¿Qué es la actividad de amenazas persistentes avanzadas (APT)?

Imagen de un código de computadora arrastrado a la distancia. ¿Tonterías o amenazas?
Fuente: almacenamiento empresarial

Los ciberdelincuentes suelen utilizar amenazas persistentes avanzadas (APT) para mantener la vigilancia o atacar a sus objetivos. Uno de los activos más valiosos de una empresa son sus datos. Los ciberdelincuentes usan APT para robar su información, incluidos los secretos comerciales y las patentes. Además, los malos actores pueden usar APT para obtener información de empleados y clientes con fines de chantaje o para ayudar a obtener una mejor comprensión de su empresa.

Con este fin, una amenaza persistente avanzada es una actividad contra un objetivo, donde una presencia persistente lanza un ataque de vigilancia o destructivo. Las APT son peligrosas porque utilizan técnicas avanzadas para pasar desapercibidas. Este artículo analiza qué es una amenaza persistente avanzada y cómo proteger su negocio de los malos actores. ¡Primero, echemos un vistazo a lo que es APT!

¿Qué es una amenaza persistente avanzada?

Amenaza persistente avanzada es un término amplio que define actividades que utilizan una variedad de herramientas y técnicas para recopilar información y comprometer sistemas. En resumen, los atacantes encuentran la entrada a la empresa, establecen una cabeza de playa y atacan o monitorean a lo largo del tiempo. Cuanto más tiempo permanezcan en su sistema, más información podrán recopilar o más probable es que causen daños.

Para que los APT sean efectivos, deben poder esconderse en sus objetivos después de cada operación. Hace que las amenazas persistentes avanzadas sean difíciles de ejecutar y requiere personal experimentado para ejecutarlas. Además, las APT utilizan herramientas y técnicas avanzadas para distinguirlas del malware.

Cómo funcionan las campañas de amenazas persistentes avanzadas

Ilustración de un bucle APT.¡Ataque continuo usando la guerra de guerrillas!
Fuente: Wikimedia Commons

El diagrama anterior muestra cómo funciona la campaña APT. El error más pequeño puede arruinar toda una campaña de APT. A menos que trabaje con objetivos de alto valor o cadenas de suministro, es poco probable que vea actividad APT en la naturaleza.

El uso de un proveedor comprometido puede agregar algunas amenazas persistentes avanzadas a lo largo de la cadena de suministro. Luego, los malos actores esperan a que la cadena de suministro se sature por completo para recopilar datos o causar interrupciones. A menudo encontrará equipos de inteligencia a nivel gubernamental que utilizan amenazas persistentes avanzadas para ambas actividades. Los ataques a la infraestructura son un método común para reducir el PIB de un país objetivo. Alternativamente, los gobiernos lo usan para obtener inteligencia sobre sitios seguros. Con este fin, el equipo se centró en proveedores de soluciones de terceros para agregar APT a industrias clave. Esto generalmente se logra modificando el software sin el conocimiento del proveedor antes de la instalación.

Una vez que se establece una puerta trasera, los malos pueden comenzar a moverse. Alternativamente, usan ataques automatizados contra muchos objetivos. Los procedimientos ejecutados manualmente funcionan mejor que los métodos genéricos. Al investigar un ataque, si detecta un método de ataque común, sabe que no es el único. Para ayudar a otros en su campo, también debe advertirles sobre los riesgos de las APT.

Recuerde, los atacantes a menudo quieren algo más que sus datos. Quieren los datos de su socio comercial y de sus clientes. Puede esperar que los APT intenten infiltrarse en toda su red y en otros a su alrededor. Cuando comienza a ver actividad sospechosa en toda su infraestructura, probablemente tenga una amenaza persistente avanzada al alcance de su mano.

Entonces, ¿cómo sabes si estás bajo ataque? Dirijamos nuestra atención a las 5 etapas de un ataque APT. Identificar estas etapas puede ayudarlo a detectar cuándo está bajo ataque.

Las 5 etapas de la evolución de la actividad de amenazas persistentes avanzadas

Una imagen de algunos pasos en un bosque.¡Solo hay 5 pasos para una campaña APT!
Fuente: Flickr

Las amenazas persistentes avanzadas son personalizadas y utilizan técnicas avanzadas, pero todas siguen las mismas 5 etapas. Comprender estas 5 etapas puede ayudarlo a evaluar las amenazas y eliminarlas.

1. acceder

Los atacantes suelen utilizar ataques como el phishing selectivo y la inyección de SQL para obtener acceso a su red. Si tiene una fuerza laboral bien capacitada con buen sentido común, los atacantes tendrán que trabajar más duro para obtener acceso. Además, considere usar una solución de seguridad de red todo en uno integrada y herramientas de administración de red para reducir la superficie de ataque.

2. establecer un punto de apoyo

Después del paso 1, puede esperar que un atacante agregue una puerta trasera para obtener acceso a su red. La puerta trasera requiere los permisos y conexiones necesarios para funcionar. Verifique el tráfico de salida de su red en busca de conexiones de acceso remoto extrañas. Tenga en cuenta que los delincuentes pueden usar hardware robado o direcciones MAC falsas para engañarlo. En el camino, esté atento a nuevos agujeros en su firewall o puertos abiertos utilizados por malos actores. Siga la gestión de direcciones IP y elimine el hardware obsoleto de la red.

3. Profundizar el acceso

Una vez que tienen una puerta trasera, debe estar atento a las señales de escalada de privilegios. Los atacantes usan esto para obtener un mejor acceso al sistema. Esté atento a nuevas cuentas administrativas o cuentas utilizadas fuera del horario de oficina. En esta etapa, los ciberdelincuentes pueden cambiar los niveles de control de acceso (ACL).

4. movimiento lateral

A medida que los atacantes obtengan más acceso, agregarán software personalizado a su infraestructura. Puede ser un software de monitoreo y recopilación, o puede ser un software de ataque que un atacante activa una compilación. Además, los atacantes intentarán mapear su red en esta etapa.

5. Observa, aprende y mantén

El paso final de una APT es usar un ataque para ayudar a extraer datos de su red. Además, los atacantes intentarán asegurarse de que permanezcan ocultos para poder repetir el proceso. Repetir el proceso permitirá que estos malos continúen robando sus datos confidenciales. Para esto, se requiere mucho trabajo inicial para crear una APT adecuada para este tipo de espionaje. Si detecta un APT temprano, puede fortalecer su sistema. Por lo tanto, su atacante deberá comenzar con un nuevo plan.

Ahora que sabe que los APT son campañas altamente personalizadas, veamos las características de un ataque ATP. Además de comprender las etapas de un ataque ATP, conocer las características comunes de un ataque puede ayudarlo a descubrir si está siendo atacado.

Características de un ataque APT

Los ataques APT no son fáciles de detectar, ¿por qué? Porque las amenazas persistentes avanzadas ocultan su existencia. Si conoce ataques comunes que pueden comprometer su red, busque estos signos. Además, sabe que el atacante necesita una puerta trasera para las operaciones de ataque manual. Verifique las conexiones para eliminar las máquinas a las que su empresa no estaba conectada anteriormente.

Ver signos de ser derrotado en el mercado generalmente le indica que tiene una campaña APT dirigida a usted o a un topo. Si comienza a ver que sus servidores se caen o su servicio cae, notará la diferencia. Utilice Exinda de GFI o una solución similar para mapear e identificar la calidad del servicio para ayudar a verificar las inconsistencias en el sistema.

Verificar el registro de transacciones puede ayudar si conoce la hora del ataque. Puede encontrar que una computadora en su red está conectada a un servidor o conectada de forma remota. Las amenazas persistentes avanzadas ocultan sus huellas y es posible que los malos hayan eliminado sus registros. Si es así, verifique las imágenes anteriores y las copias de seguridad en busca de rastros.

Ha visto todas las formas de averiguar si está bajo un ataque ATP, pero ¿cómo protege su negocio de él? ¡Siga leyendo para saber qué puede hacer para proteger su negocio de la actividad de APT!

Pasos rápidos para ayudar a proteger su negocio

Las campañas de APT deben dirigirse a partes clave de su negocio. Para mitigar eficazmente la actividad de APT, utilice los siguientes pasos:

  • Parche todo el software tan pronto como se publiquen los parches.
  • Utilice el cifrado para todas las conexiones de red para evitar que los malhechores detecten sus paquetes.
  • Filtre el correo electrónico para eliminar el spam y reducir los ataques de phishing.
  • Habilite el registro de seguridad y las notificaciones automáticas para ayudar a detectar comportamientos maliciosos.
  • Revise regularmente la lista de usuarios para eliminar a los usuarios antiguos.

Qué puede hacer para comprobar la actividad de APT

Imagen de varias carpas en el desierto.Una campaña tiene que ser una carpa, ¡busca un lienzo!
Fuente: Pexels

Compruebe si hay cambios en la configuración de la solución antivirus y del cortafuegos. Recuerde que los malos actores deben recorrer y mapear su sistema. También debe verificar la escalada de privilegios y las ACL. Además, busque nuevos administradores o superusuarios. Si encuentra uno, compárelo con su base de datos, Active Directory o LDAP. El uso de una solución de software de gestión de amenazas unificada también puede ayudar a acelerar el proceso de búsqueda de amenazas APT.

Finalmente, verifique que la lista blanca de su dominio no haya cambiado. La lista blanca es una medida de seguridad defectuosa que agrega dominios a los archivos. Por lo general, solo crea la lista blanca durante la instalación de la plataforma; si ha cambiado, verifique la fecha para que pueda investigar más.

¡Vamos a terminarlo ahora!

pensamientos finales

Las campañas APT son raras debido a la experiencia requerida para diseñar, desarrollar y ejecutar campañas. Los ciberdelincuentes trabajan en equipos, al igual que las empresas modernas, manejando cada etapa del proceso. Aún así, el costo de hacer APT efectivos significa que solo puede encontrar equipos de élite que los usen. Encontrar operaciones de amenazas persistentes avanzadas en su red es un desafío. Sin embargo, puede detectar a los atacantes comprobando las puertas traseras, los usuarios nuevos o modificados y la escalada de privilegios.

La Agencia de Seguridad Marketingdecontenido de EE. UU. (NSA) utiliza herramientas similares para infiltrarse y espiar a las organizaciones criminales. El sitio web de la NSA proporciona herramientas gratuitas para que los expertos en seguridad encuentren ejemplos del mundo real con los que probar los sistemas. En resumen, los sombreros blancos y los sombreros negros conocen estas herramientas, por lo que la NSA ya no necesita ocultarlas. En cambio, la NSA lanzó este software para ayudarlo a entrenarse para luchar contra los piratas informáticos de sombrero negro.

Controlar Preguntas más frecuentes y recurso Obtenga más información sobre las amenazas persistentes avanzadas y temas relacionados en las siguientes secciones.

Preguntas más frecuentes

¿Qué son las herramientas de prueba de penetración?

Los expertos en ciberseguridad utilizan herramientas de prueba de penetración para probar si una red puede resistir un ataque. Estas herramientas prueban sus sistemas de seguridad e intentan atacar múltiples aspectos de su red para encontrar agujeros que arreglar.

¿De cuántos tipos diferentes de malware debo ser consciente?

Solo encontrará una docena o más de tipos de malware en la naturaleza. Los malos actores crean diferentes variantes y mezclan malware para eludir las medidas de seguridad. Sin embargo, todos los días aparecen nuevas combinaciones de malware, por lo que los sistemas antivirus deben mantenerse actualizados para hacer frente a esto.

¿Cuánto dura la actividad de amenazas persistentes avanzadas (APT) antes de que se detecte?

La actividad APT puede continuar durante mucho tiempo antes de que los atacantes alcancen su objetivo final. Es posible que necesite de 3 a 4 meses para ubicar el software y mapear su red antes de que los malos terminen. Le da tiempo a su equipo de ciberseguridad para reducir el riesgo de escalada con una estrategia de gestión de amenazas unificada.

¿Los ciberdelincuentes utilizan software para implementar campañas APT?

Sí, algunas campañas de APT actualmente usan Office 365 para obtener acceso. A menudo encontrará plataformas especializadas implementadas por proveedores externos que se utilizan como vectores para el software APT. Esto puede apuntar a una empresa específica, una cadena de suministro o cualquier negocio asociado con el software.

¿Qué es un indicador de compromiso (IoC)?

Los IoC son lo que dejan los ciberdelincuentes para proporcionar pistas sobre cómo funcionan sus ataques. Estos pueden ser cosas como archivos de registro o archivos zip. Si hay un ataque en curso, puede usar esto para evaluar los objetivos finales del atacante. Esto le permite adelantarse, detener ataques y limitar el daño.

recurso

TechGenix: artículos sobre filtrado web

Aprenda cómo el filtrado web puede ayudarlo a proteger su negocio de la actividad de APT.

TechGenix: artículos sobre los diferentes tipos de cortafuegos

Descubra los diferentes tipos de cortafuegos y lo que pueden ofrecer a su empresa.

TechGenix: artículo sobre el síndrome de sobrecarga de InfoSec

Aprenda a mitigar el síndrome de sobrecarga de InfoSec.

TechGenix: artículos sobre servidores proxy

Descubra cómo los servidores proxy pueden proteger su negocio de las amenazas en línea.

TechGenix: artículos sobre las VPN de Linux

Descubra la mejor VPN para Linux para su empresa.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario