Pull to refresh

Что подразумевают под APT?

Information Security
Recovery mode
APT, которые часто переводят на русский как целенаправленные атаки, стали популярной темой страшилок от ИБ. Под APT подразумевался вирус Stuxnet, под APT подразумевались атаки на RSA и Sony, под APT подразумевалась атака на Gmail под кодовым названием «Аврора». Последнюю, правда, иногда расшифровывали как Asia Pacific Threat. Очевидно, что каждая компания под APT подразумевает что-то своё, поэтому было бы интересно, что именно каждый вкладывает в это словосочетание. Попытаемся классифицировать определения целевых атак, которые используют различные компании.

Итак, я предлагаю определить следующие квалификационные признаки APT:

  • Отраслевая направленность. Некоторые антивирусные компании подразумевают под APT вирусные атаки, направленные против конкретной индустрии. Примером может служить Stuxnet, нацеленный на ядерную индустрию. Подобные вредоносные коды на самом деле всё-равно рассылаются массово либо целевой спамовской рассылкой по индустрии или с тематического сайта, но их дальнейшее распространение действительно строго контролируется. Некоторые компании именно такие атаки называют словом APT.
  • Сложность кодов. В некоторых случаях под целевыми атаками подразумевают сложные коды, которые с лёгкостью проходят существующие в конкретной компании средства защиты. Такие атаки, как правило, действительно целенаправлены — коды разрабатываются под заказ для проникновения в корпоративную сеть конкретной компании, предварительно изучив, например, с помощью методов конкурентной разведки используемые в компании средства ИТ и сопутствующие им защитные механизмы. Такой атакой вполне могла быть атака на RSA и Sony.
  • Скрытность. В некоторых случаях целенаправленной считают атаку, которая закрепляется в информационной системе и хакеры долго контролируют внедренные при атаке вредоносные коды. Такие скрытые атаки позволяют украсть много ценных данных, хотя и организовать их значительно сложнее. Хакерам приходится постоянно менять коды так, чтобы их невозможно было обнаружить, использовать скрытые каналы взаимодействия с внедренными агентами и оставлять в захваченной системе много троянских кодов, которые позволят восстановить контроль над системой в случае обнаружения вторжения. В качестве примера подобной атаки можно привести атаку на сеть магазинов Target, где злоумышленникам удалось достаточно долго оставаться незамеченными, что и позволило украсть значительный объём данных.


Перечисленные признаки являются наиболее общими, а, главное, они в определенной мере позволяют выстроить средства защиты от APT — именно поэтому их и используют маркетинговые службы производителей средств защиты, для которых APT — это способ запугивания клиентов перед продажей своих продуктов. При этом вполне возможно, что есть и ещё квалификационные признаки целенаправленных атак, которые менее практичны с точки зрения маркетинга, но тем не менее характеризуют целенаправленные атаки.
Tags:apt
Hubs: Information Security
Total votes 26: ↑3 and ↓23 -20
Views9.7K

Top of the last 24 hours