¿Qué es una amenaza persistente avanzada?

Publicado: 2021-06-10

Una amenaza persistente avanzada es un tipo de ataque en el que un pirata informático o cualquier usuario no autorizado accede por la fuerza a un sistema o red durante un tiempo considerable y permanece allí sin que nadie lo note.

Las amenazas persistentes avanzadas (APT) son excepcionalmente peligrosas, especialmente para las empresas porque estos piratas informáticos tienen acceso constante a datos de la empresa altamente confidenciales. El objetivo principal de las amenazas persistentes avanzadas no es causar ningún daño a ninguna máquina o red local, sino que está más relacionado con el robo de datos.

En este articulo
  • Cómo funciona APT
  • Stages es la evolución de los ataques de amenazas persistentes avanzadas (APT)
  • Cómo identificar amenazas persistentes avanzadas
  • Ejemplos de amenazas persistentes avanzadas
  • Medidas de seguridad APT
  • Mejores prácticas de seguridad de red

¿Cuáles son los pasos de amenazas persistentes avanzadas y cómo funcionan?

Las amenazas persistentes avanzadas generalmente se realizan de manera gradual, lo que comienza con la piratería de la red y luego evita cualquier detección de la piratería. Además, los piratas informáticos construyen un plan de ataque, en el que mapean los datos de la empresa para averiguar dónde se puede acceder más fácilmente a la tasa. Finalmente, recopilan estos datos confidenciales y los desvían.

Se dice que estas amenazas causan muchas filtraciones de datos que tienen un gran impacto financiero. Su capacidad para pasar desapercibido por algunas de las medidas de seguridad tradicionales es lo que preocupa a las empresas. Y para aumentar las preocupaciones de las empresas, los piratas informáticos están creando métodos más sofisticados para lograr sus objetivos, lo que provoca un aumento desenfrenado de amenazas persistentes avanzadas.

Las amenazas persistentes avanzadas utilizan diferentes métodos para obtener acceso inicial a una red; en algunos casos, los atacantes pueden usar Internet para enviar malware y obtener acceso. A veces, también inducen una infección de malware físico o una explotación externa para que puedan ingresar a una red protegida.

En comparación con muchas de las amenazas tradicionales, como virus y malware, que muestran el mismo comportamiento de manera constante, las amenazas persistentes avanzadas son muy diferentes cada vez. Las amenazas persistentes avanzadas no tienen un enfoque amplio o genérico.

Por el contrario, son amenazas planificadas de forma meticulosa y cuidadosa, con un objetivo claramente definido de atacar a una organización específica. Por lo tanto, las amenazas persistentes avanzadas están extremadamente personalizadas y tienen un diseño muy sofisticado para escapar de las medidas de seguridad existentes en una empresa.

Más a menudo, los piratas informáticos utilizaron conexiones confiables para obtener la entrada inicial. Esto significa que los piratas informáticos pueden obtener acceso a través de las credenciales de los empleados o socios comerciales, a las que nuevamente se accede a través de ataques de phishing. Con estas credenciales, los atacantes pueden permanecer sin ser detectados en el sistema durante mucho tiempo, lo suficiente como para mapear los sistemas y datos de la organización y preparar un plan de ataque para drenar los datos de la empresa.

Desde el punto de vista del éxito de las amenazas persistentes avanzadas, el malware es un componente crítico. Una vez que se viola una red en particular, el malware puede ocultarse fácilmente de algunos de los sistemas de navegación estándar, pasar de un sistema a otro, comenzar a recopilar datos y monitorear la actividad de la red.

Otro aspecto clave es la capacidad de estos piratas informáticos para operar de forma remota y controlar estas amenazas persistentes avanzadas de forma remota. Brinda a los piratas informáticos la oportunidad de navegar a través de la red de la empresa en busca de datos críticos, obtener acceso a la información y luego iniciar el desvío de esos datos.

Cinco etapas de un ataque persistente avanzado en evolución

El ataque de una amenaza persistente avanzada se puede realizar en cinco etapas diferentes, tales como:

  • Etapa 1: obtener acceso

    Aquí es donde los piratas informáticos o hacktivistas obtienen acceso inicial a una red de una de las tres formas. Ya sea a través de sistemas basados ​​en web, redes o usuarios humanos. Buscan vulnerabilidades de aplicaciones y cargan archivos maliciosos.

  • Etapa 2: establecer un punto de apoyo

    Una vez que se obtiene el acceso inicial, los piratas informáticos comprometen el sistema ingresado mediante la creación de un troyano de puerta trasera, que se enmascara para que parezca un software legítimo. De esta manera, pueden acceder a la red y controlar el sistema ingresado de forma remota.

  • Etapa 3: profundizar el acceso

    Después de establecer su punto de apoyo, los atacantes recopilan más información sobre la red. Intentan atacar con fuerza y ​​descubrir vulnerabilidades en la red, a través de las cuales pueden obtener un acceso más profundo y, por lo tanto, controlar sistemas adicionales.

  • Etapa 4: moverse lateralmente

    Una vez que están en lo profundo de la red, estos atacantes crean canales de puerta trasera adicionales, lo que les da la oportunidad de moverse lateralmente a través de la red y acceder a los datos cuando los necesiten.

  • Etapa 5: Mira, Aprende y Permanece

    Una vez que comiencen a moverse por la red, comenzarán a recopilar los datos y se prepararán para transferirlos fuera del sistema, lo que se conoce como exfiltración. Crearán una desviación en forma de ataque DDoS, mientras que los atacantes desvían los datos. Si no se detectó el ataque APT, los atacantes permanecerán dentro de la red y seguirán buscando oportunidades para otro ataque.

( Lea también : ¿Qué es la seguridad en la nube?)

¿Cómo detectar una amenaza persistente avanzada?

Debido a su naturaleza, las amenazas persistentes avanzadas no se detectan fácilmente. De hecho, estas amenazas dependen de su capacidad para pasar desapercibidas para llevar a cabo su tarea. Sin embargo, existen algunos indicadores que su empresa puede experimentar y que pueden tratarse como señales de alerta temprana:

  • Un aumento en el número de inicios de sesión a altas horas de la noche o cuando los empleados no acceden a la red.
  • Cuando detecta troyanos de puerta trasera a gran escala. Por lo general, los usan los piratas informáticos que usan amenazas persistentes avanzadas para garantizar que puedan retener el acceso a la red.
  • Debe buscar un flujo de datos grande y repentino, desde orígenes internos hasta máquinas internas y externas.
  • Echa un vistazo a los paquetes de datos. Esto generalmente lo usan los atacantes que planean amenazas persistentes avanzadas, ya que agregan los datos dentro de la red antes de que los piratas informáticos muevan los datos fuera de la red.
  • Identificación de ataques pass-the-hash. Por lo general, estos están dirigidos al almacenamiento pass-the-hash o la memoria donde se guardan los datos de la contraseña. Acceder a esto le dará la oportunidad de crear nuevas sesiones de autenticación. Aunque podría no ser una amenaza persistente avanzada en todos los casos, la identificación de tal condición está sujeta a una mayor investigación.

Lo que antes se pensaba que era un objetivo solo para las organizaciones más grandes, las amenazas persistentes avanzadas no están penetrando también en las empresas pequeñas y medianas. Dado que estos piratas informáticos utilizan métodos sofisticados para atacar, las organizaciones, independientemente de su tamaño, deben implementar medidas de seguridad sólidas para abordar esto.

¿Cuáles son algunos de los ejemplos de amenazas persistentes avanzadas?

Las empresas de ciberseguridad como Crowdstrike(1) han estado rastreando más de 150 situaciones adversas de este tipo en todo el mundo; eso incluye hackers activistas y eCriminals. De hecho, tienen un método para usar nombres de actores y animales asociados con la región.

Por ejemplo, BEAR se refiere a Rusia, PANDA se refiere a China, KITTEN a Irán y SPIDER es un delito electrónico que no se limita a una región. Estos son algunos de los ejemplos de amenazas persistentes avanzadas que detecta Crowdstrike.

  1. APT 27 (PANDA DUENDE)

    Esto se detectó por primera vez en 2013 cuando los piratas informáticos atacaron la red de una gran empresa de tecnología con operaciones comerciales en múltiples sectores.

  2. APT28 (OSO DE LUJO)

    Esta amenaza persistente avanzada en particular utiliza sitios web falsos y mensajes de phishing que en realidad son similares a los legítimos para obtener acceso a dispositivos como computadoras y teléfonos móviles.

  3. APT32 (búfalo oceánico)

    Este es un adversario con sede en Vietnam y ha estado activo desde 2012. Esta amenaza persistente avanzada utiliza una combinación de herramientas listas para usar junto con la distribución de malware a través de Compromiso web estratégico, también conocido como SWC.

Además de las mencionadas anteriormente, que fueron detectadas por Crowstrike, existen otros ejemplos de amenazas persistentes avanzadas como:

  • Ghostnet: tiene su sede en China, donde los ataques se planificaron y ejecutaron a través de correos electrónicos de phishing que contenían malware. El grupo en realidad apuntó a dispositivos en más de 100 países.
  • Stuxnet: este es un malware que se dirige principalmente a los sistemas SCADA (aplicaciones industriales pesadas), lo cual fue evidente por su éxito al penetrar en las máquinas utilizadas en el programa nuclear iraní.
  • Sykipot: Este es un tipo de malware que ataca principalmente a las tarjetas inteligentes.

Medidas de seguridad APT

Está claro que la amenaza persistente avanzada es un ataque multifacético, y se deben adoptar múltiples medidas de seguridad, en forma de herramientas y técnicas.

  • Monitoreo de tráfico: esto permitirá a las empresas identificar penetraciones, cualquier tipo de movimiento lateral y exfiltración de datos.
  • Lista blanca de aplicaciones y dominios: asegúrese de que los dominios y las aplicaciones que son conocidos y confiables se incluyan en la lista blanca.
  • Control de acceso: Necesidad de configurar fuertes protocolos de autenticación y gestión de cuentas de usuario. Si hay cuentas privilegiadas, entonces deben tener un enfoque especial.

Medidas de mejores prácticas que se deben tomar al proteger su red.

La dura realidad de las amenazas persistentes avanzadas es que no existe una única solución que sea 100% efectiva. Por lo tanto, veremos algunas de las mejores prácticas para la protección APT.

  • Instale un cortafuegos:

    Es importante elegir la estructura de firewall correcta que actuará como la primera capa de defensa contra amenazas persistentes avanzadas.

  • Active un firewall de aplicaciones web:

    Esto puede ser útil porque evitará ataques provenientes de Internet/aplicaciones web, particularmente las que usan tráfico HTTP.

  • antivirus:

    Tenga el antivirus más reciente y actualizado que pueda detectar y prevenir programas como malware, troyanos y virus.

  • Sistemas de prevención de intrusos:

    Es importante contar con sistemas de prevención de intrusiones (IPS), ya que funcionan como un servicio de seguridad que monitorea su red en busca de cualquier código malicioso y lo notifica de inmediato.

  • Tener un entorno de caja de arena:

    Esto será útil para probar cualquier script o código sospechoso sin causar ningún daño al sistema en vivo.

  • Configurar una VPN:

    Esto asegurará que los piratas informáticos de APT no tengan fácil acceso a su red.

  • Configurar la protección de correo electrónico:

    Dado que los correos electrónicos son una de las aplicaciones más utilizadas, también son vulnerables. Por lo tanto, active la protección contra spam y malware para sus correos electrónicos.

Pensamientos finales

Las amenazas persistentes avanzadas llaman constantemente a la puerta y solo necesitan una pequeña abertura en su red para crear un daño a gran escala. Sí, estos ataques no se pueden detectar, pero con las medidas adecuadas, las empresas pueden estar atentas para evitar cualquier adversidad debido a estos ataques. Seguir las mejores prácticas y establecer medidas de seguridad dará como resultado una prevención efectiva de tales ataques.

Otros recursos útiles:

Cinco consejos y estrategias para evitar las ciberamenazas

10 formas de prevenir las amenazas internas

Ciberamenazas a Combatir en 2021

Importancia de la Ciberseguridad en los Negocios