O que é uma ameaça persistente avançada?

Publicados: 2021-06-10

Uma ameaça persistente avançada é um tipo de ataque em que um hacker ou qualquer usuário não autorizado acessa à força um sistema ou uma rede por um tempo considerável e permanece lá sem que ninguém perceba.

Ameaças Persistentes Avançadas (APT) são excepcionalmente perigosas, principalmente para empresas, porque esses hackers têm acesso consistente a dados altamente confidenciais da empresa. O objetivo principal das ameaças persistentes avançadas não é causar nenhum dano a nenhuma máquina ou rede local, mas mais relacionado ao roubo de dados.

Neste artigo
  • Como funciona o APT
  • Estágios é a evolução dos ataques de ameaças persistentes avançadas (APT)
  • Como identificar ameaças persistentes avançadas
  • Exemplos avançados de ameaças persistentes
  • Medidas de Segurança APT
  • Práticas recomendadas de segurança de rede

Quais são as etapas avançadas de ameaças persistentes e como elas funcionam?

As ameaças persistentes avançadas geralmente são feitas de maneira faseada, que começa com o hacking da rede, seguido de evitar qualquer detecção do hack. Além disso, os hackers constroem um plano de ataque, onde mapeiam os dados da empresa para descobrir onde a rata é mais facilmente acessível. Finalmente, eles coletam esses dados confidenciais e os desviam.

Essas ameaças dizem causar muitas violações de dados, resultando em grande impacto financeiro. Sua capacidade de permanecer indetectável por algumas das medidas de segurança tradicionais é o ponto preocupante para as empresas. E para aumentar ainda mais as preocupações das empresas, os hackers estão criando métodos mais sofisticados para atingir seus objetivos, causando um aumento desenfreado de ameaças persistentes avançadas.

As ameaças persistentes avançadas usam métodos diferentes para obter acesso inicial a uma rede; em alguns casos, os invasores podem usar a Internet para enviar malware e obter acesso. Às vezes, eles também induzem a infecção física por malware ou a exploração externa para que possam entrar em uma rede protegida.

Em comparação com muitas das ameaças tradicionais, como vírus e malware, que apresentam o mesmo comportamento de forma consistente, todas as vezes, as ameaças persistentes avançadas são muito diferentes. As ameaças persistentes avançadas não têm uma abordagem ampla ou genérica.

Pelo contrário, são ameaças meticulosa e cuidadosamente planejadas, com o objetivo claramente definido de atingir uma organização específica. Assim, as ameaças persistentes avançadas são extremamente customizadas e muito sofisticadas para escapar das medidas de segurança existentes em uma empresa.

Mais frequentemente, os hackers usavam conexões confiáveis ​​para obter a entrada inicial. Isso significa que os hackers podem obter acesso por meio de credenciais de funcionários ou parceiros de negócios, que são novamente acessados ​​por meio de ataques de phishing. Usando essas credenciais, os invasores podem permanecer indetectáveis ​​no sistema por um longo tempo, o suficiente para mapear os sistemas e dados da organização e preparar um plano de ataque para drenar os dados da empresa.

Do ponto de vista do sucesso de ameaças persistentes avançadas, o malware é um componente crítico. Depois que uma rede específica é violada, o malware pode se esconder facilmente de alguns dos sistemas de navegação padrão, passar de um sistema para outro, começar a coletar dados e monitorar a atividade da rede.

Outro aspecto importante é a capacidade desses hackers de operar remotamente e controlar remotamente essas ameaças persistentes avançadas. Isso dá aos hackers a oportunidade de navegar pela rede da empresa em busca de dados críticos, obter acesso às informações e, em seguida, iniciar o desvio desses dados.

Cinco estágios de um ataque persistente avançado em evolução

O ataque de uma ameaça persistente avançada pode ser realizado em cinco estágios diferentes, como:

  • Etapa 1: obter acesso

    É aqui que os hackers ou hacktivistas obtêm acesso inicial a uma rede de uma das três maneiras. Seja através de sistemas baseados na web, redes ou usuários humanos. Eles procuram vulnerabilidades de aplicativos e carregam arquivos maliciosos.

  • Fase 2: Estabeleça um ponto de apoio

    Uma vez que o acesso inicial é obtido, os hackers comprometem o sistema inserido criando um trojan de backdoor, que é mascarado para parecer um software legítimo. Desta forma, eles podem obter acesso à rede e controlar o sistema inserido remotamente.

  • Etapa 3: aprofunde o acesso

    Depois de estabelecerem sua base, os invasores coletam mais informações sobre a rede. Eles tentam atacar com força e descobrir vulnerabilidades na rede, através das quais podem obter acesso mais profundo e, assim, controlar sistemas adicionais.

  • Estágio 4: Mover lateralmente

    Uma vez dentro da rede, esses invasores criam canais de backdoor adicionais, o que lhes dá a oportunidade de se mover lateralmente pela rede e acessar os dados conforme e quando precisarem.

  • Estágio 5: Olhe, Aprenda e Permaneça

    Assim que começarem a se mover pela rede, eles começarão a coletar os dados e se prepararão para transferi-los para fora do sistema – conhecido como exfiltração. Eles criarão um desvio na forma de um ataque DDoS, enquanto os invasores desviam os dados. Se o ataque APT não for detectado, os invasores permanecerão na rede e continuarão procurando oportunidades para outro ataque.

( Leia também : O que é Segurança na Nuvem?)

Como detectar uma ameaça persistente avançada?

Devido à sua natureza, as ameaças persistentes avançadas não são facilmente detectadas. Na verdade, essas ameaças dependem de sua capacidade de permanecer despercebidas para realizar sua tarefa. No entanto, existem alguns indicadores que sua empresa pode vivenciar, que podem ser tratados como sinais de alerta precoce:

  • Um aumento no número de logins tarde da noite ou quando os funcionários não estão acessando a rede.
  • Quando você percebe trojans de backdoor em grande escala. Eles geralmente são usados ​​por hackers que usam ameaças persistentes avançadas para garantir que eles possam manter o acesso à rede.
  • Você deve procurar um fluxo repentino e grande de dados, de origens internas para máquinas internas e externas.
  • Confira os pacotes de dados. Isso geralmente é usado por invasores que planejam ameaças persistentes avançadas à medida que agregam os dados dentro da rede antes que os hackers movam os dados para fora da rede.
  • Identificando ataques de passagem de hash. Eles geralmente são direcionados ao armazenamento pass-the-hash ou à memória onde os dados de senha são mantidos. Acessar isso dará a oportunidade de criar novas sessões de autenticação. Embora possa não ser uma ameaça persistente avançada em todos os casos, a identificação de tal condição está sujeita a uma investigação mais aprofundada.

O que antes se pensava ser um alvo apenas em organizações maiores, ameaças persistentes avançadas também não estão penetrando em empresas de pequeno e médio porte. Como esses hackers usam métodos sofisticados para atacar, as organizações, independentemente de seu tamanho, devem implementar medidas de segurança robustas para lidar com isso.

Quais são alguns dos exemplos avançados de ameaças persistentes?

Empresas de segurança cibernética como a Crowdstrike(1) têm rastreado mais de 150 dessas situações adversas em todo o mundo; que inclui ativistas de hackers e eCriminals. Na verdade, eles têm um método de usar nomes de atores e animais associados à região.

Por exemplo, BEAR refere-se à Rússia, PANDA refere-se à China, KITTEN ao Irã e SPIDER é um eCrime que não se limita a uma região. Aqui estão alguns exemplos de ameaças persistentes avançadas que são detectadas pelo Crowdstrike.

  1. APT 27 (GOBLIN PANDA)

    Isso foi detectado pela primeira vez em 2013, quando hackers atacaram a rede de uma grande empresa de tecnologia com operações comerciais em vários setores.

  2. APT28 (URSO FANTÁSTICO)

    Essa ameaça persistente avançada específica usa falsificações de sites e mensagens de phishing que são realmente semelhantes às legítimas para obter acesso a dispositivos como computadores e telefones celulares.

  3. APT32 (Búfalo do Oceano)

    Este é um adversário baseado no Vietnã e está ativo desde 2012. Essa ameaça persistente avançada usa uma combinação de ferramentas prontas para uso junto com a distribuição de malware via Strategic Web Compromise, também conhecido como SWC.

Além das mencionadas acima, que foram detectadas pelo Crowstrike, existem outros exemplos de ameaças persistentes avançadas, como:

  • Ghostnet: é baseado na China, onde os ataques foram planejados e executados por meio de e-mails de phishing que continham malware. O grupo realmente segmentou dispositivos em mais de 100 países
  • Stuxnet: Este é um malware que visa principalmente sistemas SCADA (aplicações industriais pesadas), o que ficou evidente por seu sucesso em penetrar nas máquinas usadas no programa nuclear iraniano.
  • Sykipot: Este é um tipo de malware que ataca principalmente cartões inteligentes.

Medidas de segurança APT

É claro que a ameaça persistente avançada é um ataque multifacetado, e deve-se ter várias medidas de segurança, na forma de ferramentas e técnicas.

  • Monitoramento de tráfego: Isso permitirá que as empresas identifiquem penetrações, qualquer tipo de movimento lateral e exfiltração de dados.
  • Lista de permissões de aplicativos e domínios: Certifique-se de que os domínios e aplicativos conhecidos e confiáveis ​​sejam colocados na lista de permissões.
  • Controle de acesso: Necessidade de configurar protocolos de autenticação fortes e gerenciamento de contas de usuários. Se houver contas privilegiadas, elas precisam ter um foco especial.

Medidas de práticas recomendadas a serem tomadas ao proteger sua rede.

A dura realidade sobre ameaças persistentes avançadas é que não existe uma solução única que seja 100% eficaz. Portanto, veremos algumas das melhores práticas para a proteção do APT.

  • Instale um firewall:

    É importante escolher a estrutura de firewall correta que atuará como a primeira camada de defesa contra ameaças persistentes avançadas.

  • Ative um firewall de aplicativo da web:

    Isso pode ser útil porque impedirá ataques vindos de aplicativos da Internet/web, principalmente os que usam tráfego HTTP.

  • Antivírus:

    Tenha o antivírus mais recente e atualizado que pode detectar e prevenir programas como malware, trojans e vírus.

  • Sistemas de prevenção de intrusão:

    É importante ter sistemas de prevenção de intrusão (IPS), pois eles funcionam como um serviço de segurança, monitorando sua rede em busca de qualquer código malicioso e notificando você imediatamente.

  • Tenha um ambiente sandbox:

    Isso será útil para testar quaisquer scripts ou códigos suspeitos sem causar nenhum dano ao sistema ativo.

  • Configure uma VPN:

    Isso garantirá que os hackers do APT não tenham acesso fácil à sua rede.

  • Configure a proteção de e-mail:

    Como os e-mails são um dos aplicativos mais usados ​​regularmente, eles também são vulneráveis. Portanto, ative a proteção contra spam e malware para seus e-mails.

Pensamentos finais

Ameaças persistentes avançadas estão constantemente batendo na porta e precisam apenas de uma pequena abertura em sua rede para criar um dano em grande escala. Sim, esses ataques não podem ser detectados, mas com as medidas adequadas, as empresas podem ficar atentas para evitar qualquer adversidade devido a esses ataques. Seguir as melhores práticas e configurar medidas de segurança resultará na prevenção eficaz de tais ataques.

Outros recursos úteis:

Cinco dicas e estratégias para evitar ameaças cibernéticas

10 maneiras de evitar ameaças internas

Ameaças cibernéticas para combater em 2021

Importância da cibersegurança nos negócios