O que é uma ameaça persistente avançada (APT) e como se defender contra ela

Com tantas ameaças à segurança cibernética que você deve observar, pode ser difícil acompanhar todas as siglas, métodos e técnicas de proteção. Com isso em mente, criamos este guia rápido para um método comumente referido de ataque à segurança cibernética; Ameaças persistentes avançadas (APTs).

O que é uma ameaça persistente avançada (APT)?

Uma ameaça persistente avançada é um método de ataque à segurança cibernética em que o acesso não autorizado a dados ou sistemas é obtido por um indivíduo ou grupo por um longo período de tempo. O objetivo dos APTs é permanecerem indetectados pelo maior tempo possível enquanto infiltram/exfiltram o máximo possível de dados confidenciais. O motivo por trás de uma APT pode ser qualquer coisa, desde simples ganhos financeiros até manobras políticas patrocinadas pelo Estado. Devido ao alto grau de dissimulação necessário para realizar um ataque APT bem-sucedido, tais ameaças são geralmente altamente direcionadas, meticulosamente planejadas com antecedência e usando técnicas sofisticadas.

O ciclo de vida da ameaça persistente avançada (APT)

Um ataque APT normalmente dura um período de tempo muito mais longo e é muito mais complexo do que outros métodos de ataque. O ciclo de vida típico é dividido em 12 etapas, conforme mostrado no infográfico abaixo. No entanto, eles podem ser resumidos simplesmente nos cinco processos a seguir:

1. A fase de planejamento: O invasor escolhe qual organização atingir e quais serão os objetivos do ataque. Eles decidirão o que procuram, qual é o seu objetivo e um cronograma. Eles também escolherão o método de ataque e pesquisarão minuciosamente o alvo.
2. Entrando: O objetivo nesta fase é obter uma posição inicial no ambiente alvo. Isto pode ser feito através de uma variedade de métodos que terão sido pesquisados e decididos na primeira fase. Alguns métodos comuns de entrada são spear phishing ou ataques de força bruta.
3. Chegue aos dados de destino: uma vez dentro do ambiente de destino, o próximo estágio é chegar aos dados valiosos. Isso pode envolver movimentação lateral pela rede, expandindo o acesso e obtendo credenciais ao longo do caminho.
4. Implantar ferramentas: neste estágio, o invasor pode implantar ferramentas adicionais para ajudar a cumprir o objetivo inicial e fortalecer sua posição no ambiente.
5. Retirada e Cobertura de Faixas: Nesta fase, é provável que o objetivo seja exfiltrar os dados valiosos e permanecer dentro da rede para que futuras campanhas possam ocorrer. Tudo isso deve ser feito sem ser detectado.

Métodos comuns avançados de ataque contra ameaças persistentes

Os ataques APT geralmente começam com qualquer um dos métodos abaixo para ganhar uma posição inicial no ambiente alvo:

• Spear Phishing: O objetivo do spear phishing é roubar credenciais de um indivíduo especificamente visado que foi pesquisado e planejado. O spear phishing pode ser feito por meio de malware, keylogging ou e-mails redigidos de maneira inteligente.
• Engenharia Social: Simplificando, a engenharia social é o processo de obtenção de credenciais por meio de coerção e convencimento. Usando este método, não há necessidade de roubar ou adivinhar as credenciais, elas podem ser obtidas atacando funcionários negligentes.
• Rootkits: Rootkits podem ser difíceis de detectar porque ficam muito próximos da raiz do computador (como o nome sugere). Os rootkits podem obter acesso aos sistemas desejados e se espalhar pela rede, ao mesmo tempo que cobrem seus rastros com bastante sucesso.

Como se defender contra ameaças persistentes avançadas (APTs)

A melhor maneira de se defender contra APTs é por meio de vigilância constante e de uma estratégia abrangente de segurança de dados que envolva uma plataforma sofisticada de segurança de dados. Existem quatro etapas principais que você pode seguir para ajudar na defesa contra ameaças persistentes avançadas:

• Saiba onde estão seus dados valiosos: certifique-se de ser capaz de descobrir e classificar dados confidenciais de acordo com o que são os dados e o risco associado. Quaisquer novos dados criados precisam ser descobertos e classificados de acordo. Seus dados mais “em risco” são provavelmente o alvo mais provável dos invasores APT.
• Veja quem tem acesso aos dados: determine quais dos seus usuários têm acesso a esses dados confidenciais e certifique-se de que esses indivíduos estejam cientes do risco das APTs e do que devem ser observados.
• Monitore o comportamento do usuário e da entidade: se você sabe o que é “normal” para o comportamento do usuário e da entidade, será fácil detectar anomalias em tempo real. Qualquer tipo de comportamento anômalo precisa ser analisado e ações apropriadas devem ser tomadas no menor tempo possível.
• Proteja seu ambiente: os estados de sua rede e ambiente precisam ser otimizados em termos de segurança para garantir a proteção de seus dados. Implante firewalls, aplique patches em servidores, atualize software e limpe suas principais plataformas.

A plataforma de segurança de dados da Lepide permite que você execute toda a descoberta de dados, análise de permissões e funcionalidade UEBA necessárias para iniciar o gerenciamento de ameaças persistentes avançadas (APTs). Para obter mais informações, agende hoje mesmo uma demonstração com um de nossos engenheiros.