Как стать автором
Обновить

Комментарии 17

Мозг ухватился за знакомые названия APT и C&C. Вообще, в статье прослеживается страсть давать всякие звучные названия всему подряд )
НЛО прилетело и опубликовало эту надпись здесь
d_olex, вы считаете что APT уже не будет? Ниже по ссылке — актуальная новость о повторной атаке.
А что такое… этот ваш тренд, не понятно. APT просто красивая аббревиатура. Угрозы эти были и 10 лет назад.
В статье написано, что угрозы были. Социальная инженерия использовалась. 0-day были. Шпионаж тоже. Но APT это все же новая парадигма. Согласно неё — злоумышленник не старается обнаружить себя или выкинуть информацию в паблик (скажем, обналичить по украденным из банка данным), или опубликовать, как это делают Anonymous (хоть факт передачи им информации из APT был). Обнаружение APT сложнее в разы за счет многих факторов — индивидуального подхода к жертве, тщательного скрытия, мониторинга контрмер и т.д… APT — это новая школа для ИБ. Построенная на ошибках, заблуждении, беспечности нашей с вам защиты, професиональном комплексном подходе атакующих. APT нельзя сравнивать с ранее проводившимися атаками.
Ну это все хорошо. Я не спорю. Тем не менее как это опровергает мое утверждение?

— угрозы были и раньше.
— АПТ — красивая аббревиатура.

Потому как по Вашим словам выходит, что до 2008 года хакеры не проводили целевых атак, с конкретными целями, не скрывали своего присутствия не анализировали средства контрмер целевой системы. То, что этот термин был моден в 2009-2010, это круто. Каждый второй писал про APT. Вон даже на РИСПЕ спорили… Появилась новая пугалка. А меры то по защите — все те же самые )
Угрозы были и будут.
Парадигма их, состав и последовательность будут меняться.
Красиво или нет — вы решаете индивидуально для себя. Термин придумали не вы, не я. И не зря.
Комплекс мер по защите для различных угроз разный. Статистика компаний, подвергшихся атаке, позволяет судить что меры не принимаются, или принимаются некорректно.
Можно сложить ручки и пессиместично чего то ждать — угрозы то по вашим словам есть и будут… А можно попытаться донести до аудитории, разъяснить, чтобы не было им потом печально. Из аудитории на РусКрипто никто не знал об APT в России. Не из за пессимистичности ли? Ведь «термин был моден в 2009-2010». Про 2011 и 2012 d00kie наверное вы не успели прочитать.
Задумалась — может стоит взять на следующую статью в качестве примера dsec?
Зачем столько агрессии. Я прочитал все. Мы говорим о разном. Вы о том, что это происходит и сейчас, что это актуально и важно и тд и тп. А я о том, что это все было и раньше. АПТ просто новый термин. Ничего НОВОГО в самой парадигме нет. То что на РусКрипто никто не знал про АПТ, это уже проблемы иного характера. Если человек работает в ИБ, и в 2012 году впервые слышит про АПТ и все эти угрозы, то это вопрос лично к этому человеку, а не ко мне. А репрезентативной статистики по инцидентам в России вообще нет.

Задумалась — может стоит взять на следующую статью в качестве примера dsec?
Это вот вообще зачем и к чему, как я должен на это отреагировать?
Агрессии никакой нет. Опишите произошедшие случае термином не-APT. Атаки были раньше. APT замечать стали с 2006 года. Nortel — самый давний случай, известный на данный момент времени. Уверена, еще вспылывет что то впоследствии. Про APT на РусКрипто слышали. Никто не поднял руку на мой вопрос об APT в России. Потому что не знали, не слышали, «о! APT! а что это? А, понял, ну ладно, это все нацелено не в России, это все на *gov*».

Dsec я упомянула лишь потому что вижу пессимистичность к защите. Она бросается в глаза мне лично, как аналитику. Если человек показывает пессимизм к мерам защиты — значит на уровне корпоративной защиты тоже есть изъяны («осведомленность»). Значит — можно использовать. Обидеть не преследовала цель. Хотя, в день рождения настроение с минусами мне вы попортили.

Какую «репрезентативную» статистику вы хотели бы увидеть? Она есть в аналитике McAfee, Symantec. Копипастить их отчеты не преследовала целью. Подробные наименования компаний вы вряд ли найдете — не принято в России. Равно, как не принято сообщать об инцидентах.
Я пишу от своего имени в данных комментариях, dsec тут не причем. Взгляд на термин АПТ даже у моих коллег из этих самых dsec может быть другим.

Пессимизм к мерам защиты? Гмм… Нет, моя негативная оценка касается только раскручиванию данного термина как элемента «пугалки» и чего-то нового (я комментировал собственно в контексте комментария d_olex). При этом меры защиты не изменились, с появлением этой «новой» парадигмы. А значит в чем смысл всего вышесказанного: «При направленной целевой атаке, которую мы теперь будет называть угрозой APT, надо использовать то, что и так все давно знали, но почему-то не использовали». Вот тут да, пессимизм… и это вызвало такие отзывы с моей тролльской сущности. Прошу прощения, что так все вышло! С Днем Рождения! Мир, Дружба, Жвачка!
Согласен с d00kie, термин APT больше похож на страшилку, которую рассказывают клиенту, дабы он купил комплексной защиты на пару миллионов.
Из-за того что target атаки — промышленный/государственный шпионаж, интрудеров, инсайдеров собрали вместе и стали называть APT, вид атак не изменился, всегда был шпионаж, всегда были утечки там, где есть ценная информация, а появление компьютера лишь упростило эту задачу.
Другое дело, что информации всё больше, ценность добычи конкретной информации растет, растёт количество и квалификация атак, и часть информации об этих атаках утекает в сеть, что и становится грозными APT, столь любимыми в последнее время вендорами софта в сфере ИБ.
Я никогда не смотрю на то, шифрованный трафик wifi или нет. Какая разница, если интернетом я пользуюсь через socks-proxy по ssh на доверенный узел?
Как показала практика подавляющее большинство называющих себя специалистами ИБ не заморачиваются такими тонкостями.
APT интересен тем что атакующие перешли от подхода — попробовали типовые методики, не получилось, ушли к проектному подходу. Это значит что атакующие никуда не уйдут и продолжат атаковать до тех пор пока не добьются успеха. Не получится с уязвимостями, завербуют инсайдера, не смогут найти инсайдера внедрят в организацию своего человека и начнут его продвигать по карьерной лестнице.

Никто не спорит что отдельные методы атак использовались и ранее. В APT не используются никакие продвинутые технологии или методы. Отличие лишь в том что ранее не было системного подхода.

Второе отличие в том что атакующие не заинтересованы в быстрой монетизации своей атаки. Их интерес оставаться в организации как можно дальше. В случае обнаружения они не прячутся, как сделали бы типичные злоумышленники, а начинают действовать еще более агрессивно.

Подробности описал тут blogs.technet.com/b/abeshkov/archive/2012/05/02/3495710.aspx

Зарегистрируйтесь на Хабре , чтобы оставить комментарий