, cum ar fi scalabilitatea slabă în ceea ce privește inputul utilizatorului, scenarii variate, probleme de confidențialitate și este necesar un atac la propriul sistem. Utilizarea unui model sintetic pentru crearea datelor permite controlul total asupra cantității de date adunate și asupra modului în care este configurată rețeaua.

A doua componentă importantă este selecția caracteristicilor, care este un aspect major care afectează rezultatele atunci când folosiți învățarea automată pentru a rezolva o problemă. De obicei, datele culese sunt date brute și nu pot fi utilizate direct pentru evaluarea modelelor de învățare automată. Prin urmare, este necesar să se pre-proceseze datele brute și apoi să se selecteze caracteristicile necesare. Nu este necesar ca funcțiile selectate dintr-o soluție de detectare APT să fie utilizate într-o altă soluție. De obicei, formalizarea problemei are o influență asupra acestei sarcini și determină ce caracteristici pot fi selectate. O caracteristică este informațiile asociate cu o caracteristică și/sau un comportament al obiectului, unde caracteristica poate fi statică (de exemplu, derivată din metadatele asociate cu obiectul) și/sau dinamică (de exemplu, bazată pe acțiunile efectuate de obiect după procesarea virtuală a obiectului)[5].

Provocări în detectarea APT

Tehnici de evaziune: Actorii APT își dezvoltă continuu tacticile pentru a evita detectarea, ceea ce crește dificultatea pentru instrumentele de securitate ca să țină pasul. Tehnici precum programele malware polimorfe, criptarea și măsurile nelegitime ridică provocări semnificative pentru metodele tradiționale de detectare.

Volumul de date: Volumul mare de date generate în cadrul rețelelor moderne poate copleși echipele de securitate, ceea ce face dificilă distingerea amenințărilor reale de zgomot. Detectarea eficientă a APT necesită capabilități solide de agregare, corelare și analiză a datelor pentru a identifica evenimentele relevante de securitate în mijlocul zgomotului.

Pozitivele false: Mecanismele de detectare prea sensibile pot duce la un număr mare de rezultate pozitive false, în care activitățile legitime sunt semnalate incorect ca rău intenționate. Acest lucru poate solicita resursele și distrage atenția de la amenințările reale, subliniind importanța reglajului fin al algoritmilor de detectare pentru a minimiza falsele pozitive.

Amenințări interne: APT exploatează adesea privilegiile din interior sau compromit conturile de utilizator legitime pentru a obține acces la sisteme și date sensibile. Detectarea amenințărilor din interior necesită o combinație de analiză comportamentală, monitorizare a utilizatorilor și controale de acces pentru a identifica comportamentul anormal care indică utilizarea abuzivă sau compromisul din interior.

Conform lui Alshamrani et al. [6], unul dintre cele mai critice aspecte pentru a asigura eficacitatea soluțiilor de detectare a atacurilor APT este evaluarea. Deoarece atacurile APT pot fi destul de complexe și adânc îngropate în traficul obișnuit de rețea, este destul de dificil de testat și evaluat cuprinzător astfel de sisteme în timpul dezvoltării pentru a le îmbunătăți eficacitatea față de noi metode/vectori de atac prin îmbunătățiri algoritmice continue și înainte de implementare pentru a ajusta configurațiile și a le adapta la anumite medii, de exemplu, pentru a îndeplini criteriile de performanță. Evaluarea metodologiilor de detectare a atacurilor APT nu are seturi de date din scenarii realiste de atac, iar o evaluare și o comparație ușoară a performanței este mult mai dificilă decât în alte domenii informatice.

Studii academice

Ghafir et al.[7] evidențiază câteva lucrări conexe despre detectarea APT:

Balduzzi, Ciangaglini, și McArdle[8]: SPuNge, un detector APT bazat pe gazdă care monitorizează traficul fiecărei gazde din rețea și analizează adresele URL rău intenționate. Conexiunile rău intenționate pot fi stabilite de gazde printr-un browser de internet sau printr-un program malware instalat pe mașina compromisă. Apoi, toate aparatele care afișează activități similare sunt grupate și considerate ca parte a unei campanii APT.

Sigholm și Bang[9]: utilizează algoritmul Data Leakage Prevention (DLP) pentru a detecta exfiltrarea datelor. Metodologia propusă folosește un algoritm DLP pentru a monitoriza traficul de rețea și analizează datele transferate sau consultă conexiunile pentru a detecta orice scurgere de date. Apoi, amprentele digitale sunt produse pe baza atributelor informațiilor scurse. Folosește senzori externi de contrainformații cibernetice (CCI) pentru a urmări locația sau calea datelor scurse.

Brogi și Tong[10] TerminAPtor urmărește fluxul de informații pentru a corela alertele generate în cadrul campaniei APT, pe baza asemănării atributelor alertelor care pot fi generate de un alt IDS precum Snort.

Wang et al.[11]: descriu un detector APT bazat pe detectarea domeniului de comandă și control (C&C), propunând o nouă funcție numită Acces independent. Metodologia analizează înregistrările DNS și aplică algoritmul de clasificare RIPPER pentru a clasifica domeniile în domenii C&C și legale.

Nissim et al.[12]: folosește învățarea activă pentru a detecta fișiere PDF rău intenționate, analizând conexiunile de rețea, folosind liste albe, sisteme de reputație și depozit de semnături antivirus.

handra Jadala, Narasimham, și Pasupuleti[13]: prezintă o metodologie pentru detectarea tehnicii de spear phishing folosită pentru a introduce punctul de intrare (PoE) în sistemul vizat într-un APT. Se bazează pe analize matematice și computaționale pentru a detecta e-mailurile spam.

Brogi și Bernardino [14]: se concentrează pe tehnicile bazate pe HMM pentru a clasifica scenariile APT care sunt reconstruite de alte instrumente de corelare a alertelor.

Shin et al.[15]: o abordare probabilistică pentru a prezice o intruziune în rețea folosind un lanț Markov pentru a modela evenimentele din rețea.

Kholidy et al.[16]: utilizează un HMM pentru a propune o abordare adaptivă a riscului pentru predicția MSA în sisteme cloud.

Concluzie

Detectarea amenințărilor persistente avansate reprezintă o provocare formidabilă pentru organizațiile de pe tot globul. Prin adoptarea unei abordări pe mai multe straturi care combină tehnologii avansate de detectare, informații despre amenințări și expertiză umană, organizațiile își pot îmbunătăți capacitatea de a detecta și de a răspunde eficient la APT. Cu toate acestea, abordarea naturii în evoluție a APT necesită inovare și colaborare continuă în cadrul comunității de securitate cibernetică pentru a face față amenințărilor emergente și a proteja împotriva riscurilor potențiale.

Detectarea APT nu înseamnă doar a avea instrumentele potrivite; este, de asemenea, despre a avea profesioniști calificați care pot interpreta datele furnizate de aceste instrumente, pot înțelege contextul și pot lua decizii informate cu privire la amenințări. Monitorizarea continuă, actualizările regulate ale mecanismelor de apărare și o poziție de securitate proactivă sunt esențiale în lupta împotriva APT-urilor.

Bibliografie

  • Alshamrani, Adel, Sowmya Myneni, Ankur Chowdhary, și Dijiang Huang. 2019. „A Survey on Advanced Persistent Threats: Techniques, Solutions, Challenges, and Research Opportunities”. IEEE Communications Surveys & Tutorials 21 (2): 1851–77. https://doi.org/10.1109/COMST.2019.2891891.
  • Balduzzi, Marco, Vincenzo Ciangaglini, și Robert McArdle. 2013. Targeted attacks detection with SPuNge. https://doi.org/10.1109/PST.2013.6596053.
  • Brogi, Guillaume, și Elena Di Bernardino. 2019. „Hidden Markov models for advanced persistent threats”. International Journal of Security and Networks 14 (4): 181. https://doi.org/10.1504/IJSN.2019.103147.
  • Brogi, Guillaume, și Valerie Viet Triem Tong. 2016. „TerminAPTor: Highlighting Advanced Persistent Threats through Information Flow Tracking”. 2016 8th IFIP International Conference on New Technologies, Mobility and Security (NTMS), noiembrie, 1–5. https://doi.org/10.1109/NTMS.2016.7792480.
  • Chandra Jadala, Dr, Challa Narasimham, și Sai Kiran Pasupuleti. 2020. „Detection of Deceptive Phishing Based on Machine Learning Techniques”. În , 13–22. https://doi.org/10.1007/978-981-15-2407-3_2.
  • Friedberg, Ivo, Florian Skopik, Giuseppe Settanni, și Roman Fiedler. 2015. „Combating advanced persistent threats: From network event correlation to incident detection”. Computers & Security 48 (februarie): 35–57. https://doi.org/10.1016/j.cose.2014.09.006.
  • Ghafir, Ibrahim, Konstantinos G. Kyriakopoulos, Sangarapillai Lambotharan, Francisco J. Aparicio-Navarro, Basil Assadhan, Hamad Binsalleeh, și Diab M. Diab. 2019. „Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats”. IEEE Access 7: 99508–20. https://doi.org/10.1109/ACCESS.2019.2930200.
  • Hassannataj Joloudari, Javad, Mojtaba Haderbadi, Amir Mashmool, Mohammad Ghasemigol, Shahab Shamshirband, și Amir Mosavi. 2020. „Early Detection of the Advanced Persistent Threat Attack Using Performance Analysis of Deep Learning”. IEEE Access 8 (octombrie). https://doi.org/10.1109/ACCESS.2020.3029202.
  • Kholidy, Hisham A., Abdelkarim Erradi, Sherif Abdelwahed, și Abdulrahman Azab. 2014. „A Finite State Hidden Markov Model for Predicting Multistage Attacks in Cloud Systems”. 2014 IEEE 12th International Conference on Dependable, Autonomic and Secure Computing, august, 14–19. https://doi.org/10.1109/DASC.2014.12.
  • Nissim, Nir, Aviad Cohen, Chanan Glezer, și Yuval Elovici. 2015. „Detection of Malicious PDF Files and Directions for Enhancements: A State-of-the Art Survey”. Computers & Security 48 (februarie): 246–66. https://doi.org/10.1016/j.cose.2014.10.014.
  • Shin, Seongjun, Seungmin Lee, Hyunwoo Kim, și Sehun Kim. 2013. „Advanced probabilistic approach for network intrusion forecasting and detection”. Expert Systems with Applications 40 (ianuarie): 315–22. https://doi.org/10.1016/j.eswa.2012.07.057.
  • Sigholm, Johan, și Martin Bang. 2013. Towards Offensive Cyber Counterintelligence: Adopting a Target-Centric View on Advanced Persistent Threats. https://doi.org/10.1109/EISIC.2013.37.
  • Virvilis, Nikos, Dimitris Gritzalis, și Theodoros Apostolopoulos. 2013. „Trusted Computing vs. Advanced Persistent Threats: Can a Defender Win This Game?” În 2013 IEEE 10th International Conference on Ubiquitous Intelligence and Computing and 2013 IEEE 10th International Conference on Autonomic and Trusted Computing, 396–403. https://doi.org/10.1109/UIC-ATC.2013.80.
  • Wang, Xu, Kangfeng Zheng, Xinxin Niu, Bin Wu, și Chunhua Wu. 2016. „Detection of command and control in advanced persistent threat based on independent access”. În 2016 IEEE International Conference on Communications (ICC), 1–6. https://doi.org/10.1109/ICC.2016.7511197.
  • Wang, Yuan, Yongjun Wang, Jing Liu, și Zhijian Huang. 2014. „A Network Gene-Based Framework for Detecting Advanced Persistent Threats”. În 2014 Ninth International Conference on P2P, Parallel, Grid, Cloud and Internet Computing, 97–102. https://doi.org/10.1109/3PGCIC.2014.41.

Note

[1] (Friedberg et al. 2015)

[2] (Virvilis, Gritzalis, și Apostolopoulos 2013)

[3] (Y. Wang et al. 2014)

[4] (Hassannataj Joloudari et al. 2020)

[5] (Alshamrani et al. 2019)

[6] (Alshamrani et al. 2019)

[7] (Ghafir et al. 2019)

[8] (Balduzzi, Ciangaglini, și McArdle 2013)

[9] (Sigholm și Bang 2013)

[10] (Brogi și Tong 2016)

[11] (X. Wang et al. 2016)

[12] (Nissim et al. 2015)

[13] (Chandra Jadala, Narasimham, și Pasupuleti 2020)

[14] (Brogi și Bernardino 2019)

[15] (Shin et al. 2013)

[16] (Kholidy et al. 2014)

 

CC BY SA 4.0Articol cu Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).

A apărut revista IT & C, Volumul 3, Numărul 1, Martie 2024

postat în: Știri 0

Revista IT & C, Volumul 3, Numărul 1, Martie 2024Revista IT & C este o publicație trimestrială din domeniile tehnologiei informației și comunicații, și domenii conexe de studiu și practică.

Cuprins:

EDITORIAL / EDITORIAL

Challenges and Limitations in the Use of Artificial Intelligence
Provocări și limitări în utilizarea inteligenței artificiale

TEHNOLOGIA INFORMAȚIEI / INFORMATION TECHNOLOGY

Impact of Big Data Technology on Contemporary Society
Impactul tehnologiei Big Data asupra societății contemporane

Methods, Techniques and Patterns of Advanced Persistent Threats – APT Lifecycle
Metode, tehnici și modele ale amenințărilor persistente avansate – Ciclul de viață al APT

TELECOMUNICAȚII / TELECOMMUNICATIONS

The Revolutionary Role of Blockchain Technology in Communication
Rolul revoluționar al tehnologiei blockchain în comunicare

PROGRAMARE / PROGRAMMING

AI Algorithms Used in National Security
Algoritmi IA utilizați în securitatea națională

SECURITATE CIBERNETICĂ / CYBER SECURITY

Cyber Security and Cyber Warfare
Securitatea cibernetică și războiul cibernetic

Advanced Persistent Threats in Cyber Security
Amenințările Persistente Avansate în securitatea cibernetică

ISSN 2821-8469 ISSN-L 2821-8469, DOI: 10.58679/IT15115

IT & C (PDF, EPUB, MOBI pentru Kindle) https://www.internetmobile.ro/revista/revista-it-c-volumul-3-numarul-1-martie-2024/

1 2 3 4 25