Apa itu Advanced Persistent Threat (APT) Dan Cara Kerjanya
Sebagian besar orang membayangkan serangan cyber sebagai transmisi satu kali. Seorang hacker mendapatkan akses ke sistem Anda, mulai mengunduh dokumen dan informasi penting, dan kemudian keluar. Namun, ini tidak selalu terjadi.
Bahkan jika serangan asli berhasil, tidak setiap bahaya cyber berakhir di sana. Serangan cyber pada sistem yang terorganisir dengan baik mungkin membutuhkan waktu dan uang yang lama untuk diselesaikan. Mereka sering dikoordinasikan oleh geng cybercriminal yang dikenal sebagai kelompok APT.
Apa itu Advanced Persistent Threat (APT), dan apa yang harus Anda cari untuk melindungi diri dari mereka?
Definisi Advanced Persistent Threat (APT)
Ancaman persisten yang canggih adalah serangan cyber di mana penjahat berkolaborasi untuk mencuri data atau memasuki sistem, sering tidak diperhatikan untuk jangka waktu yang lama. Sebagian besar serangan ini dilakukan oleh negara-negara yang bertujuan untuk mengacaukan rezim lain.
Sedangkan jenis intrusi lainnya, seperti malware dan penipuan phishing, dapat dilakukan dalam hitungan hari, APT mungkin memakan waktu berbulan-bulan atau bahkan bertahun-tahun.
Kelompok APT dibuat untuk mengatasi kesulitan yang lebih parah, tetapi mereka tidak semai yang Anda kira. Bahkan, biaya serangan APT pada tahun 2019 diyakini serendah $ 15.000. Bagian paling mahal dari serangan ini adalah penggunaan alat pengujian penetrasi profesional untuk mengidentifikasi kelemahan dalam sistem dan jaringan.
Serangan APT, seperti bentuk serangan cyber lainnya, mungkin dimotivasi oleh keuntungan finansial, tetapi mereka juga dapat dimotivasi oleh spionase politik. Pemerintah, seperti yang dipikirkan orang, memiliki sistem yang paling dijaga, membutuhkan serangan yang panjang dan canggih.
Apa Perbedaan Antara ATA dan APT?
Advanced Targeted Attack (ATA) adalah pendekatan yang umumnya, tetapi tidak selalu, digunakan oleh kelompok aktor mapan. Di masyarakat, organisasi-organisasi ini sering disebut sebagai "Fancy Bear" atau "Lazarus," tetapi di kalangan keamanan, mereka disebut sebagai kelompok "Advanced Persistent Threat" dan diberi identitas numerik, seperti APT1, APT2, dan sebagainya.
Strategi, infrastruktur, penggunaan kembali kode, dan / atau target keseluruhan satu kelompok dapat membedakannya dari yang lain. Satu geng APT, misalnya, dapat menggunakan kembali serangkaian rutinitas kode atau pendekatan rekayasa sosial tertentu, sementara yang lain mungkin bergantung pada kerentanan tertentu atau nol hari. Apakah sebuah perusahaan diserang oleh APT yang dikenal, geng kriminal, peretas tunggal, atau orang dalam yang buruk, fitur serangan yang ditargetkan sebagian besar sama.
Contoh Advanced Persistent Threat
Tidak semua APT menggunakan metode yang sama atau memiliki motivasi yang sama. Organisasi yang paling terkenal biasanya memiliki beberapa motivasi politik, tetapi mereka semua menggunakan teknik ilegal untuk mencapai tujuan mereka, seperti dibawah ini :
Bagaimana Cara Kerja Serangan APT?
Serangan APT tampaknya dimulai dengan infiltrasi. Dalam kebanyakan kasus, peretas masuk menggunakan aset online, sumber daya jaringan, email phishing, pengguna manusia yang berwenang, dan sebagainya. Begitu masuk, peretas memasang cangkang backdoor yang memungkinkan mereka mengakses mesin korban kapan saja.
Kemudian, serangan APT akan berusaha untuk menyebarkan kehadirannya dan membahayakan karyawan staf yang memiliki akses ke data sensitif. Setelah mereka memperoleh informasi yang cukup, peretas akan menggunakan serangan DDoS atau jenis pengalihan lain untuk menyembunyikan ekstraksi mereka.
Serangan yang ditargetkan memiliki fitur khusus yang dapat diklasifikasikan sebagai tahapan :
- Pengumpulan Intelijen
- Titik Masuk &infiltrasi
- Komunikasi – Komando & Kontrol
- Gerakan Lateral & Penemuan Aset
- Eksfiltrasi – Mencuri Permata Mahkota
Karakteristik Utama Advanced Persistent Threat
APT Group menggunakan pendekatan yang berbeda dari yang digunakan oleh peretas lain yang dimaksudkan untuk dideteksi oleh sistem Anda. Berikut adalah beberapa ciri ancaman persisten canggih yang harus diwaspadai.
Log-In Setelah Jam Kerja yang Tidak Biasa
Peningkatan login yang lebih tinggi larut malam mungkin merupakan gejala pertama dari ancaman persisten yang canggih. A APK dapat membahayakan seluruh lingkungan dalam hitungan jam dengan menggunakan akun dengan akses dan izin yang lebih besar.
Karena peretas ini menggunakan akun tingkat tinggi, Anda juga dapat memeriksa dengan berbagai departemen Anda untuk melihat kapan pemimpin mereka mengakses jaringan. Ketika pengguna luar mengakses informasi Anda, Anda harus dapat memberi tahu.
Aktor Ancaman Membuat Comeback
Program Trojan Backdoor juga diinstal oleh aktor ancaman untuk menjamin bahwa mereka memiliki rute kembali ke sistem Anda jika salah satu titik akses mereka dikompromikan.
Jika Anda telah melihat pola serangan serupa dalam jangka waktu yang lama, kemungkinan besar ini adalah serangan cyber APT.
Email yang Disadap
Ancaman APT juga diketahui menyebabkan arus informasi yang tidak terduga, seperti email yang dicegat oleh komputer lain. Beberapa sistem email cloud melacak dari mana pesan diakses, tetapi tidak semuanya.
Anda mungkin juga melihat email spear-phishing, yang dikirim ke karyawan manajemen atas yang mungkin secara tidak sengaja mengizinkan akses peretas.
Pengamatan Aneh Lainnya
Jika Anda mengamati sesuatu yang luar biasa, itu mungkin APT. Ini mungkin termasuk lonjakan tak terduga dalam penggunaan data atau kelambatan server.
Melacak ancaman dan aktivitas sistem yang tidak terduga adalah komponen penting untuk meningkatkan keamanan siber Anda. Buat garis dasar perilaku biasa sehingga setiap outlier dapat dengan mudah diidentifikasi.
Membatasi Kerusakan dari Ancaman Persisten Lanjutan
Ada berbagai variabel yang perlu dipertimbangkan ketika mempertimbangkan kerugian yang disebabkan oleh APT kepada organisasi.
Tujuan penyerang mungkin adalah uang, data, atau keduanya, atau mereka bisa lebih peduli dengan menyebabkan kerusakan reputasi, atau semua hal di atas. Beberapa bahaya mungkin akut, sementara yang lain mungkin jangka panjang.
Kerugian finansial, ketidaktersediaan jaringan, atau pencurian data semuanya dapat mengakibatkan kerusakan langsung. APT sering semua tentang siluman, namun tren yang berkembang di industri ransomware adalah untuk menargetkan bisnis tertentu dan kemudian menginfeksi mereka dengan ransomware. Hal ini sangat merusak organisasi karena penyerang dapat memanfaatkan langkah penemuan aset untuk menentukan apa yang paling berharga dan menonaktifkan solusi "perlindungan eksploitasi".
Biaya jangka panjang mungkin lebih sulit untuk dinilai, meskipun mereka mungkin termasuk hilangnya kekayaan intelektual yang menguntungkan saingan atau hilangnya kepercayaan di kalangan investor atau konsumen.
Untuk mengurangi konsekuensi langsung dan jangka panjang dari APT yang sukses, solusi keamanan Anda harus menyertakan strategi pasca-pelanggaran. Paling tidak, ini berarti kemampuan untuk mengidentifikasi dan menutup kerentanan yang dieksploitasi dalam pelanggaran, serta kemampuan untuk mengumpulkan data yang dapat ditindaklanjuti; data yang akan membantu Anda dalam memahami apa yang terjadi, melacak individu yang bertanggung jawab, dan pada akhirnya membantu mengurangi biaya pasca-pelanggaran.