Explicación de ataques aptos
También conocidos como ataques de amenazas dirigidas, se refieren a ataques sostenidos y efectivos lanzados por organizaciones contra objetos específicos. Este tipo de actividad de ataque es extremadamente oculta y dirigida, y generalmente utiliza medios de infección, cadena de suministro, ingeniería social y otros medios para llevar a cabo amenazas y ataques avanzados, persistentes y efectivos.
El ataque APT es un ataque integral que combina muchos métodos de ataque comunes. Intentamos penetrar las defensas de la red combinando varios métodos de ataque, generalmente entregados a través de la web o el correo electrónico. Los mecanismos tradicionales de protección de redes no pueden proporcionar una defensa unificada.
El Instituto Nacional de Estándares y Tecnología (NIST) ha propuesto una definición autorizada de ataques APT, que ofrece los cuatro elementos de los ataques APT de la siguiente manera.
1. Atacante: Un oponente con un alto nivel de experiencia y abundantes recursos.
2. Finalidad del ataque: destruir las instalaciones clave de la organización o dificultar el normal desarrollo de las tareas.
3. Métodos de ataque: al establecer y expandir un punto de apoyo en la infraestructura objetivo, se utilizan varios métodos de ataque para obtener información.
4. Proceso de ataque: realizar ataques latentes y repetidos a largo plazo sobre el objetivo, adaptándose a las medidas de defensa del sistema de seguridad y logrando el propósito del ataque manteniendo un alto grado de interacción.
Métodos para prevenir y defenderse de los ataques de APT:
1. Utilizar inteligencia sobre amenazas: esto incluye la información más reciente sobre los operadores de APT obtenida mediante el análisis de sitios web C2 conocidos; nombres de dominio, direcciones de correo electrónico, archivos adjuntos de correo electrónico maliciosos y líneas de asunto de correo electrónico incorrectos, y enlaces y sitios web maliciosos;
La inteligencia sobre amenazas se vende comercialmente y las organizaciones industriales de ciberseguridad la disfrutan. Las empresas deben garantizar que la información sea relevante y oportuna. La inteligencia sobre amenazas se utiliza para crear una "red de viaje" que le alerta sobre la actividad en su red.
2. Establezca reglas de exportación estrictas: excepto el tráfico de red (debe pasar por el servidor proxy), bloquee todo el tráfico saliente de la empresa, bloquee todos los datos * * * sitios web compartidos y no clasificados. Evite que SSH, FTP, Telnet u otros puertos y protocolos abandonen la red. Esto interrumpe el canal de comunicación entre el malware y el host C2 y evita que datos no autorizados se filtren de la red.