Qué es una amenaza persistente avanzada y cómo se puede detectar una APT

Articulos tematica Microsoft

Muchas empresas hacen todo lo posible para recopilar la mayor cantidad de datos posible sobre los clientes. Algunos incluso regalan sus productos de forma gratuita a cambio del permiso para recopilar información personal.

Como resultado, incluso las empresas más pequeñas ahora tienen una gran cantidad de datos valiosos. Y cada vez más actores de amenazas buscan formas de robarlo. Un ejemplo de esto es un tipo de ataque cibernético conocido como amenaza persistente avanzada.

Entonces, ¿qué es una amenaza persistente avanzada? ¿Cómo ves uno? ¿Y qué debe hacer si cree que su sistema ha sido afectado por una APT?

¿Qué es una amenaza persistente avanzada (APT)?

Una amenaza persistente avanzada es un tipo de ataque mediante el cual un intruso obtiene acceso a un sistema y luego logra permanecer allí sin ser detectado durante un largo período de tiempo.

Este tipo de ataque se lleva a cabo generalmente con el objetivo de espionaje. Si el objetivo fuera simplemente dañar un sistema, no habría razón para quedarse. Las personas que llevan a cabo estos ataques no intentan destruir los sistemas informáticos. Simplemente quieren acceder a los datos que poseen.

La mayoría de las amenazas persistentes avanzadas utilizan técnicas de piratería sofisticadas y se adaptan a los sistemas informáticos individuales.

Esto hace que estos ataques sean muy difíciles de detectar. Pero uno de los beneficios de su complejidad es que el usuario medio de ordenadores no suele tener que preocuparse por ellos.

A diferencia del malware, que generalmente está diseñado para atacar la mayor cantidad de hackers posible, las amenazas persistentes avanzadas generalmente se diseñan con un objetivo específico en mente.

¿Cómo ocurre una APT?

La amenaza persistente avanzada es un término relativamente amplio. Por tanto, el nivel de sofisticación empleado en un ataque de este tipo varía mucho.

La mayoría, sin embargo, se pueden dividir fácilmente en tres etapas distintas.

Etapa 1: infiltración

En la etapa inicial, los piratas informáticos simplemente buscan una forma de entrar. Las opciones disponibles para ellos dependerán obviamente de cuán seguro sea el sistema.

Una opción sería el phishing. Quizás puedan hacer que alguien revele accidentalmente sus credenciales de inicio de sesión enviándoles un correo electrónico malicioso. O si eso no es posible, pueden intentar lograr lo mismo a través de la ingeniería social .

Etapa 2: Expansión

El siguiente paso es la expansión. Una vez que los atacantes tengan una entrada válida al sistema, querrán expandir su alcance y probablemente asegurarse de que su acceso existente no pueda ser revocado.

Por lo general, lo harán con algún tipo de malware. Un keylogger, por ejemplo, les permitirá recopilar contraseñas adicionales para otros servidores.

Y un troyano de puerta trasera garantizará futuras intrusiones incluso si se cambia la contraseña original robada.

Etapa 3: Extracción

Durante la tercera fase, es hora de robar datos. Por lo general, la información se recopilará de varios servidores y luego se depositará en una única ubicación hasta que esté lista para su recuperación.

En este punto, los atacantes pueden intentar abrumar la seguridad del sistema con algo como un ataque DDOS . Al final de esta etapa, los datos son realmente robados y, si no se detectan, la puerta queda abierta para futuros ataques.

Señales de advertencia de una APT

Si bien un APT generalmente está diseñado específicamente para evitar la detección, esto no siempre es posible. La mayoría de las veces, habrá al menos alguna evidencia de que se está produciendo un ataque de este tipo.

Spear Phishing

Un correo electrónico de spear phishing puede ser una señal de que una APT está a punto de suceder o está en las primeras etapas. Los correos electrónicos de phishing están diseñados para robar datos de grandes cantidades de personas de forma indiscriminada. Los correos electrónicos de spear phishing son versiones personalizadas que están diseñadas para dirigirse a personas y / o empresas específicas.

Inicios de sesión sospechosos

Durante una APT en curso, es probable que el atacante inicie sesión en su sistema de forma regular. Si un usuario legítimo inicia sesión repentinamente en su cuenta en horas impares, esto podría ser una señal de que sus credenciales han sido robadas. Otros signos incluyen iniciar sesión con mayor frecuencia y mirar cosas que no deberían ser.

Troyanos

Un troyano es una aplicación oculta que, una vez instalada, puede proporcionar acceso remoto a su sistema. Estas aplicaciones tienen el potencial de ser una amenaza aún mayor que las credenciales robadas. Esto se debe a que no dejan huella, es decir, no hay historial de inicio de sesión para que lo verifique y no se ven afectados por los cambios de contraseña.

Transferencias de datos inusuales

La mayor señal de que se está produciendo una APT es simplemente que los datos se están moviendo repentinamente, aparentemente sin razón aparente. La misma lógica se aplica si ve que los datos se almacenan donde no deberían estar, o peor aún, en el proceso de ser transferidos a un servidor externo fuera de su control.

Qué hacer si sospecha de una APT

Una vez que se detecta una APT, es importante actuar con rapidez. Cuanto más tiempo tenga un atacante en su sistema, mayor será el daño que pueda ocurrir. Incluso es posible que sus datos aún no hayan sido robados, sino que estén a punto de serlo. Esto es lo que debes hacer.

  • Detener el ataque: los pasos para detener una APT dependen en gran medida de su naturaleza. Si cree que solo un segmento de su sistema se ha visto comprometido, debe comenzar por aislarlo de todo lo demás. Después de eso, trabaje para eliminar el acceso. Esto puede significar revocar las credenciales robadas o, en el caso de un troyano, limpiar su sistema.
  • Evaluar el daño: el siguiente paso es averiguar qué sucedió. Si no comprende cómo ocurrió la APT, no hay nada que evite que vuelva a suceder. También es posible que una amenaza similar esté actualmente en curso. Esto significa analizar los registros de eventos de los sistemas o simplemente averiguar la ruta que utilizó un atacante para obtener acceso.
  • Notifique a terceros: Dependiendo de los datos almacenados en su sistema, el daño causado por una APT puede ser de largo alcance. Si actualmente almacena datos que no solo le pertenecen a usted, es decir, los datos personales de clientes, clientes o empleados, es posible que deba informar a esas personas. En la mayoría de los casos, no hacerlo puede convertirse en un problema legal.

Semrush sigue a tu competencia

Fecha actualización el 2021-05-26. Fecha publicación el 2021-05-26. Categoria: hackers Autor: Oscar olg Mapa del sitio Fuente: thewindowsclub