O que é um APT
Uma ameaça persistente avançada (APT) é um termo amplo usado para descrever uma campanha de ataque na qual um invasor, ou equipe de invasores, estabelece uma presença ilícita de longo prazo em uma rede para extrair dados altamente confidenciais .
Os alvos desses ataques, que são cuidadosamente escolhidos e pesquisados, geralmente incluem grandes empresas ou redes governamentais. As consequências de tais intrusões são vastas e incluem:
- Roubo de propriedade intelectual (por exemplo, segredos comerciais ou patentes)
- Informações confidenciais comprometidas (por exemplo, dados privados de funcionários e usuários)
- A sabotagem de infraestruturas organizacionais críticas (por exemplo, exclusão de banco de dados)
- Aquisição total de um site
A execução de um ataque APT requer mais recursos do que um ataque padrão. Os responsáveis geralmente são equipes de cibercriminosos experientes com apoio financeiro substancial. Alguns ataques APT são financiados pelo governo e usados como armas de guerra cibernética.
Os ataques APT diferem das ameaças tradicionais de aplicativos da Web, pois:
- Eles são significativamente mais complexos.
- Uma vez que uma rede é infiltrada, o criminoso permanece para obter o máximo de informações possíveis.
- Eles são executados manualmente (não automatizados) contra uma marca específica e lançados indiscriminadamente contra um grande conjunto de alvos.
- Eles geralmente visam se infiltrar em uma rede inteira, em oposição a uma parte específica.
Ataques mais comuns, como inclusão de arquivo remoto (RFI) , injeção de SQL e script entre sites (XSS) , são frequentemente usados por criminosos para estabelecer uma base em uma rede de destino. Em seguida, Trojans e shells de backdoor são frequentemente usados para expandir essa base e criar uma presença persistente dentro do perímetro de destino.
Progressão de ameaça persistente avançada (APT)
Um ataque APT bem-sucedido pode ser dividido em três etapas:
1) infiltração na rede,
2) expansão da presença do invasor
3) extração de dados
Tudo sem ser detectado.
Etapa 1 – Infiltração
As empresas geralmente são infiltradas por meio do comprometimento de uma das três superfícies de ataque: ativos da Web, recursos de rede ou usuários autorizados.
Isso é obtido por meio de uploads maliciosos (por exemplo, RFI, injeção de SQL) ou ataques de engenharia social (por exemplo, spear phishing ), ameaças enfrentadas por grandes organizações regularmente.
Além disso, os infiltrados podem executar simultaneamente um ataque DDoS contra seu alvo . Isso serve tanto como uma cortina de fumaça para distrair o pessoal da rede quanto como meio de enfraquecer um perímetro de segurança, facilitando a violação.
Depois que o acesso inicial é alcançado, os invasores instalam rapidamente um shell backdoor, malware que concede acesso à rede e permite operações remotas e furtivas. Os backdoors também podem vir na forma de cavalos de Tróia mascarados como softwares legítimos.
Etapa 2 – Expansão
Depois que o ponto de apoio é estabelecido, os invasores se movem para ampliar sua presença na rede.
Isso envolve subir na hierarquia de uma organização, comprometendo os membros da equipe com acesso aos dados mais confidenciais. Ao fazer isso, eles podem coletar informações comerciais críticas, incluindo informações sobre a linha de produtos, dados de funcionários e registros financeiros.
Dependendo do objetivo final do ataque, os dados acumulados podem ser vendidos para uma empresa concorrente, alterados para sabotar a linha de produtos de uma empresa ou usados para derrubar uma organização inteira. Se a sabotagem for o motivo, esta fase é usada para ganhar sutilmente o controle de várias funções críticas e manipulá-las em uma sequência específica para causar o máximo de dano. Por exemplo, os invasores podem excluir bancos de dados inteiros de uma empresa e interromper as comunicações de rede para prolongar o processo de recuperação.
Etapa 3 – Extração
Enquanto um evento APT está em andamento, as informações roubadas geralmente são armazenadas em um local seguro dentro da rede que está sendo atacada. Uma vez que dados suficientes tenham sido coletados, os ladrões precisam extraí-los sem serem detectados.
Normalmente, as táticas de ruído branco são usadas para distrair sua equipe de segurança para que as informações possam ser removidas. Isso pode assumir a forma de um ataque DDoS, novamente prendendo o pessoal da rede e/ou enfraquecendo as defesas do site para facilitar a extração.
Medidas de segurança APT
A detecção e proteção adequadas de APT requerem uma abordagem multifacetada por parte dos administradores de rede, provedores de segurança e usuários individuais.
Monitoramento de tráfego
O monitoramento do tráfego de entrada e saída é considerado a melhor prática para evitar a instalação de backdoors e bloquear a extração de dados roubados. A inspeção do tráfego dentro do perímetro da rede também pode ajudar a alertar a equipe de segurança sobre qualquer comportamento incomum que possa apontar para atividade maliciosa.
Um firewall de aplicativo Web (WAF) implantado na borda de sua rede filtra o tráfego para seus servidores de aplicativos Web, protegendo assim uma de suas superfícies de ataque mais vulneráveis . Entre outras funções, um WAF pode ajudar a eliminar ataques de camada de aplicação, como ataques de RFI e injeção de SQL, comumente usados durante a fase de infiltração do APT.
Serviços de monitoramento de tráfego interno, como firewalls de rede, são o outro lado dessa equação. Eles podem fornecer uma visão granular mostrando como os usuários estão interagindo em sua rede, enquanto ajudam a identificar anormalidades de tráfego interno (por exemplo, logins irregulares ou transferências de dados extraordinariamente grandes). Este último pode sinalizar que um ataque APT está ocorrendo. Você também pode monitorar o acesso a compartilhamentos de arquivos ou honeypots do sistema.
Finalmente, os serviços de monitoramento de tráfego de entrada podem ser úteis para detectar e remover shells de backdoor. Estes podem ser identificados interceptando solicitações remotas dos operadores.
Lista de permissões de aplicativos e domínios
A lista de permissões é uma forma de controlar domínios que podem ser acessados de sua rede, bem como aplicativos que podem ser instalados por seus usuários. Este é outro método útil de reduzir a taxa de sucesso dos ataques APT, minimizando as superfícies de ataque disponíveis.
No entanto, essa medida de segurança está longe de ser infalível, pois mesmo os domínios mais confiáveis podem ser comprometidos. Também é sabido que arquivos maliciosos geralmente chegam sob o disfarce de software legítimo. Além disso, versões mais antigas de produtos de software são propensas a serem comprometidas e exploradas .
Para uma lista de permissões eficaz, políticas de atualização rígidas devem ser aplicadas para garantir que seus usuários estejam sempre executando a versão mais recente de qualquer aplicativo que apareça na lista.
Controle de acesso
Para os criminosos, seus funcionários geralmente representam o maior e mais vulnerável ponto fraco em seu perímetro de segurança. Na maioria das vezes, é por isso que os usuários de sua rede são vistos pelos invasores como um gateway fácil para se infiltrar em suas defesas, ao mesmo tempo em que expandem seu domínio dentro de seu perímetro de segurança.
Aqui, os alvos prováveis se enquadram em uma das três categorias a seguir:
- Usuários descuidados que ignoram as políticas de segurança da rede e, sem saber, concedem acesso a possíveis ameaças.
- Insiders maliciosos que abusam intencionalmente de suas credenciais de usuário para conceder acesso ao criminoso.
- Usuários comprometidos cujos privilégios de acesso à rede são comprometidos e usados por invasores.
O desenvolvimento de controles eficazes requer uma análise abrangente de todos em sua organização, especialmente das informações às quais eles têm acesso. Por exemplo, classificar dados de acordo com a necessidade ajuda a bloquear a capacidade de um invasor de seqüestrar credenciais de login de um membro da equipe de baixo nível, usando-as para acessar materiais confidenciais.
Os principais pontos de acesso à rede devem ser protegidos com autenticação de dois fatores (2FA). Ele exige que os usuários usem uma segunda forma de verificação ao acessar áreas confidenciais (normalmente uma senha enviada ao dispositivo móvel do usuário). Isso evita que agentes não autorizados disfarçados de usuários legítimos se movimentem pela rede.
Medidas adicionais
Além das medidas acima, estas são as medidas de práticas recomendadas a serem tomadas ao proteger sua rede:
- Corrija o software de rede e as vulnerabilidades do sistema operacional o mais rápido possível.
- Criptografia de conexões remotas para evitar que intrusos as agarrem para se infiltrarem em seu site.
- Filtrando e-mails recebidos para evitar ataques de spam e phishing direcionados à sua rede.
- Registro imediato de eventos de segurança para ajudar a melhorar as listas de permissões e outras políticas de segurança.
CYBER DICA!
Se você ficou interessado nesta área e quer começar do zero ou já trabalha com Tecnologia da Informação e quer migrar para Cibersegurança, recomendo fortemente o Curso Hacker Ético da Danki.Code. Clique aqui e saiba mais sobre o que você irá aprender e com isso se tornar um profissional de uma das áreas que esta com grande demanda no mercado de trabalho nos dias atuais.