Ameaças persistentes avançadas: ameaças avançadas

6. Dezembro 2021
| Sem comentários

Compartilhar postagem

Ameaças Persistentes Avançadas (APT) são ataques nos quais os hackers obtêm acesso a um sistema ou rede e lá permanecem despercebidos por um longo período de tempo. Isso é particularmente perigoso para as empresas, pois dá aos cibercriminosos acesso constante a dados confidenciais.

Esses ataques APT também evitam a detecção por medidas de segurança tradicionais devido às suas sofisticadas táticas de evasão e ofuscação. O artigo a seguir descreve como os cibercriminosos abordam seus ataques, como as organizações podem detectar sinais de alerta de um ataque APT e as práticas recomendadas para mitigar o risco dessas ameaças.

Como funcionam as Ameaças Persistentes Avançadas – APTs

Os APTs geralmente não causam nenhum dano nas redes da empresa ou nos computadores locais. Em vez disso, seu objetivo geralmente é o roubo de dados. Essas ameaças usam uma variedade de técnicas para obter acesso inicial a uma rede. Por exemplo, os invasores podem espalhar malware online, infectar dispositivos fisicamente diretamente com malware ou explorar vulnerabilidades em sistemas para obter acesso a redes protegidas.

Esses ataques diferem de muitas ameaças tradicionais, como tipos de vírus e malware, que se comportam da mesma maneira repetidamente e são apenas reaproveitados para atacar sistemas ou organizações diferentes. As APTs não seguem uma abordagem geral e ampla, mas são cuidadosamente planejadas e projetadas com o objetivo de atingir uma organização específica e contornar as medidas de segurança em vigor.

Os hackers costumam usar phishing

Os hackers costumam usar conexões confiáveis ​​para obter acesso inicial. Dessa forma, os invasores podem usar indevidamente os dados de login de funcionários ou parceiros de negócios que eles usaram, por exemplo, por meio de ataques de phishing ou outros métodos. Isso permite que eles permaneçam sem serem detectados por tempo suficiente para explorar os sistemas e dados da empresa e desenvolver um plano de ataque estratégico para roubo de dados.

O malware avançado é crítico para o sucesso de um ataque APT. Uma vez que a rede é atacada, o Advanced Malware pode se esconder de certos sistemas de detecção, navegar na rede de um sistema para outro, coletar dados e monitorar a atividade da rede. A capacidade dos criminosos de controlar remotamente uma Ameaça Persistente Avançada também é crítica. Isso permite que os hackers naveguem por toda a rede corporativa para identificar dados críticos, obter acesso às informações que desejam e iniciar sua exfiltração.

Sinal de aviso para ameaças persistentes avançadas

Ameaças persistentes avançadas são inerentemente difíceis de detectar. Na verdade, esses tipos de ataques dependem de sua capacidade de não serem detectados para atingir seu objetivo. No entanto, existem algumas bandeiras vermelhas importantes que indicam que uma organização pode ser afetada por um ataque APT:

  • Aumento de logins fora do horário de trabalho ou quando determinados funcionários normalmente não acessam a rede.
  • Detecção de Backdoor Trojans amplamente difundidos: Backdoor Trojans são comumente usados ​​por hackers ao tentar um ataque APT para garantir que eles mantenham seu acesso à rede, mesmo que um usuário cujas credenciais tenham sido comprometidas descubra a violação e suas credenciais sejam alteradas.
  • Fluxos de dados grandes e incomuns: as equipes de segurança devem estar cientes dos grandes fluxos de dados de origens internas para computadores internos ou externos. Esses fluxos devem diferir da linha de base típica da empresa.
  • Detecção de pacotes de dados incomuns: os invasores que executam um ataque de Ameaça Persistente Avançada geralmente agrupam dados na rede antes de tentar extrusá-los. Esses pacotes de dados geralmente são descobertos onde os dados não são normalmente armazenados dentro da organização e, às vezes, são empacotados em formatos de arquivo que a organização normalmente não usaria.
  • Detecte ataques pass-the-hash: ataques que roubam hashes de senha de bancos de dados ou armazenamento para criar novas sessões autenticadas nem sempre são usados ​​com APTs. No entanto, a descoberta desses ataques à rede da empresa sempre requer uma investigação mais aprofundada.

Ameaças persistentes avançadas, que costumavam visar principalmente organizações de alto nível ou empresas com dados valiosos, agora também são cada vez mais comuns em organizações menores. Como os invasores usam métodos de ataque cada vez mais sofisticados, organizações de todos os tamanhos devem tomar cuidado para implementar medidas de segurança fortes capazes de detectar e responder a essas ameaças.

Melhores práticas contra ameaças persistentes avançadas

Tim Bandos, diretor de segurança da informação da Digital Guardian

Tim Bandos, diretor de segurança da informação da Digital Guardian

As técnicas de evasão e ofuscação do Advanced Malware tornam muitas soluções de segurança tradicionais ineficazes na detecção ou mitigação de ataques APT. É por isso que as equipes de segurança precisam de soluções que usem a detecção baseada em contexto e comportamento para identificar e interromper o malware com base em suas atividades, não em assinaturas. Para melhorar a detecção de ataques APT, as equipes de segurança devem observar o aumento da atividade de ameaças ou outras anomalias nos sistemas. No nível do terminal, procure sinais de alerta de um ataque APT, como reconhecimento de rede, transferências de arquivos suspeitos e comunicação com servidores de comando e controle suspeitos.

As modernas tecnologias avançadas de detecção de ameaças fornecem sandboxing e monitoramento para detectar ataques APT. O sandboxing permite que o arquivo suspeito seja executado e observado em um ambiente isolado antes de ser permitido na rede, potencialmente detectando uma ameaça antes que ela tenha a chance de se infiltrar nos sistemas e causar danos.

Prevenção e proteção contra APTs

A prevenção e proteção avançadas contra malware devem se concentrar na proteção de vetores de ameaças (pontos de infiltração e exfiltração) para minimizar o potencial de infecção e roubo de dados. A aplicação de controles a vetores como e-mail, conexões com a Internet, transferências de arquivos e USB fornece proteção contra infecções avançadas de malware para ataques em estágio inicial, bem como exfiltração de dados no caso de uma infecção de malware bem-sucedida tentando os estágios finais de seu ataque. Como última linha de defesa, todos os ativos de dados confidenciais devem ser criptografados e todas as chaves devem ser mantidas em segurança. Isso garante que o dano permaneça baixo, mesmo que a rede seja infiltrada e o incidente não seja detectado.

Como os ataques de engenharia social são tão prevalentes, as organizações também devem fornecer treinamento extensivo e contínuo a seus funcionários. Os ataques de phishing são um método popular para ataques APT. Portanto, é importante que os funcionários estejam familiarizados com as táticas usadas pelos invasores. Com uma abordagem multicamadas de diferentes tecnologias de segurança e funcionários treinados, a defesa contra ataques APT pode ser significativamente fortalecida.

Mais em Digitalguardian.com

 

Sobre o Guardião Digital

O Digital Guardian oferece segurança de dados inflexível. A plataforma de proteção de dados entregue na nuvem foi criada especificamente para evitar a perda de dados por ameaças internas e invasores externos nos sistemas operacionais Windows, Mac e Linux. A plataforma de proteção de dados do Digital Guardian pode ser implantada na rede corporativa, endpoints tradicionais e aplicativos em nuvem. Por mais de 15 anos, o Digital Guardian permitiu que empresas com uso intensivo de dados protegessem seus ativos mais valiosos em um SaaS ou com base em serviço totalmente gerenciado. A visibilidade de dados exclusiva e sem políticas do Digital Guardian e os controles flexíveis permitem que as organizações protejam seus dados sem desacelerar suas operações comerciais.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

MDR e XDR via Google Workspace

Seja num café, num terminal de aeroporto ou num escritório doméstico – os funcionários trabalham em muitos locais. No entanto, este desenvolvimento também traz desafios ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Stories
, , , , ,