Advanced Persistent Threat (APT) и Advanced Persistent Attack (APA)

Сегодня улыбнулся переводу: "постоянная изощренная угроза" :) Почитал отзывы о конференции RISSPA по APT и задумался: ведь перевод ничего не значит. Нужно понимать что значит технология, которую он описывает. Так же как Intrusion Prevention System не говорит о том, что же делает эта система. Даже про этот тип защиты, которому больше 10 лет кто-то говорит как про систему предотвращения атак, а кто-то как про систему предотвращения вторжений. Зависит от переводческого агенства, которому отдали брошюру на перевод производители :).

Я бы относился к APT так: Постоянное желание взломать. Это все объясняет.
К сожалению на русский язык перевести это тремя словами нельзя. Это будет длиннее. APT - это как ясно из перевода угроза. Это угроза того, что есть люди которые хотят взломать что-то у вас всеми имеющимися известными и неизвестными вам методами и утилитами. Это постоянная угроза того, что вас будут ломать любыми способами. Это бои без правил, за то что вам принадлежит: информацию, сетевые и вычислительные ресурсы. И, соответственно, такие атаки нельзя назвать как Advanced Persistent Attack, потому что по сути мы говорим про все атаки которые существуют или будут придуманы атакующим. У этих атак нет начала и конца - она идет постоянно. И вопрос в том, готовы ли вы защищаться постоянно. Здесь вопрос именно во времени. Как только появляется новый способ взлома - его на вас испробуют. Появится новый экслойт - он будет использован против вас, появилась новая уязвимость в вашем сервере - ею сразу же воспользуются. Администратор переконфигуровал временно защиту и ослабил ее - этим сразу же воспользуются. И их совершенно не колышет, что вы не можете защищаться 24 часа в сутки, их это даже радует. Как только вы уехали в отпуск, на выходные, пошли на встречу с девушкой, пошли на конфенцию по APT - злоумышленники сразу же атакуют. Вы под атакой всегда. У них есть цель - вы, и у них есть подоплека (деньги, информация, политика). И они вас взломают. Что можете вы? Вы можете только надеяться, что вовремя это обнаружите и прикроете новую уязвимость: вовремя поставите патч, вовремя настроите правила доступа, будете использовать сложные пароли, не будете вы и ваши коллеги запускать все подряд что приходит по почте, будете контролировать сетевые соединения не только входящие но и исходящие, запретите флешки, будете чаще менять пароли и т.д. Есть у вас на это силы? Вы молодец. Нету? Ну извините. APT никуда не исчезает и есть всегда. Взломаны Google, RSA(EMC), SONY, крупные нефтяные компании и еще много кого, кто даже не догадывается. Наверно вам повезет :) Но откуда вы знаете что вас еще не взломали втихаря? Потому что, про вас еще не написали в новостях? :)

Резюмирую: APT - это постоянное желание вас взломать всеми имеющими способами.


И еще одну тему хочу подчеркнуть: Почему все говорят про APT, но никто про него не знает?

Потому что, если взломали вашу сеть, вы не знаете была ли это APT или случайно вас взломали - нужно расследование. Если взломали ваш почтовый ящик - вы не знаете была ли у вас APT или опять же это дело случая. Поэтому APT однозначно могут бояться лишь государственные организации (потенциально много политических мотивов) и банковские организации (потенциально много финансовых мотивов) и некоторые другие. Есть еще конечно мотивы информационные - инвестиционные конторы например теряют кучу денег при потере одного документа. Например RSA взломали через уязвимость в Adobe Flash - это был APT, хотя атака быва типовая - через засылку файла в почту и таким образом ломают всех рассылкой "валентинок" на день святого валентина. Поэтому APT это угроза, а не конкретный способ атаки. APT это желание получить выгоду, а не обидеть вас лично. Хотя взлом HBGARY это была месть и он подходит под APT.

Все.