APT
Anatomia das Ameaças Persistentes Avançadas (APT): conheça os 6 passos

Para combater as Ameaças Persistentes Avançadas é preciso conhecê-las.

De cibercriminosos que procuram informações financeiras e propriedade intelectual a ataques cibernéticos patrocinados por Estados-nações com o objetivo de furtar dados e comprometer infraestrutura de países, as ameaças persistentes avançadas (APTs) podem driblar os sistemas de cibersegurança, causando sérios danos à uma organização ou país.

Um hábil e determinado cibercriminoso pode, durante meses e sem ser notado, usar vários vetores e pontos de entrada para navegar ao redor defesas e violar sua rede em minutos.

As APTs, definitivamente, representam um desafio para as iniciativas de segurança cibernética das empresas.

Os seis passos de uma APT1

As organizações precisa entender como funcionam as ameaças persistentes avançadas se quiserem obter exito em iniciativas de segurança da informação (prevenir, detectar e responder):

  1. O agente de ameaça ganha acesso por e-mail, pela rede ou por meio de uma aplicação vulnerável e insere um malware na rede corporativa. Nesta altura, a rede já está comprometida, mas ainda não foi violada;
  2. O malware avançado e altamente sofisticado sonda a rede para ganhar acessos adicionais a fim de encontrar vulnerabilidades ou se comunica com servidores de comando e controle (CnC) para receber instruções adicionais e/ou códigos maliciosos;
  3. O malware normalmente se estabelece em outros pontos comprometidos para garantir que o ciberataque poderá continuar caso algum ponto se feche;
  4. Uma vez que os agentes mal intencionados se estabelecem de forma sólida na rede, reúnem os dados dos alvos, tais como nomes de contas e senhas. Mesmo que as senhas, muitas vezes, sejam criptografados, a chave  pode ser quebrada;
  5. O malware coleta dados em um servidor de teste, em seguida, retira os dados da rede  sob total controle do agente de ameaça. Neste ponto, a rede já pode ser considerada violada;
  6. Evidências do ciberataque são removidas, mas a rede continua comprometida. O cibercriminoso poderá voltar a qualquer momento para continuar a violação de dados.

Medidas de segurança contra APTs

Medidas de segurança da informação tradicionais, como defesa em profundidade, firewalls e antivírus são ineficazes contra APTs, não sendo capazes de evitar que as organizações deixem de ser vulneráveis ​​e tenham seus dados violados.

Richard Bejtlich aconselha que as organizações invistam em treinamento, conforme destacado no seu artigo “O que é ATP?” 2:

Ferramentas são sempre úteis para auxiliar, mas o melhor conselho que posso dar é o seguinte: conscientizem os líderes nas empresas sobre a ameaça para apoiarem programas de segurança conduzidos por pessoal competente e informado.

A arma mais eficaz é um bem treinado e informado analista de segurança da informação.

Abordagem de defesa tecnológica

De qualquer forma, algumas estratégias de defesa baseadas em tecnologias podem ajudar (e muito!) nesta batalha.

A abordagem Adaptive Defense da FireEye, por exemplo, é uma das melhores estratégias para interceptar possíveis APTs em qualquer ponto da rede: fazer análises baseado nas últimas informações disponíveis sobre os agentes de ameaças e métodos de ataque; apoiar os profissionais de segurança da informação oferecendo amplo conhecimento sobre os grupos de ameaças que a organização pode se deparar.

Assista à apresentação do Adaptive Defense da FireEye

Referências

  1. https://www.fireeye.com/current-threats/anatomy-of-a-cyber-attack.html
  2. https://www.mycybersecurity.com.br/o-que-e-apt/
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.