详细内容或原文请订阅后点击阅览
如何理解和避免高级持续威胁
APT 代表高级持续威胁。但这实际上意味着什么?它如何转化为您面临的威胁类型?
来源:Malwarebytes Labs 博客根据定义,高级持续威胁 (APT) 是针对特定受害者的长期、有针对性的攻击,其目的是破坏其系统并从该目标获取信息或获取有关该目标的信息。
大约十年前,该术语主要用于国家支持的威胁行为者。我在这里使用了威胁行为者,因为在他们活动的所在州,他们不被视为网络犯罪分子。当然,当您受到此类攻击时,这种看法就会改变。
当这些威胁首次被发现时,其目标是政府和军事组织。如今,目标可以是任何个人、组织或企业。我们经常看到针对医疗保健、电信、金融、MSP、SaaS 平台和供应链提供商的攻击。
“APT”经常被用作任何严重违规行为的戏剧性标签,即使它是短暂的或机会主义的。那么,让我们分解一下这个名称,看看什么才是 APT 的真正资格。
高级
高级并不一定意味着好莱坞级别的黑客攻击,但它确实意味着攻击者是经过深思熟虑且准备充分的。他们通常结合多种技术:购买或发现新的未知软件缺陷(所谓的零日漏洞),滥用旧的但未修补的错误,以及制作非常令人信服的网络钓鱼电子邮件,看起来像是来自同事或合作伙伴的真实消息。他们还可能使用网络中已有的合法管理工具,这使得他们的活动更难被发现,因为它看起来像正常的 IT 工作,即所谓的 LOLbins(Living Off the Land Binaries)。
在实践中,“高级”并不是指使用最奇特的工具,而是指为特定受害者选择正确的工具和策略组合。 APT 组织可能会花费数周时间研究目标的人员、系统和供应商,然后在人工智能的帮助下分析这些数据。这样,当他们最终采取行动时,第一次尝试成功的机会就最大。