Las amenazas persistentes avanzadas (APT) son ataques en los que los piratas informáticos obtienen acceso a un sistema o red y permanecen allí desapercibidos durante un período de tiempo más largo. Esto es particularmente peligroso para las empresas, ya que brinda a los ciberdelincuentes acceso constante a datos confidenciales.
Estos ataques APT también eluden la detección de las medidas de seguridad tradicionales debido a sus sofisticadas tácticas de evasión y ofuscación. El siguiente artículo describe cómo los ciberdelincuentes abordan sus ataques, cómo las organizaciones pueden detectar señales de advertencia de un ataque APT y las mejores prácticas para mitigar el riesgo de estas amenazas.
Cómo funcionan las amenazas persistentes avanzadas: APT
Por lo general, los APT no causan ningún daño en las redes de la empresa o en las computadoras locales. En cambio, su objetivo suele ser el robo de datos. Estas amenazas utilizan una variedad de técnicas para obtener acceso inicial a una red. Por ejemplo, los atacantes pueden propagar malware en línea, infectar físicamente los dispositivos directamente con malware o aprovechar las vulnerabilidades de los sistemas para obtener acceso a redes protegidas.
Estos ataques difieren de muchas amenazas tradicionales, como los tipos de virus y malware, que se comportan de la misma manera una y otra vez y simplemente se reutilizan para atacar diferentes sistemas u organizaciones. Las APT no siguen un enfoque general de base amplia, sino que se planifican y diseñan cuidadosamente con el objetivo de dirigirse a una organización específica y eludir las medidas de seguridad vigentes.
Los piratas informáticos suelen utilizar el phishing
Los piratas suelen utilizar conexiones de confianza para obtener acceso inicial. De esta forma, los atacantes pueden hacer un uso indebido de los datos de inicio de sesión de los empleados o socios comerciales a los que han accedido, por ejemplo, a través de ataques de phishing u otros métodos. Esto les permite pasar desapercibidos el tiempo suficiente para explorar los sistemas y datos de la empresa y desarrollar un plan de ataque estratégico para el robo de datos.
El malware avanzado es fundamental para el éxito de un ataque APT. Una vez que se ataca la red, el malware avanzado puede esconderse de ciertos sistemas de detección, navegar por la red de un sistema a otro, recolectar datos y monitorear la actividad de la red. La capacidad de los delincuentes para controlar de forma remota una amenaza persistente avanzada también es fundamental. Esto permite a los piratas navegar por toda la red corporativa para identificar datos críticos, obtener acceso a la información que desean e iniciar su exfiltración.
Señal de advertencia de amenazas persistentes avanzadas
Las amenazas persistentes avanzadas son inherentemente difíciles de detectar. De hecho, este tipo de ataques se basan en su capacidad de pasar desapercibidos para lograr su objetivo. Sin embargo, hay algunas señales de alerta importantes que indican que una organización puede verse afectada por un ataque APT:
- Un aumento en los inicios de sesión fuera del horario laboral o cuando ciertos empleados normalmente no accederían a la red.
- Detección de troyanos de puerta trasera generalizados: los piratas informáticos suelen utilizar los troyanos de puerta trasera cuando intentan un ataque APT para garantizar que conservan su acceso a la red incluso si un usuario cuyas credenciales se han visto comprometidas descubre la infracción y sus credenciales cambian.
- Flujos de datos grandes e inusuales: los equipos de seguridad deben estar al tanto de los grandes flujos de datos desde orígenes internos a computadoras internas o externas. Estos flujos deben diferir de la línea de base típica de la empresa.
- Detección de paquetes de datos inusuales: los atacantes que realizan un ataque de amenaza persistente avanzada suelen agrupar datos dentro de la red antes de intentar extraerlos. Estos paquetes de datos a menudo se descubren donde los datos normalmente no se almacenan dentro de la organización y, a veces, se empaquetan en formatos de archivo que la organización normalmente no usaría.
- Detectar ataques pass-the-hash: los ataques que roban hashes de contraseñas de bases de datos o almacenamiento para crear nuevas sesiones autenticadas no siempre se utilizan con APT. Sin embargo, el descubrimiento de estos ataques a la red de la empresa siempre requiere una mayor investigación.
Las amenazas persistentes avanzadas, que solían apuntar principalmente a organizaciones de alto nivel o empresas con datos valiosos, ahora también son cada vez más comunes en organizaciones más pequeñas. A medida que los atacantes utilizan métodos de ataque cada vez más sofisticados, las organizaciones de todos los tamaños deben tener cuidado de implementar medidas de seguridad sólidas capaces de detectar y responder a estas amenazas.
Mejores prácticas contra amenazas persistentes avanzadas
Las técnicas de ofuscación y evasión de malware avanzado hacen que muchas soluciones de seguridad tradicionales sean ineficaces para detectar o mitigar los ataques APT. Es por eso que los equipos de seguridad necesitan soluciones que utilicen la detección basada en el contexto y el comportamiento para identificar y detener el malware en función de sus actividades, no de las firmas. Para mejorar la detección de ataques APT, los equipos de seguridad deben estar atentos a una mayor actividad de amenazas u otras anomalías en los sistemas. En el punto final, esté atento a las señales de advertencia de un ataque APT, como el reconocimiento de la red, las transferencias de archivos sospechosas y la comunicación con servidores de comando y control sospechosos.
Las modernas y avanzadas tecnologías de detección de amenazas proporcionan sandboxing y monitoreo para detectar ataques APT. El sandboxing permite que el archivo sospechoso se ejecute y se observe en un entorno aislado antes de que se le permita ingresar a la red, lo que podría detectar una amenaza antes de que tenga la oportunidad de infiltrarse en los sistemas y causar daños.
Prevención y protección frente a APTs
La protección y prevención de malware avanzado debe centrarse en proteger los vectores de amenazas (tanto los puntos de infiltración como los de exfiltración) para minimizar el potencial de infección y robo de datos. La aplicación de controles a vectores como correo electrónico, conexiones a Internet, transferencias de archivos y USB brinda protección contra infecciones de malware avanzadas para ataques en etapas iniciales, así como la exfiltración de datos en caso de que una infección de malware intente con éxito las etapas finales de su ataque. Como última línea de defensa, todos los activos de datos confidenciales deben cifrarse y todas las claves deben mantenerse seguras. Esto asegura que el daño permanezca bajo incluso si la red está infiltrada y el incidente pasa desapercibido.
Debido a que los ataques de ingeniería social son tan frecuentes, las organizaciones también deben brindar a sus empleados una capacitación amplia y continua. Los ataques de phishing son un método popular para los ataques APT. Por lo tanto, es importante que los empleados estén familiarizados con las tácticas utilizadas por los atacantes. Con un enfoque de varias capas de diferentes tecnologías de seguridad y empleados capacitados, la defensa contra los ataques APT se puede fortalecer significativamente.
Más en Digitalguardian.com
Acerca de Guardián Digital Digital Guardian ofrece seguridad de datos sin concesiones. La plataforma de protección de datos entregada en la nube está diseñada específicamente para evitar la pérdida de datos de amenazas internas y atacantes externos en los sistemas operativos Windows, Mac y Linux. La plataforma de protección de datos de Digital Guardian se puede implementar en la red empresarial, los terminales tradicionales y las aplicaciones en la nube. Durante más de 15 años, Digital Guardian ha permitido a las empresas con uso intensivo de datos proteger sus activos más valiosos en SaaS o en un servicio totalmente administrado. La visibilidad de datos única y sin políticas de Digital Guardian y los controles flexibles permiten a las organizaciones proteger sus datos sin ralentizar sus operaciones comerciales.