Persistance
Un attaquant passe souvent beaucoup de temps à rechercher et à collecter des informations sur les environnements d'exploitation réseau du système cible ainsi qu'à explorer la vulnérabilité du système de confiance et des programmes d'application de l'attaquant. L'attaquant peut ne pas percer le système de défense de la cible dans un court laps de temps, mais il ou elle peut découvrir une vulnérabilité dans la cible ou trouver la possibilité d'attaquer la cible au fil du temps, en particulier lorsque les appareils sont mis à niveau ou des applications sont mis à jour dans le système de défense.
Terminal
L'attaquant n'attaque pas directement la cible. Au lieu de cela, l'attaquant compromet d'abord un périphérique terminal (tel qu'un smartphone ou un PAD) lié au système cible pour voler le compte d'utilisateur et le mot de passe. C'est-à-dire que le dispositif terminal sert de station de transfert pour l'attaque sur le système cible.
Pertinence
Sur la base des informations collectées sur les logiciels fréquemment utilisés, les politiques et produits de défense et le déploiement du réseau interne du système cible, l'attaquant établit un environnement spécifique pour découvrir la vulnérabilité et tester s'il existe des méthodes pour contourner les inspections.
Inconnue
Les produits de sécurité traditionnels se défendent contre les attaques basées uniquement sur des virus et des vulnérabilités connus. Les attaquants APT peuvent exploiter la vulnérabilité 0-day pour lancer des attaques, qui peuvent facilement traverser le système de défense.
Dissimulation
Lors de l'accès à un actif important, l'attaquant utilise un client contrôlé pour voler des informations via un canal de données crypté. Dans ce cas, le système d'audit et le système de détection d'anomalies ne peuvent pas détecter l'attaque.
Avec les fonctionnalités d'attaque précédentes, les attaques APT sont plus avancées, cachées et dévastatrices. Grâce à ces fonctionnalités, elles sont devenues une menace majeure pour la sécurité du réseau de nos jours.
Comment le FW fonctionne-t-il avec le bac à sable?
La procédure de défense contre les attaques APT est la suivante:
Un attaquant externe lance une attaque APT vers le réseau de l'entreprise. Le trafic d'attaque correspondant au profil de défense APT est restauré dans un fichier.
Le FW envoie le fichier restauré au bac à sable pour l'analyse des menaces.
Le FW obtient périodiquement le résultat de la détection de fichiers à partir du sandbox.
Si le bac à sable détecte le trafic malveillant, il FW met à jour le fichier malveillant mis en cache et les listes d'URL malveillants en fonction du résultat de détection. Si le trafic suivant correspond au fichier malveillant ou à la liste d'URL malveillantes, l'action de blocage ou d'alerte est effectuée pour protéger l'intranet de l'entreprise contre les attaques.
