차례:
컴퓨터 네트워크에 대한 공격은 더 이상 주요 뉴스가 아니지만 사이버 보안 문제를 다음 단계로 끌어들이는 다른 유형의 공격이 있습니다. 이러한 공격을 APT (Advanced Persistent Threats)라고합니다. 지난 몇 년 동안 발생한 주요 사례를 검토 한 결과 일상적인 위협과 어떻게 다른지, 그리고 왜 그렇게 많은 피해를 입을 수 있는지 알아보십시오. (백그라운드를 읽으려면 기술에서 가장 무서운 5 가지 위협을 확인하십시오.)
APT 란 무엇입니까?
고급 영구 위협 (APT)이라는 용어는 대상에 대해 지속적인 사이버 공격을 수행 할 실질적인 수단, 조직 및 동기를 가진 공격자를 의미 할 수 있습니다.
놀랍지 않게 APT는 발전하고 지속적이며 위협적입니다. 대상, 특히 고가의 기업 또는 정부 자원을 손상시키기 위해 은폐 및 다중 공격 방법을 사용하기 때문에 발전했습니다. 이러한 유형의 공격은 특정 공격자를 탐지, 제거 및 표시하기도 어렵습니다. 더 나쁜 것은, 일단 대상이 침해되면 공격자가 손상된 시스템에 지속적으로 액세스 할 수 있도록 백도어가 생성되는 경우가 종종 있습니다.
APT는 공격자가 대상에 대한 인텔리전스를 수집하는 데 몇 개월을 소비하고 해당 인텔리전스를 사용하여 장기간에 걸쳐 여러 번의 공격을 시작할 수 있다는 점에서 지속적인 것으로 간주됩니다. 가해자들은 종종 원자력 발전소 배치 또는 미국 국방 계약 업체에 침입 할 수있는 코드와 같은 매우 민감한 정보를 따르기 때문에 위협하고 있습니다.
APT 공격에는 일반적으로 세 가지 주요 목표가 있습니다.
- 대상의 민감한 정보 도난
- 대상의 감시
- 목표의 파괴
APT의 가해자는 종종 네트워크와 시스템에 액세스하기 위해 신뢰할 수있는 연결을 사용합니다. 이러한 연결은 예를 들어 스피어 피싱 공격에 빠지는 동정심있는 내부자 또는 모르는 직원을 통해 찾을 수 있습니다.
APT는 어떻게 다릅니 까?
APT는 여러 가지면에서 다른 사이버 공격과 다릅니다. 첫째, APT는 대상 조직에 침투하기 위해 특별히 설계된 취약성 공격, 바이러스, 웜 및 루트킷과 같은 사용자 지정 도구 및 침입 기술을 사용합니다. 또한 APT는 종종 여러 공격을 동시에 시작하여 대상을 위반하고 대상 시스템에 대한 지속적인 액세스를 보장합니다 (때때로 공격을 성공적으로 격퇴했다고 생각하도록 속이는 미끼 포함).
둘째, APT 공격은 오랜 시간 동안 발생하여 공격자가 탐지를 피하기 위해 천천히 조용히 이동합니다. 일반적인 사이버 범죄자들이 시작한 많은 공격의 빠른 전술과 달리 APT의 목표는 공격자가 정의 된 목표를 달성 할 때까지 지속적인 모니터링과 상호 작용을 통해 "느리게"느리게 이동하여 탐지되지 않는 것입니다.
셋째, APT는 일반적으로 은밀한 국가 행위자와 관련된 스파이 및 / 또는 방해 행위의 요구 사항을 충족하도록 설계되었습니다. APT의 목적에는 군사, 정치 또는 경제 정보 수집, 기밀 데이터 또는 영업 비밀 위협, 운영 중단 또는 장비 파괴가 포함됩니다.
넷째, APT는 제한된 범위의 매우 중요한 목표를 목표로합니다. APT 공격은 정부 기관 및 시설, 국방 계약자 및 첨단 제품 제조업체에 대해 시작되었습니다. 국가 인프라를 유지하고 운영하는 조직과 회사도 목표가 될 수 있습니다.
APT의 일부 예
오로라 작전은 최초로 널리 퍼진 APT 중 하나였습니다. 미국 기업에 대한 일련의 공격은 정교하고, 표적이되고, 은밀하며, 표적을 조작하도록 설계되었습니다.2009 년 중반에 수행 된 공격은 Internet Explorer 브라우저의 취약점을 악용하여 공격자가 컴퓨터 시스템에 액세스하고 해당 시스템에 맬웨어를 다운로드 할 수 있도록합니다. 컴퓨터 시스템은 원격 서버에 연결되었고 Google, Northrop Grumman 및 Dow Chemical을 포함한 회사에서 지적 재산을 도난당했습니다. (악의적 인 소프트웨어 : Worms, Trojans and Bots, Oh My!
Stuxnet은 사이버 공격을 사용하여 물리적 인프라를 파괴 한 최초의 APT였습니다. Stuxnet 웜은 미국과 이스라엘이 개발 한 것으로 믿어이란 원자력 발전소의 산업 제어 시스템을 대상으로했습니다.
스턱 스넷은이란의 핵 시설을 공격하기 위해 개발 된 것으로 보이지만, 의도 한 목표를 훨씬 뛰어 넘어 미국을 포함한 서방 국가의 산업 시설에 사용될 수도 있습니다.
APT의 가장 두드러진 예 중 하나는 컴퓨터 및 네트워크 보안 회사 인 RSA의 위반이었습니다. 2011 년 3 월, RSA는 스피어 피싱 공격으로 인해 직원 한 명을 사로 잡았으며 사이버 공격자에게 큰 피해를 입혔습니다.
Art Coviello 회장은 2011 년 3 월 고객이 회사 웹 사이트에 게시 한 RSA에 공개 서한에서 정교한 APT 공격이 원격 작업자가 회사 네트워크에 안전하게 액세스하기 위해 사용하는 SecurID 2 단계 인증 제품과 관련된 유용한 정보를 추출했다고 밝혔다. .
"현재 추출 된 정보로 RSA SecurID 고객을 대상으로 직접적인 공격을 할 수는 없지만이 정보를 사용하면 현재 2 단계 인증 구현의 효율성을 더 광범위하게 줄일 수 있습니다. 코비 엘로가 말했다.
그러나 코비 엘로는 미국 국방성 거대 록히드 마틴을 포함한 수많은 RSA SecurID 토큰 고객이 RSA 위반으로 인한 공격을보고함에 따라 잘못된 것으로 밝혀졌다. RSA는 피해를 제한하기 위해 주요 고객의 토큰을 교체하기로 동의했습니다.
Whither APT?
한 가지 확실한 점은 APT가 계속 될 것입니다. 도둑질 할 민감한 정보가있는 한 조직화 된 그룹은 그 정보를 따를 것입니다. 그리고 국가가 존재하는 한 물리적 또는 사이버 간첩 및 파괴 행위가있을 것입니다.
Duqu라고 불리는 Stuxnet 웜에 대한 후속 조치는 이미 2011 년 가을에 발견 된 Duqu라고 불립니다. Duqu는 수면 요원처럼 신속하게 주요 산업 시스템에 내장되어 지능을 수집하고 시간을 입찰하고 있습니다. 향후 공격의 약점을 찾기 위해 설계 문서를 연구하고 있으므로 안심하십시오.
21 세기 보안 위협
확실히 Stuxnet, Duqu 및 그 상속인은 점점 더 정부, 핵심 인프라 운영자 및 정보 보안 전문가를 괴롭힐 것입니다. 21 세기 일상 생활의 일상적인 정보 보안 문제만큼 심각하게 이러한 위협을 감수해야 할 때입니다.
