iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 4
0
Security

IR自我修練之路系列 第 4

IR從零開始的自我修煉之路-Day 04

今天來寫聽到的APT吧
做IR必須有的觀念

什麼事APT?

APT (Advance Persistent Threat)進階持續性威脅

就是駭客集團針對特定組織(如政府單位)做複雜且多方面向的網路攻擊。社交工程、網路釣魚、滲透測試等只要能入侵到目標組織內部竊取重要資料都是APT。
因為近年來APT的事件越來越多,也促使Cybercrime蓬勃發展,企業投入的資金越來越多,越來越受到重視。
APT是長期且多階段的攻擊模式。
為了能長期潛伏,攻擊頻率甚至可以用『年』來計算。一年只發動一次 小流量的攻擊。根本不易察覺

當駭客成功滲透到目標組織內部網路後,為了盡量隱藏自己,會偽裝成正常的程式、或是低頻率的活動,或是在合法時間內低頻率的活動,用合法身份執行動作,防毒不會叫、根本不易察覺。

為了入侵到某個定組織,必須從任何可能的地方迂迴繞過方式長期進行。
例如 上下游、客戶、醫院、員工、USB、關係人等 供應鏈攻擊

APT 攻擊週期

目標偵查  > 攻擊目標 > 潛伏控制 > 橫向移動 > 達標
目標偵查:長期搜集目標的資訊(使用者習慣、資產表、架構圖、巴拉巴拉等)
攻擊目標:發動相應的攻擊啦
潛伏控制:盡可能隱藏自己,持續竊取重要資料
橫向移動:看能不能不動聲色地擴散(?)
達標:目標資料GET

可以看看烏克蘭電廠遭駭的案例:
https://www.facebook.com/twcertcc/posts/1870728446490225/
https://www.ithome.com.tw/news/114880
http://www.ipv6.org.tw/summit2016/presentation/20161212/4-2.pdf

做 IR 必備意識、知識

APT觀念
Windows hacking / Linux hacking / Mac hacking
知道攻擊手法,才能知道怎麼預防

過往都是被動式防禦,現在漸漸有『主動獵殺駭客』機制
難點:駭客入侵後取得內部密碼,用合法身份合法時間活動,要怎麼『主動獵殺駭客』呢?

上一篇
IR從零開始的自我修煉之路-Day 03
下一篇
IR從零開始的自我修煉之路-Day 05
系列文
IR自我修練之路9

尚未有邦友留言

立即登入留言