Många företag gör sitt bästa för att samla in så mycket data som möjligt om kunderna. Vissa ger till och med bort sina produkter gratis i utbyte mot tillstånd att samla in personlig information.

Som ett resultat har nu även mindre företag en mängd värdefulla data. Och fler och fler hotaktörer letar efter sätt att stjäla det. Ett exempel på detta är en typ av cyberattack som kallas ett avancerat ihållande hot.

Så vad är ett avancerat ihållande hot? Hur hittar du en? Och vad ska du göra om du tror att ditt system har drabbats av en APT?

Vad är en avancerad beständig hot (APT)?

Ett avancerat ihållande hot är en typ av attack där en inkräktare får tillgång till ett system och sedan lyckas stanna kvar oupptäckt under en lång tidsperiod.

Denna typ av attack utförs i allmänhet med målet att spionera. Om målet var att helt enkelt skada ett system skulle det inte finnas någon anledning att hålla fast vid. De som utför dessa attacker försöker inte förstöra datorsystem. De vill helt enkelt ha tillgång till de uppgifter de har.

instagram viewer

De flesta avancerade ihållande hot använder sofistikerade hacktekniker och är skräddarsydda för enskilda datorsystem.

Detta gör dessa attacker mycket svåra att upptäcka. Men en fördel med deras komplexitet är att den genomsnittliga datoranvändaren vanligtvis inte behöver oroa sig för dem.

Till skillnad från skadlig programvara som i allmänhet är utformad för att rikta in sig på så många datorer som möjligt, är avancerade ihållande hot vanligtvis utformade med ett specifikt mål i åtanke.

Hur händer en APT?

Det avancerade ihållande hotet är en relativt bred term. Graden av sofistikering som används i en sådan attack varierar därför mycket.

De flesta kan dock enkelt delas upp i tre olika steg.

Steg 1: Infiltration

I inledningsskedet letar hackare helt enkelt efter ett sätt in. Vilka alternativ som finns tillgängliga beror uppenbarligen på hur säkert systemet är.

Ett alternativ skulle vara nätfiske. Kanske kan de få någon att av misstag avslöja sina inloggningsuppgifter genom att skicka ett skadligt e-postmeddelande till dem. Eller om det inte är möjligt kan de försöka uppnå samma sak genom socialteknik.

Steg 2: Expansion

Nästa steg är expansion. När angriparna har en giltig väg in i systemet vill de utöka sin räckvidd och sannolikt se till att deras befintliga åtkomst inte kan återkallas.

De gör vanligtvis detta med någon typ av skadlig kod. En keylogger till exempel tillåter dem att samla in ytterligare lösenord för andra servrar.

Relaterad: Vad är en Keylogger?

Och en bakdörrstrojan kommer att garantera framtida intrång även om det ursprungliga stulna lösenordet ändras.

Steg 3: Extraktion

Under den tredje fasen är det dags att faktiskt stjäla data. Information samlas vanligtvis från flera servrar och deponeras sedan på en enda plats tills den är redo för hämtning.

Vid denna tidpunkt kan angriparna försöka överväldiga systemsäkerheten med något som en DDOS-attack. I slutet av detta steg stjäls uppgifterna faktiskt och om de inte upptäcks lämnas dörren öppen för framtida attacker.

Varningstecken på en APT

Även om en APT vanligtvis är utformad speciellt för att undvika upptäckt, är det inte alltid möjligt. För det mesta kommer det att finnas åtminstone några bevis för att en sådan attack inträffar.

Riktade spam-attacker

Ett spjutfiske-e-postmeddelande kan vara ett tecken på att en APT håller på att hända eller är i ett tidigt skede. Phishing-e-postmeddelanden är utformade för att stjäla data från stora mängder människor urskillningslöst. Spear phishing-e-postmeddelanden är anpassade versioner som är skräddarsydda för att rikta in sig på specifika personer och / eller företag.

Misstänkta inloggningar

Under en pågående APT är det troligt att angriparen loggar in på ditt system regelbundet. Om en legitim användare plötsligt loggar in på sitt konto vid udda timmar kan det därför vara ett tecken på att deras referenser har stulits. Andra tecken inkluderar att man loggar in med större frekvens och tittar på saker som de inte borde vara.

Trojaner

En trojan är en dold applikation som, när den är installerad, kan ge fjärråtkomst till ditt system. Sådana applikationer har potential att bli ett ännu större hot än stulna referenser. Det beror på att de inte lämnar något fotavtryck, det vill säga det finns ingen inloggningshistorik som du kan kontrollera och de påverkas inte av lösenordsändringar.

Ovanliga dataöverföringar

Det största tecknet på att en APT uppstår är helt enkelt att data plötsligt flyttas, till synes utan någon uppenbar anledning. Samma logik gäller om du ser att data lagras där det inte borde vara, eller värre, faktiskt under överföring till en extern server utanför din kontroll.

Vad du ska göra om du misstänker en APT

När en APT har upptäckts är det viktigt att gå snabbt. Ju mer tid en angripare har i ditt system, desto större skada kan uppstå. Det är till och med möjligt att dina data inte har stulits ännu, utan snarare kommer att vara. Här är vad du behöver göra.

  1. Stoppa attacken: Stegen för att stoppa en APT beror till stor del på dess natur. Om du tror att endast ett segment av ditt system har äventyrats, bör du börja med att isolera det från allt annat. Därefter arbetar du med att ta bort åtkomst. Detta kan innebära att stulna referenser återkallas, eller, i fallet med en trojan, att rensa ditt system.
  2. Bedöm skadan: Nästa steg är att ta reda på vad som hände. Om du inte förstår hur APT inträffade finns det inget som hindrar att det händer igen. Det är också möjligt att ett liknande hot för närvarande pågår. Detta innebär att man analyserar systemhändelseloggar eller helt enkelt räknar ut rutten som en angripare använde för att få tillgång.
  3. Meddela tredje parter: Beroende på vilken data som lagras på ditt system kan skadorna orsakade av en APT vara långtgående. Om du för närvarande lagrar data som inte bara tillhör dig, dvs. personliga uppgifter om kunder, kunder eller anställda, kan du behöva meddela dem. I de flesta fall kan underlåtenhet att göra det bli ett juridiskt problem.

Känn tecknen på en APT

Det är viktigt att förstå att det inte finns något som heter fullständigt skydd. Mänskliga fel kan leda till att alla system äventyras. Och dessa attacker använder per definition avancerade tekniker för att utnyttja sådana fel.

Det enda verkliga skyddet från en APT är därför att veta att de existerar och att förstå hur man känner igen tecknen på en som inträffar.

E-post
Vad är anpassningsbar säkerhet och hur hjälper det med att förebygga hot?

En säkerhetsövervakningsmodell i realtid, adaptiv säkerhet använder modern taktik för att mildra ständigt föränderliga cyberhot.

Läs Nästa

Relaterade ämnen
  • säkerhet
  • Onlinesäkerhet
  • Datorsäkerhet
Om författaren
Elliot Nesbo (6 artiklar publicerade)

Elliot är en frilansande teknikförfattare. Han skriver främst om fintech och cybersäkerhet.

Mer från Elliot Nesbo

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Ett steg till…!

Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.

.