APT, которые часто переводят на русский как целенаправленные атаки, стали популярной темой страшилок от ИБ. Под APT подразумевался вирус Stuxnet, под APT подразумевались атаки на RSA и Sony, под APT подразумевалась атака на Gmail под кодовым названием «Аврора». Последнюю, правда, иногда расшифровывали как Asia Pacific Threat. Очевидно, что каждая компания под APT подразумевает что-то своё, поэтому было бы интересно, что именно каждый вкладывает в это словосочетание. Попытаемся классифицировать определения целевых атак, которые используют различные компании.
Итак, я предлагаю определить следующие квалификационные признаки APT:
Перечисленные признаки являются наиболее общими, а, главное, они в определенной мере позволяют выстроить средства защиты от APT — именно поэтому их и используют маркетинговые службы производителей средств защиты, для которых APT — это способ запугивания клиентов перед продажей своих продуктов. При этом вполне возможно, что есть и ещё квалификационные признаки целенаправленных атак, которые менее практичны с точки зрения маркетинга, но тем не менее характеризуют целенаправленные атаки.
Итак, я предлагаю определить следующие квалификационные признаки APT:
- Отраслевая направленность. Некоторые антивирусные компании подразумевают под APT вирусные атаки, направленные против конкретной индустрии. Примером может служить Stuxnet, нацеленный на ядерную индустрию. Подобные вредоносные коды на самом деле всё-равно рассылаются массово либо целевой спамовской рассылкой по индустрии или с тематического сайта, но их дальнейшее распространение действительно строго контролируется. Некоторые компании именно такие атаки называют словом APT.
- Сложность кодов. В некоторых случаях под целевыми атаками подразумевают сложные коды, которые с лёгкостью проходят существующие в конкретной компании средства защиты. Такие атаки, как правило, действительно целенаправлены — коды разрабатываются под заказ для проникновения в корпоративную сеть конкретной компании, предварительно изучив, например, с помощью методов конкурентной разведки используемые в компании средства ИТ и сопутствующие им защитные механизмы. Такой атакой вполне могла быть атака на RSA и Sony.
- Скрытность. В некоторых случаях целенаправленной считают атаку, которая закрепляется в информационной системе и хакеры долго контролируют внедренные при атаке вредоносные коды. Такие скрытые атаки позволяют украсть много ценных данных, хотя и организовать их значительно сложнее. Хакерам приходится постоянно менять коды так, чтобы их невозможно было обнаружить, использовать скрытые каналы взаимодействия с внедренными агентами и оставлять в захваченной системе много троянских кодов, которые позволят восстановить контроль над системой в случае обнаружения вторжения. В качестве примера подобной атаки можно привести атаку на сеть магазинов Target, где злоумышленникам удалось достаточно долго оставаться незамеченными, что и позволило украсть значительный объём данных.
Перечисленные признаки являются наиболее общими, а, главное, они в определенной мере позволяют выстроить средства защиты от APT — именно поэтому их и используют маркетинговые службы производителей средств защиты, для которых APT — это способ запугивания клиентов перед продажей своих продуктов. При этом вполне возможно, что есть и ещё квалификационные признаки целенаправленных атак, которые менее практичны с точки зрения маркетинга, но тем не менее характеризуют целенаправленные атаки.
