منع هجمات التهديد المستمر المتقدم (APT)

منع هجمات التهديد المستمر المتقدم APT

يصل هجوم التهديد المستمر المتقدم (APT) إلى بيئة الكمبيوتر الخاصة بك ويستمر لفترة من الوقت لإحداث الضرر.

 وبمجرد الدخول، يتلاعب المهاجم عن بعد بكود التهديد للتحقيق في البيئة ثم تعريضها للخطر – على سبيل المثال، تسريب بيانات حساسة أو سرقة الملكية الفكرية. 

لا يعد تثبيت برنامج مكافحة الفيروسات حماية كافية ضد هجمات APT. تتطلب مواجهة هذا النوع من التهديدات مجموعة من العمليات والأدوات. وهنا القائمة المنسدلة:

كيف يعمل هجوم التهديد المستمر المتقدم؟

السمتان المميزتان لهجمات APT هما الثبات المذكور أعلاه، إلى جانب التخفي بمجرد الدخول.

وفي هذا السياق، فإن كلمة “الاستمرارية” لها معنيان. أولاً، يكون المهاجم مثابرًا للغاية بشأن المساس بالهدف. 

سيحاولون الدخول بأي طريقة. ثانيًا، سوف يستكشف المهاجم باستمرار لمعرفة ما إذا كان بإمكانه تقديم المزيد من التنازلات. هذا الجانب الثاني هو ما يميز APT عن الأنواع الأخرى من الهجمات السيبرانية.

ربما تتذكر عملية خرق البيانات المستهدفة رفيعة المستوى من خلال هجوم مكشطة ذاكرة الوصول العشوائي (RAM) منذ ما يقرب من عقد من الزمن. 

تمكن أحد الممثلين السيئين من الوصول إلى بيئة Target عبر بائع مخترق. بعد ذلك، تم التحقيق في التهديد ووجد طرقه في أجهزة نقطة البيع (POS) الخاصة بشركة Target (“المتقدمة”). 

لقد ظلت موجودة لمدة ثلاثة أسابيع تقريبًا (“مستمرة”)، وسرقة معلومات عن 40 مليون بطاقة ائتمان.

مراحل هجوم التهديد المستمر المتقدم

تحدث معظم هجمات التهديد المستمر المتقدمة، بما في ذلك اختراق الهدف، في ثلاث مراحل متميزة: التسلل، والنشاط الخفي المطول، والتسلل. يمكن للمؤسسات إيقاف هجوم APT في أي من هذه المراحل.

تسرب

يتطلب منع التسلل الأولي تحكمًا قويًا في الوصول. في حالة Target، انتحل المهاجم شخصية بائع صالح عن طريق سرقة بيانات اعتماد تسجيل الدخول الخاصة به إلى بوابة البائع الخاصة بـ Target. 

على الرغم من أن ممارسات مثل المصادقة متعددة العوامل تساعد في تقليل هذا النوع من المخاطر، إلا أن هناك طرقًا لا تعد ولا تحصى يمكن للمهاجم من خلالها الحصول على موطئ قدم أولي. لذلك، من الضروري إجراء جرد لأمان الشبكة والتطبيقات ونقطة النهاية.

 أين توجد نقاط الضعف لديك؟ أين تتعرض؟

نشاط خفي طويل الأمد

بمجرد الدخول، تقوم APT عادةً بإجراء نشاط خفي داخل البيئة مثل الفحص وتثبيت البرامج الضارة وما إلى ذلك. تحتاج المنظمات إلى عمليات وأدوات لاكتشاف وإيقاف الأنشطة والسلوكيات غير الطبيعية.

 يبدأ اكتشاف الحالات الشاذة بمعرفة الأنشطة “العادية” أو الأساسية.

 بمجرد أن يكون لديك خط أساس، استخدم أدوات مثل IDS (نظام كشف التسلل)، وDAM (مراقبة نشاط قاعدة البيانات)، وFIM (مراقبة سلامة الملفات)، وحلول معلومات الأمان وإدارة الأحداث (SIEM) لاكتشاف التهديد والاستجابة له.  

كما تحتاج الشركات إلى توخي الحذر بشأن مراقبة أي حركة مرور على الشبكة تصل إلى بيئتها عبر جدار الحماية ونظام IDS.

 نظرًا لأنه يمكن بدء هذا الوصول عن بُعد داخل الشركة باستخدام نقاط النهاية والبرامج الضارة المخترقة، فمن الضروري مراقبة الاتصالات الواردة والصادرة.

الترشيح

أخيرًا، عادةً ما تؤدي التهديدات المستمرة المستمرة (APT) إلى إحداث ضرر مثل سرقة البيانات السرية أو الملكية الفكرية.

 للتخفيف من مخاطر خرق البيانات، يجب على المرء أن يعرف ماذا وأين توجد البيانات الحساسة والأصول المملوكة. بمجرد معرفة ما يجب حمايته، استخدم أدوات مثل DLP (منع فقدان البيانات) وأمن نقطة النهاية لمنع التسلل.

كيفية منع هجوم APT

يتطلب تخفيف المخاطر الناجمة عن التهديدات المستمرة المستمرة (APT) أولاً فهم بيئتك (أي خط الأساس) لاكتشاف الحالات الشاذة والاستجابة لها.

 ويتطلب ذلك التخطيط (تحديد البيانات الحساسة، وعزل الموارد، وجمع خطوط الأساس، وما إلى ذلك)، والتدريب (مثل تمارين الاستجابة للحوادث)، والمراقبة المستمرة باستخدام أدوات الأمن السيبراني.

 كما يدعو إلى تطبيق أفضل الممارسات الأمنية (على سبيل المثال، الدفاع المتعمق، والفصل بين الواجبات، والامتيازات الأقل، والمزيد).

والأهم من ذلك، نظرًا لأن التهديد قد يكون موجودًا بالفعل في الداخل، تحتاج الشركات إلى تنفيذ عقلية الثقة المعدومة.

 لا تثق بالمستخدمين والخوادم والتطبيقات لمجرد أنهم “داخل” شبكة المؤسسة. تحتاج إلى إجراء التحكم في الوصول لتحديد هوية مقدم الطلب، بغض النظر عن مكان وجوده.

يتطلب تنفيذ إستراتيجية الثقة المعدومة وتخفيف مخاطر هجمات APT الدعم الكامل من مدراء تكنولوجيا المعلومات وقادة الأعمال، فضلاً عن المال والأشخاص والوقت.

أوقف هجوم APT قبل أن يبدأ

هل لديك ممارسات وأدوات قوية في هذه المجالات الخمسة؟

  • تقوية الشبكة والمضيف لتقليل تعرض الموارد للتهديدات
  • إدارة الثغرات الأمنية لتقليل نقاط الضعف الأمنية في الخدمات المكشوفة
  • جدران الحماية على مستوى الشبكة والتطبيقات لمنع وصول حركة المرور غير المرغوب فيها
  • تحكم قوي في الوصول لمنع انتحال الشخصية والانتحال
  • أمان نقطة النهاية لمنع أجهزة المستخدم النهائي المخترقة من أن تصبح نقاط دخول للمهاجمين

كشف هجوم APT المستمر

ستسعى APT جاهدة إلى التخفي، لكن الهدف في النهاية هو المساس بالأمن. إن اكتشاف هذا السلوك الخفي ولكن الشاذ والرد عليه هو مفتاح الوقاية. تتضمن أمثلة أدوات التحكم الأمني ​​وأفضل الممارسات ما يلي:

  • نظام منع التسلل القائم على الشبكة والمضيف للكشف عن السلوك الشاذ
  • مراقبة سلامة الملفات (FIN) لاكتشاف الوصول والتلاعب بالملفات الهامة
  • مراقبة نشاط قاعدة البيانات (DAM) للكشف عن استعلامات وأنشطة قاعدة البيانات غير العادية
  • معلومات الأمان وإدارة الأحداث (SIEM) لجمع السجلات وربطها وتحليلها في الوقت الفعلي تقريبًا لتحديد أي شيء ينحرف عن خط الأساس
  • اكتشاف نقطة النهاية والاستجابة لها (EDR) لاكتشاف الأنشطة الضارة والاستجابة لها من نقطة النهاية

تخفيف الأضرار الناجمة عن هجوم APT

يسعى التهديد بشكل عام إلى المساس بسرية وسلامة وتوافر أنظمتك (CIA). 

من الأمثلة البارزة على هجمات APT سرقة البيانات الحساسة (مثل خرق بيانات الهدف وخرق بيانات أوراق بنما) والتلاعب بالأنظمة والبيانات (على سبيل المثال، Stuxnet). لإيقاف عمليات التسلل، تحتاج المؤسسات إلى أدوات التحكم الأمني ​​وأفضل الممارسات مثل: 

  • منع فقدان البيانات (DLP) مع Endpoint Security لمنع البيانات الحساسة من الخروج من الشبكة أو أجهزة المستخدم النهائي
  • تشفير قوي للبيانات لتقليل فائدة البيانات حتى لو تمت سرقتها
  • حلول إدارة حقوق البيانات (DRM) للتحكم في الوصول إلى البيانات واستخدامها وتتبعها بمجرد “توزيعها” على المهاجم

مكافحة هجوم APT

إذا كانت مؤسستك تعاني بالفعل من هجوم تهديد مستمر متقدم، فيجب عليك القضاء على التهديد من بيئتك. لنفترض أنك اكتشفت أنه تم اختراق ملايين البيانات. وهذا سوف يبدأ الاستجابة.

ثانيًا، الآن بعد أن عرفت ما فقدته، فأنت بحاجة إلى إيقاف التسرب. يمكنك القيام بذلك عن طريق عزل النظام وحسابات المستخدمين التي قد تكون سببًا في التسرب، بالإضافة إلى وضع قواعد صارمة لـ DLP وEDR.

 راقب بيقظة عدم حدوث أي تسرب.

بعد ذلك، يمكنك بدء العمل الجنائي لمعرفة جميع المكونات والتغييرات التي ربما تكون APT قد نفذتها داخل بيئتك دون علمك. 

في حالة Target، ورد أن الممثل السيئ قام بتثبيت برامج ضارة في أنظمة نقاط البيع، وأنشأ مشاركات للملفات، ووضع نصوصًا برمجية تقوم بشكل دوري بتسريب البيانات إلى الإنترنت. 

اعتمادًا على مدى اتساع نطاق أنشطة التهديدات المستمرة المتقدمة، قد يكون جهد الطب الشرعي ضخمًا. 

بمجرد التأكد من عودة نظامك للعمل بشكل طبيعي، قم بوضع ضوابط الأمان في مكانها الصحيح لمنع حدوث هجوم APT مرة أخرى.

المصدر: pluralsight

قد يهمك:

إنشاء حساب khamsat

فتح محفظة بينانس

موقع البحث

التسجيل في موقع مستقل

إنشاء حساب Noon

إنشاء حساب edraak

إنشاء حساب Biteable

© حقوق النشر 2023، جميع الحقوق محفوظة

يتم التشغيل بواسطة سيو ماستر لإدارة المواقع الإلكترونية.

أنت تستخدم إضافة Adblock

يعتمد موقع انشاء على الاعلانات كمصدر لدعم الموقع، يجب عليك ايقاف تشغيل حاجب الاعلانات لمشاهدة المحتوي