Amenaza persistente avanzada

¿Cómo funciona?

Principalmente ataques auspiciados por naciones o estados para afectar a una organización con fines de espionaje o sabotaje, pero que tratan de permanecer sin detectarse por períodos prolongados de tiempo.

A menudo se hace mal uso del término amenaza persistente avanzada (APT). En lugar de ser un método técnico específico de amenaza, tiene la intención de describir al atacante (o a un grupo de atacantes) y las motivaciones del atacante detrás de la amenaza que representan, lo cual no es una forma sencilla ni única de espionaje, de ganancia económica y de crimen.

Las amenazas persistentes avanzadas (APT) son ya sea motivadas por espionaje corporativo diseñado para robar secretos comerciales y propiedad intelectual valiosos, o para sabotear los planes o la infraestructura de una organización.

Los atacantes que utilizan amenazas persistentes avanzadas hacen uso de una variedad de técnicas para crear ataques, apoyándose en otras técnicas de explotación físicas y externas.  Las amenazas persistentes avanzadas tienen ciertas características que no se encuentran en otras formas de ataque:

  • Reconocimiento: Los atacantes que utilizan amenazas persistentes avanzadas por lo general cuentan con inteligencia de reconocimiento y saben qué usuarios objetivo y qué sistemas específicos pueden ayudarles a lograr sus metas. A menudo, esa información se recopila mediante ingeniería social, mediante foros públicos y más probablemente mediante inteligencia de seguridad de naciones o estados.
  • Duración: Los atacantes que emplean amenazas persistentes avanzadas hacen uso de técnicas de evasión de la detección durante períodos de tiempo prolongado y no se centran solamente en un período de infección breve que por lo general se observa en los ataques cuya motivación es la ganancia económica. Ellos tratan de limpiar sus huellas y por lo general realizan sus funciones durante horas no hábiles. Siempre dejan puertas traseras para poder volver a entrar, en caso de que se detecte su acceso original. De ese modo permanecen persistentes.
  • Malware avanzado: Los atacantes que utilizan amenazas persistentes avanzadas se valen de toda la gama de técnicas de intrusión conocidas y disponibles, y en cualquier ataque determinado combinan una cantidad de metodologías a fin de lograr su objetivo. Emplean crimeware y kits disponibles en el comercio, pero muchos de ellos también cuentan con la tecnología y la pericia necesarias para crear sus propias herramientas personalizadas y malware polimórfico cuando lo requieran los entornos y los sistemas particulares.
  • Phishing: La mayoría de los atacantes que hacen uso de amenazas persistentes avanzadas y que emplean técnicas de explotación centradas en internet comienza con ingeniería social y phishing con arpón. Una vez que se afecta la máquina de un usuario o que se revelan las credenciales de red, los atacantes toman medidas de manera activa para implementar sus propias herramientas a fin de supervisar y propagarse por toda la red, como sea necesario, de una máquina a otra, y de una red a otra, hasta que encuentran la información que buscan.
  • Ataque activo: En las amenazas persistentes avanzadas existe un nivel considerable de participación humana coordinada por el atacante, en lugar de código malintencionado totalmente automatizado, el cual solamente envía los datos recopilados al atacante en los ataques habituales de crimeware. En esos casos, el adversario es un atacante bien dotado, con mucha motivación, diestro y muy enfocado con métodos y respuestas sumamente activos.

¿Cómo me puedo proteger de las amenazas persistentes avanzadas?

No hay una sola fórmula milagrosa que proteja a su empresa de los actores de APT. Dichas amenazas persistentes avanzadas y los atacantes están tratando de seguir siendo persistentes una vez que entran en una organización, por lo cual resulta clave el uso de una combinación de tecnologías que puedan triangular los registros e identificar comportamientos inusuales dentro de la red de la empresa. El enfoque de la estrategia de defensa debe ser elegir soluciones de detección que sean las mejores de su clase y que juntas puedan brindar inteligencia en cuanto a los objetivos, los métodos utilizados por los atacantes, la frecuencia de sus actividades, el origen de la amenaza persistente avanzada y el riesgo asociado con los motivos del atacante.

Según el informe sobre investigaciones de brechas de datos de Verizon, el 95 % de las amenazas dirigidas y las APT utilizan cierta forma de phishing de arpón como punto inicial de ataque, por lo que parte de la estrategia de defensa contra APT de una empresa debe incluir una solución de detección que intente buscar amenazas dirigidas en el correo electrónico con base en patrones inusuales de tráfico, que sobrescriba las direcciones URL incorporadas en los mensajes sospechosos y que luego mantenga vigilancia constante en la dirección URL para observar el comportamiento malintencionado en un espacio aislado. Dicho método potencialmente protegerá o detectará dichos ataques, y el hecho de saber qué usuarios han sido afectados, en qué momento y por cuánto tiempo brinda una importante ventaja al averiguar más sobre el adversario de APT y sus motivos.