Rumah Keamanan Ancaman gigih tingkat lanjut: salvo pertama dalam perang cyber yang akan datang?

Ancaman gigih tingkat lanjut: salvo pertama dalam perang cyber yang akan datang?

Daftar Isi:

Anonim

Serangan pada jaringan komputer bukan berita utama lagi, tetapi ada berbagai jenis serangan yang membawa masalah keamanan siber ke tingkat berikutnya. Serangan-serangan ini disebut ancaman persisten tingkat lanjut (APT). Cari tahu perbedaannya dari ancaman sehari-hari dan mengapa mereka dapat menimbulkan begitu banyak kerusakan dalam tinjauan kami terhadap beberapa kasus profil tinggi yang telah terjadi selama beberapa tahun terakhir. (Untuk bacaan latar belakang, lihat 5 Ancaman Paling Menakutkan dalam Teknologi.)

Apa itu APT?

Istilah advanced persistent ancaman (APT) dapat merujuk pada seorang penyerang dengan sarana, organisasi, dan motivasi yang substansial untuk melakukan serangan siber yang berkelanjutan terhadap suatu sasaran.


APT, tidak mengherankan, maju, gigih dan mengancam. Ini canggih karena menggunakan metode stealth dan beberapa serangan untuk mengkompromikan target, sering kali merupakan sumber daya perusahaan atau pemerintah bernilai tinggi. Jenis serangan ini juga sulit untuk dideteksi, dihapus dan dikaitkan dengan penyerang tertentu. Lebih buruk lagi, begitu target dilanggar, backdoors sering dibuat untuk memberikan penyerang dengan akses berkelanjutan ke sistem yang dikompromikan.


APT dianggap gigih dalam arti bahwa penyerang dapat menghabiskan waktu berbulan-bulan untuk mengumpulkan intelijen tentang target dan menggunakan intelijen itu untuk meluncurkan beberapa serangan selama periode waktu yang panjang. Ini mengancam karena pelaku seringkali mencari informasi yang sangat sensitif, seperti tata letak pembangkit listrik tenaga nuklir atau kode untuk membobol kontraktor pertahanan AS.


Serangan APT umumnya memiliki tiga tujuan utama:

  • Pencurian informasi sensitif dari target
  • Pengawasan target
  • Sabotase target
Penyerang berharap untuk dapat mencapai tujuannya sambil tetap tidak terdeteksi.


Pelaku APT sering menggunakan koneksi tepercaya untuk mendapatkan akses ke jaringan dan sistem. Koneksi ini dapat ditemukan, misalnya, melalui orang dalam yang simpatik atau karyawan tanpa disadari yang menjadi mangsa serangan phishing tombak.

Apa Perbedaan APT?

APT berbeda dari serangan cyber lainnya dalam beberapa cara. Pertama, APT sering menggunakan alat khusus dan teknik intrusi - seperti eksploitasi kerentanan, virus, worm, dan rootkit - yang dirancang khusus untuk menembus organisasi target. Selain itu, APT sering meluncurkan beberapa serangan secara bersamaan untuk melanggar target mereka dan memastikan akses berkelanjutan ke sistem yang ditargetkan, kadang-kadang termasuk umpan untuk mengelabui target agar mengira serangan telah berhasil ditolak.


Kedua, serangan APT terjadi dalam periode waktu yang lama di mana penyerang bergerak perlahan dan diam-diam untuk menghindari deteksi. Berbeda dengan taktik cepat dari banyak serangan yang diluncurkan oleh penjahat dunia maya yang khas, tujuan APT adalah untuk tetap tidak terdeteksi dengan bergerak "rendah dan lambat" dengan pemantauan dan interaksi terus menerus sampai para penyerang mencapai tujuan yang ditentukan mereka.


Ketiga, APT dirancang untuk memenuhi persyaratan spionase dan / atau sabotase, biasanya melibatkan aktor rahasia negara. Tujuan dari APT meliputi pengumpulan intelijen militer, politik, atau ekonomi, data rahasia atau ancaman rahasia dagang, gangguan operasi, atau bahkan penghancuran peralatan.


Keempat, APT ditujukan untuk sasaran terbatas yang sangat berharga. Serangan APT telah diluncurkan terhadap lembaga dan fasilitas pemerintah, kontraktor pertahanan, dan produsen produk teknologi tinggi. Organisasi dan perusahaan yang memelihara dan mengoperasikan infrastruktur nasional juga kemungkinan menjadi sasaran.

Beberapa Contoh APT

Operasi Aurora adalah salah satu APT yang pertama kali dipublikasikan secara luas; serangkaian serangan terhadap perusahaan-perusahaan AS canggih, bertarget, tersembunyi dan dirancang untuk memanipulasi target.

Serangan, yang dilakukan pada pertengahan 2009, mengeksploitasi kerentanan di browser Internet Explorer, memungkinkan penyerang untuk mendapatkan akses ke sistem komputer dan mengunduh malware ke sistem itu. Sistem komputer terhubung ke server jauh dan kekayaan intelektual dicuri dari perusahaan, termasuk Google, Northrop Grumman dan Dow Chemical. (Baca tentang serangan merusak lainnya di Perangkat Lunak Berbahaya: Cacing, Trojans dan Bot, Oh My!)


Stuxnet adalah APT pertama yang menggunakan serangan cyber untuk mengganggu infrastruktur fisik. Diyakini telah dikembangkan oleh Amerika Serikat dan Israel, cacing Stuxnet menargetkan sistem kontrol industri pembangkit listrik tenaga nuklir Iran.


Meskipun Stuxnet tampaknya telah dikembangkan untuk menyerang fasilitas nuklir Iran, ia telah menyebar jauh melampaui target yang dimaksudkan, dan juga dapat digunakan terhadap fasilitas industri di negara-negara Barat, termasuk Amerika Serikat.


Salah satu contoh paling menonjol dari APT adalah pelanggaran RSA, sebuah perusahaan keamanan komputer dan jaringan. Pada bulan Maret 2011, RSA mengalami kebocoran ketika ditembus oleh serangan tombak-phishing yang mengaitkan salah satu karyawannya dan menghasilkan tangkapan besar bagi para penyerang cyber.


Dalam surat terbuka kepada RSA yang diposting oleh pelanggan ke situs web perusahaan pada Maret 2011, Ketua Eksekutif Art Coviello mengatakan bahwa serangan APT yang canggih telah mengekstraksi informasi berharga terkait dengan produk otentikasi dua faktor SecurID yang digunakan oleh pekerja jarak jauh untuk mengakses jaringan perusahaan mereka dengan aman. .


"Sementara pada saat ini kami yakin bahwa informasi yang diekstraksi tidak memungkinkan serangan langsung yang sukses pada pelanggan RSA SecurID kami, informasi ini berpotensi digunakan untuk mengurangi efektivitas implementasi otentikasi dua faktor saat ini sebagai bagian dari perluasan serangan, "kata Coviello.


Tetapi Coviello, ternyata, salah tentang hal itu, karena banyak pelanggan token RSA SecurID, termasuk raksasa pertahanan AS Lockheed Martin, melaporkan serangan yang dihasilkan dari pelanggaran RSA. Dalam upaya untuk membatasi kerusakan, RSA setuju untuk mengganti token untuk pelanggan utamanya.

Ke mana saja APT?

Satu hal yang pasti: APT akan berlanjut. Selama ada informasi sensitif untuk dicuri, kelompok yang terorganisir akan mengikutinya. Dan selama negara ada, akan ada spionase dan sabotase - fisik atau cyber.


Sudah ada tindak lanjut dari cacing Stuxnet, dijuluki Duqu, yang ditemukan pada musim gugur 2011. Seperti agen tidur, Duqu dengan cepat menyatukan dirinya dalam sistem industri utama dan mengumpulkan kecerdasan dan menunggu waktunya. Yakinlah sedang mempelajari dokumen desain untuk menemukan titik lemah untuk serangan di masa depan.

Ancaman Keamanan Abad ke-21

Tentu saja, Stuxnet, Duqu dan ahli warisnya akan semakin menjangkiti pemerintah, operator infrastruktur kritis dan profesional keamanan informasi. Sudah saatnya untuk menanggapi ancaman ini sama seriusnya dengan masalah keamanan informasi duniawi dalam kehidupan sehari-hari di abad ke-21.

Ancaman gigih tingkat lanjut: salvo pertama dalam perang cyber yang akan datang?