Επισκόπηση των απειλών και προκλήσεων ασφαλείας από τις APTs (Advanced Persistent Threats) και μελέτη περίπτωσης με ανάλυση των υλοποιήσεων τους (εργαλεία, τεχνικές, αντίμετρα)
Abstract
Οι επιθέσεις προηγμένης επίμονης απειλής (Advanced Persistent Threats - APTs) αποτελούν στοχευμένες εξελιγμένες μεθόδους επίθεσης που χρησιμοποιούνται από αποφασισμένους και εξειδικευμένους επιτιθέμενους, που επιδιώκουν να διατηρήσουν απαρατήρητη πρόσβαση για παρατεταμένο χρονικό διάστημα με σκοπό την απομόνωση πολύτιμων δεδομένων από τα πληροφοριακά συστήματα των θυμάτων τους. Κατά συνέπεια, οι APTs αποτελούν μεγάλο κίνδυνο για την ασφάλεια των πληροφοριακών συστημάτων και θέτουν υψηλά επίπεδα απειλής για τους οργανισμούς, ιδίως για τους κυβερνητικούς οργανισμούς. Οι κυβερνοεγκληματίες προσπαθούν να αποκτήσουν οικονομικές ακόμα και προσωπικές πληροφορίες με σκοπό να υπονομεύσουν και να διαταράξουν της υποδομές σε οργανισμούς, δημιουργώντας σοβαρά προβλήματα σε αυτούς. Τέτοιου είδους επιθέσεις πραγματοποιούνται από έμπειρους εγκληματίες του κυβερνοχώρου, που χρησιμοποιούν διάφορα διανύσματα επίθεσης και σημεία εισόδου, κατορθώνοντας να προηγούνται και να μη γίνονται αντιληπτοί όταν παραβιάζουν τα συστήματα ασφαλείας αποκτώντας τον πλήρη έλεγχο.
Οι τεχνικές και τα εργαλεία που χρησιμοποιούνται για την πραγματοποίηση επιθέσεων APTs εξελίσσονται με ραγδαίο ρυθμό, καθιστώντας σε πολλές περιπτώσεις ανεπαρκή τα συστήματα ασφάλειας των στόχων. Ο σημαντικότερος κίνδυνος που αφορά τις APTs είναι η αδυναμία εντοπισμού της διείσδυσης με τη χρήση παραδοσιακών μεθόδων μετριασμού. Πολυάριθμες έρευνες δείχνουν ότι υπάρχουν ευπάθειες στους περισσότερους οργανισμούς και όταν αξιοποιηθούν θα έχουν σημαντικές οικονομικές επιπτώσεις και θα επηρεάσουν επίσης τη φήμη των οργανισμών. Οι παραδοσιακές μέθοδοι για τον μετριασμό των απειλών στα πληροφοριακά συστήματα έχουν αποδειχθεί αναποτελεσματικές. Από την πλευρά των επιτιθέμενων απαιτείται αρκετός χρόνος, τεχνογνωσία και πολλή μελέτη για την προετοιμασία και εκτέλεση των επιθέσεων APTs, ενώ από την πλευρά των αμυνομένων απαιτούνται εξειδικευμένη τεχνογνωσία και προσαρμοσμένες λύσεις για τον έγκυρο και έγκαιρο εντοπισμό, μετριασμό και αντιμετώπισή τους.
Η παρούσα εργασία αποσκοπεί στη μελέτη της υπάρχουσας βιβλιογραφία για τις προηγμένες επίμονες απειλές, παρέχοντας έτσι μια σύνοψη των APTs, Υιοθετείται μια προσέγγιση βασισμένη σε μεθόδους, με ανασκόπηση των ερευνών και συγκριτική αξιολόγηση της χρήσης και της αποτελεσματικότητας των τεχνικών που χρησιμοποιούνται για τον μετριασμό των APTs. Πολλές έρευνες έχουν δημοσιευθεί σχετικά με τον εντοπισμό των APTs στα αρχικά στάδια εκδήλωσής τους, άλλα ελάχιστες υπάρχουν όσον αφορά τον ολοκληρωμένο κύκλο ζωής τους, από το στάδιο της αναγνώρισης έως την συγκάλυψη των ιχνών τους. Οι κυριότερες μέθοδοι που χρησιμοποιούνται για τον μετριασμό των APTs είναι η ανάλυση της κυκλοφορίας/δεδομένων, η αναγνώριση προτύπων και η ανίχνευση ανωμαλιών. Αυτές οι μέθοδοι λειτουργούν σε συμφωνία με την παροχή αποτελεσματικού εσωτερικού ελέγχου, διαχείρισης κινδύνων και συνεργατικής διακυβέρνησης στα πλαίσια εφαρμογής καθορισμένων προτύπων πολιτικών ασφαλείας.
Μέσα από την εργασία μας θα προσπαθήσουμε να αναφέρουμε χρήσιμες τεχνικές και μεθόδους που θα μπορούσαν να συμβάλουν στον έγκαιρο εντοπισμό, μετριασμό και αντιμετώπιση των APTs. Η εργασία χωρίζεται σε δύο μέρη. Στο πρώτο, θεωρητικό μέρος της εργασίας περιλαμβάνεται η επισκόπηση της βιβλιογραφίας σχετική με τα παραπάνω θέματα, ενώ στο δεύτερο, πειραματικό-πρακτικό μέρος, εκτελείται μία επινοημένη αλλά ρεαλιστική επίθεση με τη χρήση εργαλείων λογισμικού και βιβλιοθηκών του Kali Linux. Συγκεκριμένα, υλοποιήσαμε σε εικονικό περιβάλλον Virtual Box ένα σενάριο επίθεσης APT σε δικτυοκεντρικό πληροφοριακό σύστημα μιας αεροπορικής εταιρίας “AIRLINES” κάνοντας χρήση ποικίλων εργαλείων και τεχνικών (Nmap Scanning, SQL injection, Phishing email), οι οποίες παρουσιάζονται αναλυτικά στην εργασία μας. The Advanced Persistent Threats (APTs) are targeted sophisticated attack methods used by determined and skilled attackers, who seek to maintain undetected access for an extended period of time in order to isolate valuable data from their victims' information systems. As a result, APTs pose a major risk to the security of information systems and pose high levels of threat to organizations, particularly government organizations. Cybercriminals try to obtain financial and even personal information in order to undermine and disrupt the infrastructure in organizations, creating serious problems for them. Such attacks are carried out by experienced cyber criminals, who use various attack vectors and entry points, managing to get ahead of and undetected when breaching security systems by gaining full control.
The techniques and tools used to carry out APTs attacks are evolving at a rapid pace, rendering the security systems of the targets inadequate in many cases. The most significant risk associated with APTs is the inability to detect penetration using traditional mitigation methods. Numerous studies show that vulnerabilities exist in most organizations and when exploited will have a significant financial impact and will also affect the organizations' reputation. Traditional methods for mitigating threats to information systems have proven to be ineffective. On the attacker's side, it takes a lot of time, expertise and a lot of study to prepare and execute APTs attacks, while on the defender's side, specialized expertise and customized solutions are required to accurately and timely detect, mitigate and respond to them.
This paper aims to study the existing literature on advanced persistent threats, thus providing an overview of APTs, A method-based approach is adopted, by reviewing research and benchmarking the use and effectiveness of techniques used to mitigate APTs. Much research has been published on the detection of APTs in their early stages of manifestation, but little exists on the complete life cycle, from the identification stage to the masking of their traces. The main methods used to mitigate APTs are traffic/data analysis, pattern recognition and anomaly detection. These methods work in concert with the provision of effective internal control, risk management and collaborative governance in the context of implementing defined security policy standards.
Through our work we will try to report useful techniques and methods that could contribute to the early detection, mitigation and response to APTs. The paper is divided into two parts. The first, theoretical part of the paper includes a review of the literature related to the above topics, while the second, experimental-practical part, involves the execution of an invented but realistic attack using Kali Linux software tools and libraries. Specifically, we implemented an APT attack scenario in a Virtual Box virtual environment on a network-centric information system of an airline company “AIRLINES” using a variety of tools and techniques (Nmap Scanning, SQL injection, Phishing email), which are presented in detail in our paper.