Bergantung pada orang yang anda tanya, Ancaman Berterusan Lanjutan (APT) adalah sama ada senario mimpi ngeri yang membuatkan CSO terjaga pada waktu malam atau hanya kata kunci pemasaran keselamatan terbaharu. Mari kita lihat lebih dekat apa sebenarnya APT dan apakah pertahanan yang ada terhadapnya.
Sejak istilah itu diperkenalkan di media, terdapat banyak definisi tentang apa itu APT. Mungkin definisi yang paling bebas gembar-gembur ialah definisi dari NIST, yang mentakrifkan APT sebagai:
Musuh yang memiliki tahap kepakaran yang canggih dan sumber yang besar yang membolehkannya mencipta peluang untuk mencapai objektifnya dengan menggunakan vektor serangan berbilang (cth, siber, fizikal dan penipuan). Objektif ini biasanya termasuk mewujudkan dan meluaskan kedudukan dalam infrastruktur teknologi maklumat organisasi yang disasarkan untuk tujuan mengekstrak maklumat, melemahkan atau menghalang aspek kritikal misi, program atau organisasi; atau meletakkan dirinya untuk melaksanakan objektif ini pada masa hadapan. Ancaman berterusan lanjutan: (i) meneruskan objektifnya berulang kali dalam tempoh masa yang panjang; (ii) menyesuaikan diri dengan usaha pembela untuk menentangnya; dan (iii) berazam untuk mengekalkan tahap interaksi yang diperlukan untuk melaksanakan objektifnya.
Takrifan ini sepatutnya menjelaskan salah tanggapan umum tentang APT, kerana kadangkala ia dicirikan sebagai masalah teknikal semata-mata, seperti kerentanan sifar hari. APT ialah penyerang yang mempunyai objektif yang jelas, bersedia dan mampu menggunakan pelbagai taktik daripada kejuruteraan sosial yang mudah kepada perisian hasad yang sangat kompleks, menyesuaikannya mengikut keperluan untuk memenuhi objektif tersebut. Ini berbeza sekali dengan penyerang pelbagai taman yang menggunakan alat automatik berskala besar untuk mengenal pasti dan menjejaskan perkara yang pada asasnya hanyalah sasaran peluang.
Satu lagi ciri yang ketara ialah jumlah sumber yang tersedia untuk penyerang ini, yang merupakan salah satu sebab mereka sering ditakrifkan sebagai tajaan kerajaan. Persatuan ini juga mewujudkan salah tanggapan bahawa APT hanya digunakan oleh kerajaan asing, tetapi sebenarnya terdapat organisasi lain yang boleh membiayai aktiviti penyerang ini, daripada syarikat yang sanggup terlibat dalam pengintipan industri hinggalah kumpulan jenayah terancang.
Dengan dek yang nampaknya begitu banyak bertindan di pihak penyerang, bagaimana anda boleh bertahan menentang APT? Pertama, sebelum anda boleh memasang pertahanan yang boleh dipercayai terhadap jenis ancaman ini, anda perlu merangkumi perkara asas. Menurut laporan Pelanggaran Data Verizon terbaharu, 96% daripada semua pelanggaran tidak begitu sukar kerana beberapa amalan keselamatan asas tidak dilaksanakan. Dasar kata laluan dan pengesahan yang betul, prosedur pengurusan tampalan, tembok api yang betul dan konfigurasi IDS dan prosedur semakan log adalah antara amalan keselamatan asas ini yang sepatutnya menjadi ciri kedua kepada organisasi anda.
Langkah kedua ialah untuk mengembangkan pandangan anda tentang perkara yang anda perlu selamatkan. Penyerang jenis ini sedang mencari aset maklumat anda yang paling berharga, dan anda perlu tahu apakah maklumat itu, di mana ia berada, siapa yang mempunyai akses kepadanya, sebab mereka mempunyai akses dan bila mereka mengaksesnya. Menjawab jenis soalan ini seharusnya memberi anda gambaran yang lebih jelas tentang bahagian paling kritikal dalam infrastruktur anda yang memerlukan perhatian anda. Ini, seterusnya, boleh membantu anda mengenal pasti tempat untuk ditumpukan semasa mencari anomali dalam log anda dan untuk memberi keutamaan dengan betul apabila insiden berlaku.
Satu lagi langkah yang perlu anda ambil ialah mengiktiraf kepentingan pengguna dalam organisasi anda untuk melindungi aset maklumat anda. Beberapa kes organisasi yang telah menjadi mangsa APT bermula dengan vektor serangan kejuruteraan sosial. Kesedaran keselamatan pengguna di semua peringkat organisasi adalah kunci dalam mana-mana strategi keselamatan maklumat.
Saya seorang pakar teknologi dengan lebih 10 tahun pengalaman melaksanakan pelbagai fungsi IT korporat, termasuk operasi desktop dan pelayan, pembangunan aplikasi dan pentadbiran pangkalan data. Peranan terbaru saya adalah dalam keselamatan maklumat, untuk…