Sfetcu, Nicolae (2024), Detectarea amenințărilor persistente avansate în războiul cibernetic – Studii academice, IT & C, 3:2, 22-31, DOI: 10.58679/IT78363, https://www.internetmobile.ro/detectarea-amenintarilor-persistente-avansate-in-razboiul-cibernetic-studii-academice/
Detecting Advanced Persistent Threats in Cyber Warfare – Academic Studies
Abstract
In the ever-evolving landscape of cybersecurity, advanced persistent threats pose a formidable challenge. Detecting advanced persistent threats is a complex and ongoing challenge for organizations and cybersecurity professionals, requiring a multi-layered strategy incorporating various tools, techniques, and approaches. This essay explores the methods and challenges involved in detecting APTs.
Keywords: advanced persistent threats, APT, anomaly detection, behavioral analysis, sandbox, machine learning, cyber warfare, academic studies
Rezumat
În peisajul în continuă evoluție al securității cibernetice, amenințările persistente avansate reprezintă o provocare formidabilă. Detectarea amenințărilor persistente avansate este o provocare complexă și continuă pentru organizații și profesioniștii în securitate cibernetică, necesitând o strategie cu mai multe straturi care încorporează diverse instrumente, tehnici și abordări. Acest eseu explorează metodele și provocările implicate în detectarea APT-urilor.
Cuvinte cheie: amenințările persistente avansate, APT, detectarea anomaliilor, analiza comportamentală, sandbox, învățarea automată, războiul cibernetic, studii academice
IT & C, Volumul 3, Numărul 2, Iunie 2024, pp. 22-31
ISSN 2821 – 8469, ISSN – L 2821 – 8469, DOI: 10.58679/IT78363
URL: https://www.internetmobile.ro/detectarea-amenintarilor-persistente-avansate-in-razboiul-cibernetic-studii-academice/
© 2024 Nicolae Sfetcu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.
Detectarea amenințărilor persistente avansate în războiul cibernetic – Studii academice
Ing. fiz. Nicolae SFETCU[1], MPhil
nicolae@sfetcu.com
[1] Cercetător – Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973
Introducere
În peisajul în continuă evoluție al securității cibernetice, amenințările persistente avansate (Advanced Persistent Threats – APT) reprezintă o provocare formidabilă. APT sunt amenințări cibernetice sofisticate, pe termen lung, ascunse și adesea sponsorizate de stat, care vizează furtul de informații sau compromiterea sistemelor pe o perioadă lungă, mai degrabă decât să provoace un prejudiciu imediat. Ele sunt orchestrate de adversari cu înaltă calificare, adesea cu resurse și motivații semnificative, de la spionaj la câștiguri financiare sau sabotaj.
Detectarea amenințărilor persistente avansate (APT) este o provocare complexă și continuă pentru organizații și profesioniștii în securitate cibernetică. Detectarea necesită o strategie cu mai multe straturi care încorporează diverse instrumente, tehnici și abordări.
Iată o prezentare generală a componentelor cheie implicate în detectarea APT-urilor:
Înțelegerea amenințărilor persistente avansate
Amenințările persistente avansate sunt caracterizate prin ascundere, persistență și adaptabilitate. Spre deosebire de atacurile cibernetice tipice, care urmăresc exploatarea imediată și exfiltrarea rapidă a datelor, APT funcționează discret, pe perioade lungi, rămânând adesea nedetectate luni sau chiar ani într-o rețea țintă. Aceste amenințări folosesc diverse tactici, cum ar fi exploit-uri zero-day, inginerie socială și amenințări interne pentru a obține accesul inițial și a stabili un punct de sprijin în infrastructura vizată.
În rețelele complexe, este posibil ca o anomalie care se repetă să nu fie detectată printr-o singură regulă. Numai prin combinarea mai multor reguli în model, abordarea poate detecta în mod fiabil anomalia evaluată. Deși acest comportament este suficient pentru a detecta majoritatea anomaliilor, provoacă o sarcină mare de lucru pentru administrator atunci când efectuează o analiză a cauzei principale. Este nevoie de o abordare mai inteligentă pentru generarea de clase de evenimente. Lipsa de informații despre asemănările claselor de evenimente duce la ipoteze redundante care ar putea supraîncărca modelul de sistem. Cu toate acestea, o abordare mai inteligentă pentru generarea de ipoteze nu este posibilă fără cunoștințe despre relații sau o ierarhie între clasele de evenimente. Având în vedere o ierarhie a claselor de evenimente, ar trebui dezvoltat un algoritm îmbunătățit pentru generarea de ipoteze. O abordare ar fi un algoritm care generează toate regulile posibile într-un sub-arbore limitat de clase de evenimente similare și permite doar ipotezei celei mai semnificative sau mai stabile să devină o regulă[1].
Strategii de detectare
Utilizarea celor mai bune practici/contramăsuri acceptate pe scară largă, ar reduce impactul unui malware utilizat în APT. Din păcate, se pare că, chiar și în infrastructurile critice, a fost aplicat doar un mic subset de astfel de mecanisme de protecție. Pe baza faptului că soluțiile tradiționale de securitate nu au reușit în mod repetat să abordeze problema APT și organizațiile sunt reticente în a adopta soluții/contramăsuri de întreținere ridicată, trebuie să se caute soluții mai robuste și mai transparente. O bază de calcul de încredere poate fi un instrument util în abordarea acestei probleme multidimensionale[2].
Detectarea anomaliilor: O strategie cheie în detectarea APT-urilor implică identificarea comportamentului anormal în cadrul rețelei. Acest lucru poate fi realizat prin utilizarea sistemelor de detectare a intruziunilor în rețea (NIDS), a a sistemelor de prevenire a intruziunilor în rețea (NIPS) și a instrumentelor SIEM (Security Information and Event Management). Prin monitorizarea și analiza traficului de rețea, a jurnalelor de sistem și a activității utilizatorilor pentru modele suspecte, anomaliile care indică activitatea APT, cum ar fi modele neobișnuite de acces la date sau modificări neautorizate ale sistemului, pot fi semnalate pentru investigații suplimentare.
Monitorizarea tradițională a rețelei este dificil de tratat sistematic cu atacurile APT împotriva impredictibilității sale unice, a ascunderii profunde și a nocivității grave. Pentru a depăși această provocare, se impun noi concepte pentru a descrie modelele de comportament ale rețelei, profitând de cele mai recente progrese din domeniile analizei inverse a protocolului, cloud computing și prelucrarea big data, cu analiza și extragerea automată și procesarea în timp real, formând cadre noi de detectare pentru APT[3].
Informații despre amenințări: Valorificarea fluxurilor și platformelor de informații despre amenințări poate oferi informații valoroase asupra tacticilor, tehnicilor și indicatorilor de compromis (IOC) cunoscute APT, și înțelegerea tacticilor, tehnicilor și procedurilor (TTP) ale atacatorilor. Prin actualizarea continuă a apărării cu cele mai recente date de informații despre amenințări, partajarea informațiilor cu colegii din industrie și participarea la forumuri de securitate cibernetică, organizațiile pot detecta și atenua mai bine activitatea APT înainte ca aceasta să provoace daune semnificative.
Analiza comportamentală: APT folosesc adesea tehnici de evaziune sofisticate pentru a ocoli măsurile tradiționale de securitate. Tehnicile de analiză comportamentală se folosesc pentru a detecta anomalii în comportamentul utilizatorului sau al sistemului care se abat de la normă. Implementarea instrumentelor de analiză a comportamentului utilizatorilor și entităților (UEBA) valorifică învățarea automată pentru a identifica modele neobișnuite de comportament. Ele includ sandbox-ul și detectarea anomaliilor bazată pe învățarea automată, cu ajutorul cărora se pot evita metodele de detectare bazate pe semnături.
Endpoint Detection and Response (EDR): Soluțiile de securitate endpoint joacă un rol crucial în detectarea și răspunsul la APT care vizează dispozitive individuale dintr-o rețea, prin monitorizarea și răspunsul la amenințările la punctele finale (de exemplu, laptopuri, desktop-uri). Soluțiile EDR oferă vizibilitate în timp real asupra activității punctului final și capabilități de răspuns automat, permițând detectarea rapidă a comportamentului suspect și răspunsul în timp util pentru a atenua potențialele amenințări.
Alte strategii de detectare a APT:
Managementul jurnalelor și SIEM: Pentru agregarea, corelarea și analiza datelor de jurnal din diverse surse pentru semne de activitate rău intenționată, prin utilizarea sistemelor SIEM (Security Information and Event Management) pentru a colecta jurnalele de pe toate dispozitivele și aplicațiile, oferind o vedere holistică a securității organizației. postură.
Sandboxing: Analiza fișierelor și URL-urilor suspecte într-un mediu sigur, prin care se execută cod suspect într-un mediu izolat pentru a observa comportamentul acestuia fără a risca rețeaua principală.
Securitate e-mail: Pentru a detecta tentativele de phishing și spear-phishing adesea utilizate în campaniile APT, prin implementarea de soluții avansate de securitate a e-mailului care includ detectarea phishing-ului, sandbox-ul de atașamente și analiza legăturilor pentru conținut rău intenționat.
Managementul vulnerabilităților: Pentru a preveni atacatorii să exploateze vulnerabilități cunoscute ca puncte de intrare, prin scanare regulată a sistemelor și aplicațiilor pentru a detecta vulnerabilități, urmată de corecție în timp util sau măsuri de atenuare.
Planificarea răspunsului la incident: Pentru a răspunde eficient amenințărilor detectate, prin dezvoltarea unui plan de răspuns la incident care include proceduri de izolare, eradicare, recuperare și lecții învățate.
Educație și conștientizare: Pentru a se asigura că toți angajații sunt conștienți de riscurile APT-urilor și cum să le prevină. Se realizează prin sesiuni regulate de instruire, simulări de phishing și actualizări cu privire la cele mai recente informații despre amenințări.
Învățarea automată
Deoarece natura atacului APT este prezența permanentă și persistentă în sistemul victimei, detectarea timpurie a acestui atac necesită o precizie ridicată și un FPR minim în primele etape. Modelul de învățare profundă este una din cele mai bune soluții în ceea ce privește acuratețea în detectarea atacurilor APT pe seturi de date. Învățarea profundă poate fi considerată cel mai înalt și cel mai bun sistem în majoritatea domeniilor de detectare a securității rețelei. Ideal ar fi o combinație de metode de învățare automată și de învățare profundă implementate pe seturi de date și pe fluxul de trafic din rețea. În plus, pot fi utilizate metode de învățare profundă supravegheată și nesupravegheată, cum ar fi rețelele neuronale recurente și, respectiv, rețelele neuronale cu codificare automată[4].
Majoritatea soluțiilor actuale de detectare APT evaluează metodologiile propuse folosind modele de învățare automată care implică de obicei trei componente majore: colectarea datelor, extragerea caracteristicilor și testarea. Colectarea datelor poate fi dintr-un scenariu de rețea reală sau fabricată virtual (model sintetic). Scenariul real al rețelei are avantaje, cum ar fi baza de testare realistă; cu toate acestea, are dezavantaje, cum ar fi scalabilitatea slabă în ceea ce privește inputul utilizatorului, scenarii variate, probleme de confidențialitate și este necesar un atac la propriul sistem. Utilizarea unui model sintetic pentru crearea datelor permite controlul total asupra cantității de date adunate și asupra modului în care este configurată rețeaua.
A doua componentă importantă este selecția caracteristicilor, care este un aspect major care afectează rezultatele atunci când folosiți învățarea automată pentru a rezolva o problemă. De obicei, datele culese sunt date brute și nu pot fi utilizate direct pentru evaluarea modelelor de învățare automată. Prin urmare, este necesar să se pre-proceseze datele brute și apoi să se selecteze caracteristicile necesare. Nu este necesar ca funcțiile selectate dintr-o soluție de detectare APT să fie utilizate într-o altă soluție. De obicei, formalizarea problemei are o influență asupra acestei sarcini și determină ce caracteristici pot fi selectate. O caracteristică este informațiile asociate cu o caracteristică și/sau un comportament al obiectului, unde caracteristica poate fi statică (de exemplu, derivată din metadatele asociate cu obiectul) și/sau dinamică (de exemplu, bazată pe acțiunile efectuate de obiect după procesarea virtuală a obiectului)[5].
Provocări în detectarea APT
Tehnici de evaziune: Actorii APT își dezvoltă continuu tacticile pentru a evita detectarea, ceea ce crește dificultatea pentru instrumentele de securitate ca să țină pasul. Tehnici precum programele malware polimorfe, criptarea și măsurile nelegitime ridică provocări semnificative pentru metodele tradiționale de detectare.
Volumul de date: Volumul mare de date generate în cadrul rețelelor moderne poate copleși echipele de securitate, ceea ce face dificilă distingerea amenințărilor reale de zgomot. Detectarea eficientă a APT necesită capabilități solide de agregare, corelare și analiză a datelor pentru a identifica evenimentele relevante de securitate în mijlocul zgomotului.
Pozitivele false: Mecanismele de detectare prea sensibile pot duce la un număr mare de rezultate pozitive false, în care activitățile legitime sunt semnalate incorect ca rău intenționate. Acest lucru poate solicita resursele și distrage atenția de la amenințările reale, subliniind importanța reglajului fin al algoritmilor de detectare pentru a minimiza falsele pozitive.
Amenințări interne: APT exploatează adesea privilegiile din interior sau compromit conturile de utilizator legitime pentru a obține acces la sisteme și date sensibile. Detectarea amenințărilor din interior necesită o combinație de analiză comportamentală, monitorizare a utilizatorilor și controale de acces pentru a identifica comportamentul anormal care indică utilizarea abuzivă sau compromisul din interior.
Conform lui Alshamrani et al. [6], unul dintre cele mai critice aspecte pentru a asigura eficacitatea soluțiilor de detectare a atacurilor APT este evaluarea. Deoarece atacurile APT pot fi destul de complexe și adânc îngropate în traficul obișnuit de rețea, este destul de dificil de testat și evaluat cuprinzător astfel de sisteme în timpul dezvoltării pentru a le îmbunătăți eficacitatea față de noi metode/vectori de atac prin îmbunătățiri algoritmice continue și înainte de implementare pentru a ajusta configurațiile și a le adapta la anumite medii, de exemplu, pentru a îndeplini criteriile de performanță. Evaluarea metodologiilor de detectare a atacurilor APT nu are seturi de date din scenarii realiste de atac, iar o evaluare și o comparație ușoară a performanței este mult mai dificilă decât în alte domenii informatice.
Studii academice
Ghafir et al.[7] evidențiază câteva lucrări conexe despre detectarea APT:
Balduzzi, Ciangaglini, și McArdle[8]: SPuNge, un detector APT bazat pe gazdă care monitorizează traficul fiecărei gazde din rețea și analizează adresele URL rău intenționate. Conexiunile rău intenționate pot fi stabilite de gazde printr-un browser de internet sau printr-un program malware instalat pe mașina compromisă. Apoi, toate aparatele care afișează activități similare sunt grupate și considerate ca parte a unei campanii APT.
Sigholm și Bang[9]: utilizează algoritmul Data Leakage Prevention (DLP) pentru a detecta exfiltrarea datelor. Metodologia propusă folosește un algoritm DLP pentru a monitoriza traficul de rețea și analizează datele transferate sau consultă conexiunile pentru a detecta orice scurgere de date. Apoi, amprentele digitale sunt produse pe baza atributelor informațiilor scurse. Folosește senzori externi de contrainformații cibernetice (CCI) pentru a urmări locația sau calea datelor scurse.
Brogi și Tong[10] TerminAPtor urmărește fluxul de informații pentru a corela alertele generate în cadrul campaniei APT, pe baza asemănării atributelor alertelor care pot fi generate de un alt IDS precum Snort.
Wang et al.[11]: descriu un detector APT bazat pe detectarea domeniului de comandă și control (C&C), propunând o nouă funcție numită Acces independent. Metodologia analizează înregistrările DNS și aplică algoritmul de clasificare RIPPER pentru a clasifica domeniile în domenii C&C și legale.
Nissim et al.[12]: folosește învățarea activă pentru a detecta fișiere PDF rău intenționate, analizând conexiunile de rețea, folosind liste albe, sisteme de reputație și depozit de semnături antivirus.
handra Jadala, Narasimham, și Pasupuleti[13]: prezintă o metodologie pentru detectarea tehnicii de spear phishing folosită pentru a introduce punctul de intrare (PoE) în sistemul vizat într-un APT. Se bazează pe analize matematice și computaționale pentru a detecta e-mailurile spam.
Brogi și Bernardino [14]: se concentrează pe tehnicile bazate pe HMM pentru a clasifica scenariile APT care sunt reconstruite de alte instrumente de corelare a alertelor.
Shin et al.[15]: o abordare probabilistică pentru a prezice o intruziune în rețea folosind un lanț Markov pentru a modela evenimentele din rețea.
Kholidy et al.[16]: utilizează un HMM pentru a propune o abordare adaptivă a riscului pentru predicția MSA în sisteme cloud.
Concluzie
Detectarea amenințărilor persistente avansate reprezintă o provocare formidabilă pentru organizațiile de pe tot globul. Prin adoptarea unei abordări pe mai multe straturi care combină tehnologii avansate de detectare, informații despre amenințări și expertiză umană, organizațiile își pot îmbunătăți capacitatea de a detecta și de a răspunde eficient la APT. Cu toate acestea, abordarea naturii în evoluție a APT necesită inovare și colaborare continuă în cadrul comunității de securitate cibernetică pentru a face față amenințărilor emergente și a proteja împotriva riscurilor potențiale.
Detectarea APT nu înseamnă doar a avea instrumentele potrivite; este, de asemenea, despre a avea profesioniști calificați care pot interpreta datele furnizate de aceste instrumente, pot înțelege contextul și pot lua decizii informate cu privire la amenințări. Monitorizarea continuă, actualizările regulate ale mecanismelor de apărare și o poziție de securitate proactivă sunt esențiale în lupta împotriva APT-urilor.
Bibliografie
- Alshamrani, Adel, Sowmya Myneni, Ankur Chowdhary, și Dijiang Huang. 2019. „A Survey on Advanced Persistent Threats: Techniques, Solutions, Challenges, and Research Opportunities”. IEEE Communications Surveys & Tutorials 21 (2): 1851–77. https://doi.org/10.1109/COMST.2019.2891891.
- Balduzzi, Marco, Vincenzo Ciangaglini, și Robert McArdle. 2013. Targeted attacks detection with SPuNge. https://doi.org/10.1109/PST.2013.6596053.
- Brogi, Guillaume, și Elena Di Bernardino. 2019. „Hidden Markov models for advanced persistent threats”. International Journal of Security and Networks 14 (4): 181. https://doi.org/10.1504/IJSN.2019.103147.
- Brogi, Guillaume, și Valerie Viet Triem Tong. 2016. „TerminAPTor: Highlighting Advanced Persistent Threats through Information Flow Tracking”. 2016 8th IFIP International Conference on New Technologies, Mobility and Security (NTMS), noiembrie, 1–5. https://doi.org/10.1109/NTMS.2016.7792480.
- Chandra Jadala, Dr, Challa Narasimham, și Sai Kiran Pasupuleti. 2020. „Detection of Deceptive Phishing Based on Machine Learning Techniques”. În , 13–22. https://doi.org/10.1007/978-981-15-2407-3_2.
- Friedberg, Ivo, Florian Skopik, Giuseppe Settanni, și Roman Fiedler. 2015. „Combating advanced persistent threats: From network event correlation to incident detection”. Computers & Security 48 (februarie): 35–57. https://doi.org/10.1016/j.cose.2014.09.006.
- Ghafir, Ibrahim, Konstantinos G. Kyriakopoulos, Sangarapillai Lambotharan, Francisco J. Aparicio-Navarro, Basil Assadhan, Hamad Binsalleeh, și Diab M. Diab. 2019. „Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats”. IEEE Access 7: 99508–20. https://doi.org/10.1109/ACCESS.2019.2930200.
- Hassannataj Joloudari, Javad, Mojtaba Haderbadi, Amir Mashmool, Mohammad Ghasemigol, Shahab Shamshirband, și Amir Mosavi. 2020. „Early Detection of the Advanced Persistent Threat Attack Using Performance Analysis of Deep Learning”. IEEE Access 8 (octombrie). https://doi.org/10.1109/ACCESS.2020.3029202.
- Kholidy, Hisham A., Abdelkarim Erradi, Sherif Abdelwahed, și Abdulrahman Azab. 2014. „A Finite State Hidden Markov Model for Predicting Multistage Attacks in Cloud Systems”. 2014 IEEE 12th International Conference on Dependable, Autonomic and Secure Computing, august, 14–19. https://doi.org/10.1109/DASC.2014.12.
- Nissim, Nir, Aviad Cohen, Chanan Glezer, și Yuval Elovici. 2015. „Detection of Malicious PDF Files and Directions for Enhancements: A State-of-the Art Survey”. Computers & Security 48 (februarie): 246–66. https://doi.org/10.1016/j.cose.2014.10.014.
- Shin, Seongjun, Seungmin Lee, Hyunwoo Kim, și Sehun Kim. 2013. „Advanced probabilistic approach for network intrusion forecasting and detection”. Expert Systems with Applications 40 (ianuarie): 315–22. https://doi.org/10.1016/j.eswa.2012.07.057.
- Sigholm, Johan, și Martin Bang. 2013. Towards Offensive Cyber Counterintelligence: Adopting a Target-Centric View on Advanced Persistent Threats. https://doi.org/10.1109/EISIC.2013.37.
- Virvilis, Nikos, Dimitris Gritzalis, și Theodoros Apostolopoulos. 2013. „Trusted Computing vs. Advanced Persistent Threats: Can a Defender Win This Game?” În 2013 IEEE 10th International Conference on Ubiquitous Intelligence and Computing and 2013 IEEE 10th International Conference on Autonomic and Trusted Computing, 396–403. https://doi.org/10.1109/UIC-ATC.2013.80.
- Wang, Xu, Kangfeng Zheng, Xinxin Niu, Bin Wu, și Chunhua Wu. 2016. „Detection of command and control in advanced persistent threat based on independent access”. În 2016 IEEE International Conference on Communications (ICC), 1–6. https://doi.org/10.1109/ICC.2016.7511197.
- Wang, Yuan, Yongjun Wang, Jing Liu, și Zhijian Huang. 2014. „A Network Gene-Based Framework for Detecting Advanced Persistent Threats”. În 2014 Ninth International Conference on P2P, Parallel, Grid, Cloud and Internet Computing, 97–102. https://doi.org/10.1109/3PGCIC.2014.41.
Note
[1] (Friedberg et al. 2015)
[2] (Virvilis, Gritzalis, și Apostolopoulos 2013)
[3] (Y. Wang et al. 2014)
[4] (Hassannataj Joloudari et al. 2020)
[5] (Alshamrani et al. 2019)
[6] (Alshamrani et al. 2019)
[7] (Ghafir et al. 2019)
[8] (Balduzzi, Ciangaglini, și McArdle 2013)
[9] (Sigholm și Bang 2013)
[10] (Brogi și Tong 2016)
[11] (X. Wang et al. 2016)
[12] (Nissim et al. 2015)
[13] (Chandra Jadala, Narasimham, și Pasupuleti 2020)
[14] (Brogi și Bernardino 2019)
[15] (Shin et al. 2013)
[16] (Kholidy et al. 2014)
Articol cu Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).
Lasă un răspuns