Постоянная угроза повышенной сложности (APT ) - скрытый злоумышленник, обычно национальное государство или спонсируемая государством группа, который получает несанкционированный доступ к компьютерной сети и остается незамеченным в течение длительного периода.. В последнее время этот термин может также относиться к негосударственным спонсируемым группам, осуществляющим крупномасштабные целевые вторжения с конкретными целями.
Мотивация таких субъектов угрозы обычно носит политический или экономический характер. Каждый крупный бизнес-сектор зарегистрировал случаи кибератак со стороны продвинутых субъектов с конкретными целями, стремящимися украсть, шпионить или мешать. К таким секторам относятся правительство, оборона, финансовые услуги, юридические услуги, промышленность, телекоммуникации, потребительские товары и многие другие. Некоторые группы используют традиционные векторы шпионажа, включая социальную инженерию, человеческий интеллект и проникновение, чтобы получить доступ к физическому местоположению и обеспечить возможность сетевых атак.. Целью этих атак является установка специального вредоносного программного обеспечения.
. Среднее время ожидания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщает, что среднее время ожидания за 2018 год в Северной и Южной Америке составляет 71 день, EMEA - 177 дней и APAC - 204 дня. Это дает злоумышленникам значительное количество времени, чтобы пройти цикл атаки, распространиться и достичь своей цели.
Точные определения APT могут различаться, но их можно резюмировать по названным ниже требованиям:
Одна из первых теорий для определения критериев как угрозы для континуума APT как постоянного или непостоянного была впервые предложена в 2010 году. Критерии APT в настоящее время широко используются в отрасли и основаны на оценке следующих деталей:
Предупреждения Организация CERT Великобритании и США опубликовала в 2005 г. против целевых, созданных с помощью социальной инженерии электронных писем, сбрасывающих троянские программы для извлечения конфиденциальной информации. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «продвинутая постоянная угроза» был процитирован ВВС США в 2006 году, а полковник Грег Рэттрей был назван человеком, придумавшим этот термин. Однако термин APT использовался операторами связи несколько лет назад.
Компьютерный червь Stuxnet , нацеленный на компьютерное оборудование иранской ядерной программы, это один из примеров APT-атаки. В этом случае иранское правительство может рассматривать создателей Stuxnet как серьезную постоянную угрозу.
В сообществе компьютерной безопасности и все чаще в СМИ этот термин почти всегда используется в ссылка на долгосрочную схему эксплуатации изощренных компьютерных сетей, направленную на правительства, компании и политических активистов, и, в более широком смысле, также для приписывания атрибутов A, P и T группам, стоящим за этими атаками. Термин «продвинутая постоянная угроза» (APT) может смещать акцент на компьютерный взлом из-за растущего числа случаев. PC World сообщил об увеличении числа особо сложных целевых компьютерных атак с 2010 по 2011 год на 81 процент.
Участники многих стран использовали киберпространство как средство сбора информации о отдельные лица и группы лиц, представляющих интерес. Киберкомандованию США поручено координировать наступательные и оборонительные кибер операции вооруженных сил США.
. Многие источники утверждают, что некоторые группы APT связаны с или являются агенты, правительства суверенных государств. Компании, хранящие большое количество информации, позволяющей установить личность, подвергаются высокому риску стать мишенью для постоянных сложных угроз, в том числе:
Исследование Bell Canada предоставлено глубокое исследование анатомии APT и выявление их широкого присутствия в правительстве Канады и критической инфраструктуре. Установлена атрибуция китайских и российских субъектов.
Лица, стоящие за продвинутыми постоянными угрозами, создают растущий и изменяющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций, следуя непрерывному процессу или цепочка уничтожений :
Иногда упоминается глобальный ландшафт APT из всех источников в единственном числе как APT, как и ссылки на исполнителя, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает в себя как исполнителя, так и метод.
В 2013 году Mandiant представила результаты своих исследование предполагаемых китайских атак с использованием APT me между 2004 и 2013 годами, которые следовали аналогичному жизненному циклу:
В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, самый длинный - почти пять лет. Проникновение предположительно было осуществлено базирующимся в Шанхае подразделением 61398 из Народно-освободительной армии из Шанхая. Китайские официальные лица отрицают свою причастность к этим атакам.
Предыдущие отчеты Secdev ранее выявляли и причастны к китайским субъектам.
Существуют десятки миллионов разновидностей вредоносного ПО, что делает чрезвычайно сложной защиту организаций от APT. В то время как действия APT незаметны и их трудно обнаружить, командный сетевой трафик, связанный с APT, может быть обнаружен на уровне сетевого уровня с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении действий APT. Сложно отделить шумы от легального трафика. Традиционные технологии и методы безопасности оказались неэффективными при обнаружении или устранении APT-атак. Активная киберзащита повысила эффективность обнаружения и преследования APT (найти, исправить, устранить) при применении разведки киберугроз для охоты и преследования противником.
По словам исследователя в области безопасности Тимо Стеффенса, «APT-ландшафт в Китае управляется по принципу« всей страны »с привлечением навыков университетов, отдельных лиц, а также частного и государственного секторов».