Αναγνώριση APT και αντιμετώπιση με active defense.

Abstract

Τα τελευταία χρόνια το Modus Operandi (λατινική έκφραση που χρησιμοποιείται κυρίως στην εγκληματολογία για να περιγράψει τον τρόπο δράσης, τη συμπεριφορά και γενικά τα χαρακτηριστικά εκείνα των εγκληματιών κατά τη διάρκεια τέλεσης της εγκληματικής πράξης) των δραστών που πραγματοποιούν επιθέσεις σε δίκτυα υπολογιστών έχει εξελιχθεί ως προς την πολυπλοκότητα, την επιμονή και τους στόχους των επιθέσεων αυτών. Αυτό έχει οδηγήσει σε μια νέα κατηγορία απειλών, αυτή των Advanced Persistent Threats – APTs (Προηγμένες Επίμονες Απειλές), όπου αντίπαλοι με εξαιρετικές τεχνικές ικανότητες, οργάνωση, κίνητρα και συνήθως υψηλή χρηματοδότηση, πραγματοποιούν εξελιγμένες και μακροχρόνιες επιθέσεις στοχεύοντας στην αποκάλυψη πληροφοριών υψηλής οικονομικής αξίας ή εθνικής ασφάλειας. Η αντιμετώπιση των APT επιθέσεων με τα παραδοσιακά συστήματα άμυνας όπως antivirus, firewalls, IDS κ.ά., δεν είναι αποτελεσματική. Στην εργασία αυτή μελετάμε τα κύρια χαρακτηριστικά γνωστών APT επιθέσεων και παρουσιάζουμε μεθοδολογίες όπως αυτή της Kill Chain, τεχνολογίες και καλές πρακτικές που έχουν προταθεί αν όχι για την αποτροπή, τουλάχιστον για τον μετριασμό των επιθέσεων αυτών. Επιπλέον, μελετάμε την δυνατότητα αξιοποίησης της Ενεργητικής Άμυνας (Active Defense), δηλαδή την εφαρμογή προληπτικών επιθέσεων, αντεπιθέσεων και ενεργητικής παραπλάνησης ενάντια στις APT επιθέσεις. Παρουσιάζονται κατάλληλα εργαλεία μέσω πρακτικών παραδειγμάτων που μπορούν να χρησιμοποιηθούν κατά την εφαρμογή μιας πολιτικής Ενεργητικής Άμυνας και προτείνουμε ένα πλαίσιο (framework) για την συσχέτιση των κατηγοριών της Ενεργητικής Άμυνας στις φάσεις της Kill Chain το οποίο καλούμε Active Defense at Kill Chain (AD@KC).