Advanced Persistent Threat: O que é e como se proteger?

O que é uma ameaça persistente avançada?

Uma ameaça persistente avançada (APT) é um ataque cibernético sofisticado e contínuo no qual um invasor estabelece uma presença não detectada em uma rede para roubar dados confidenciais durante um período prolongado. Um ataque de APT é cuidadosamente planejado e criado para se infiltrar em uma organização específica, burlar as medidas de segurança existentes e passar despercebido.

A execução de um ataque APT exige um grau maior de personalização e sofisticação do que um ataque tradicional. Os adversários geralmente são equipes experientes e bem financiadas de criminosos cibernéticos que têm como alvo organizações de alto valor. Eles gastaram tempo e recursos significativos pesquisando e identificando vulnerabilidades na organização.

Os objetivos das APTs se enquadram em quatro categorias gerais:

Espionagem cibernética, incluindo roubo de propriedade intelectual ou segredos de Estado
Crimes eletrônicos para ganhos financeiros
Hacktivismo
Destruição

Quais são os três estágios de um ataque de APT?

Para prevenir, detectar e resolver uma APT, é necessário reconhecer suas características. A maioria das APTs segue o mesmo ciclo de vida básico de infiltração em uma rede, expandindo o acesso e atingindo o objetivo do ataque, que geralmente é roubar dados extraindo-os da rede.

Estágio 1: Infiltração
Na primeira fase, as ameaças persistentes avançadas geralmente obtêm acesso por meio de técnicas de engenharia social. Uma indicação de uma APT é um e-mail de phishing que visa seletivamente indivíduos de alto nível, como executivos seniores ou líderes de tecnologia, geralmente usando informações obtidas de outros membros da equipe que já foram comprometidos. Os ataques de e-mail que visam indivíduos específicos são chamados de “spear-phishing”.

O e-mail pode parecer vir de um membro da equipe e incluir referências a um projeto em andamento. Se vários executivos relatarem que foram enganados por um ataque de spear-phishing, comece a procurar outros sinais de uma APT.

Estágio 2: escalonamento e movimento lateral

Uma vez obtido o acesso inicial, os atacantes inserem malware na rede de uma organização para passar para a segunda fase, a expansão. Eles se movem lateralmente para mapear a rede e coletar credenciais, como nomes de contas e senhas, a fim de acessar informações comerciais essenciais.

Eles também podem estabelecer um “backdoor”, um esquema que lhes permite entrar furtivamente na rede mais tarde para realizar operações furtivas. Pontos de entrada adicionais geralmente são estabelecidos para garantir que o ataque possa continuar se um ponto comprometido for descoberto e fechado.

Estágio 3: Exfiltração

Para se preparar para a terceira fase, os criminosos cibernéticos geralmente armazenam as informações roubadas em um local seguro dentro da rede até que um número suficiente de dados tenha sido coletado. Em seguida, eles os extraem ou “exfiltram” sem serem detectados. Eles podem usar táticas como um ataque de negação de serviço (DoS) para distrair a equipe de segurança e prender o pessoal da rede enquanto os dados estão sendo exfiltrados. A rede pode permanecer comprometida, esperando que os ladrões retornem a qualquer momento.

Características de um ataque APT

Como as ameaças persistentes avançadas usam técnicas diferentes dos hackers comuns, elas deixam sinais diferentes. Além das campanhas de spear-phishing que têm como alvo os líderes da organização, os sintomas de um ataque de ameaça persistente avançada incluem:

Atividade incomum em contas de usuários, como um aumento de logins de alto nível tarde da noite
Presença generalizada de Trojans backdoor
Pacotes de dados inesperados ou incomuns, que podem indicar que os dados foram acumulados em preparação para exfiltração
Fluxos de informações inesperados, como anomalias nos dados de saída ou um aumento repentino e atípico nas operações de banco de dados envolvendo grandes quantidades de dados.

Como se proteger contra ataques de APTs?

Há muitas soluções de segurança cibernética e inteligência disponíveis para ajudar as organizações a se protegerem melhor contra ataques de APTs. Aqui estão algumas das melhores táticas a serem empregadas:

Cobertura de sensores: As organizações devem implementar recursos que forneçam aos seus defensores visibilidade total do ambiente para evitar pontos cegos que podem se tornar um refúgio seguro para ameaças cibernéticas.
Inteligência técnica. Aproveite a inteligência técnica, como os indicadores de comprometimento (IOCs), e consuma-os em um gerenciador de eventos e informações de segurança (SIEM) para fins de enriquecimento de dados. Isso permite maior inteligência ao realizar a correlação de eventos, possivelmente destacando eventos na rede que, de outra forma, poderiam não ter sido detectados.

Provedor de serviços: A parceria com uma empresa de segurança cibernética de primeira linha é uma necessidade. Caso o impensável aconteça, as organizações podem precisar de assistência para responder a uma ameaça cibernética sofisticada.

Um Web Application Firewall (WAF) é um dispositivo de segurança projetado para proteger as organizações no nível do aplicativo, filtrando, monitorando e analisando o tráfego do protocolo de transferência de hipertexto (HTTP) e do protocolo de transferência de hipertexto seguro (HTTPS) entre o aplicativo Web e a Internet.

Inteligência sobre ameaças: A inteligência sobre ameaças auxilia na definição do perfil do agente de ameaças, no rastreamento de campanhas e no rastreamento de famílias de malware. Atualmente, é mais importante entender o contexto de um ataque do que apenas saber que o ataque aconteceu, e é nesse ponto que a inteligência contra ameaças desempenha um papel fundamental.
Caça a ameaças. Muitas organizações precisarão de caça a ameaças gerenciada e baseada em humanos, 24 horas por dia, 7 dias por semana, para acompanhar a tecnologia de segurança cibernética já existente.
Saiba mais.

Fonte

https://www.crowdstrike.com/cybersecurity-101/advanced-persistent-threat-apt/

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.