Introducción a las amenazas persistentes avanzadas (APT)

Las amenazas persistentes avanzadas son ataques dirigidos que son operaciones a largo plazo llevadas a cabo por sus creadores (piratas informáticos) mediante la entrega de la carga útil del ataque a través de métodos sofisticados (es decir, eludiendo las soluciones de protección de punto final tradicionales) que luego lleva a cabo en secreto sus acciones previstas (como el robo de información) sin siendo detectado
Por lo general, el objetivo de tales ataques se elige con mucho cuidado y primero se realiza un reconocimiento cuidadoso. El objetivo de tales ataques son generalmente grandes empresas, organizaciones gubernamentales, a menudo intergubernamentales crean rivales y lanzan tales ataques entre sí y extraen información altamente sensible.

Algunos de los ejemplos de amenazas persistentes avanzadas son:

  • Titán lluvia (2003)
  • GhostNet (2009) -Stuxnet (2010) que casi derribó el programa nuclear de Irán
  • Hidra
  • Panda profundo (2015)

Las características y la progresión de las amenazas persistentes avanzadas

Las APT difieren de las amenazas tradicionales en muchas formas diferentes:

  • Utilizan métodos sofisticados y complejos para penetrar en la red.
  • Permanecen sin ser detectados por un período de tiempo mucho más largo, mientras que una amenaza tradicional podría ser detectada en la red o en el nivel de protección del punto final o incluso si tienen suerte y pasan por las soluciones de punto final, una verificación de vulnerabilidad regular y un monitoreo continuo detectarán amenaza mientras que las amenazas persistentes avanzadas simplemente pasan por todas las capas de seguridad y finalmente llegan a los hosts y permanecen allí durante un período de tiempo más largo y llevan a cabo su operación.
  • Los APT son ataques dirigidos, mientras que los ataques tradicionales pueden o no ser atacados.
  • También apuntan a infiltrarse en toda la red.

Progresión de amenazas persistentes avanzadas

  1. Selección y definición del objetivo : se debe definir un objetivo, es decir, qué organización debería ser víctima de un atacante. Para esto, el atacante primero reúne la mayor cantidad de información posible a través de huellas y reconocimiento.
  2. Encuentre y organice los cómplices : el APT implica técnicas avanzadas y sofisticadas que se utilizan para atacar y, la mayoría de las veces, el atacante detrás de ATP no está solo. Entonces, el segundo sería encontrar el "compañero en el crimen" que posee ese nivel de habilidad para desarrollar técnicas sofisticadas para llevar a cabo ataques APT.
  3. Construir y / o adquirir peajes : para llevar a cabo los ataques APT, se deben seleccionar las herramientas adecuadas. Las herramientas se pueden construir también para crear un APT.
  4. Reconocimiento y recopilación de información : antes de llevar a cabo un ataque APT, el atacante intenta recopilar tanta información como sea posible para crear un modelo del sistema de TI existente. El ejemplo de la recopilación de información podría ser la topología de la red, servidores DNS y DHCP, DMZ (zonas), rangos internos de IP, servidores web, etc. Vale la pena señalar que definir un objetivo puede llevar un tiempo, dado el tamaño de una organización. Cuanto más grande sea una organización, más tiempo llevará preparar un anteproyecto.
  5. Prueba de detección : en esta fase, buscamos vulnerabilidades y puntos débiles e intentamos implementar una versión más pequeña del software de reconocimiento.
  6. Punto de entrada e implementación : aquí llega el día, el día en que se despliega el conjunto completo a través de un punto de entrada que se eligió entre muchos otros puntos débiles después de una cuidadosa inspección.
  7. Intrusión inicial : ahora el atacante finalmente está dentro de la red objetivo. A partir de aquí, debe decidir a dónde ir y encontrar el primer objetivo.
  8. Conexión de salida iniciada : una vez que el APT va al objetivo, se establece, intenta crear un túnel a través del cual se realizará la filtración de datos.
  9. Expansión del acceso y búsqueda de credenciales : en esta fase, la APT intenta extenderse en la red e intenta obtener el mayor acceso posible sin ser detectado.
  10. Fortalecer el punto de apoyo : aquí tratamos de buscar y explotar otras vulnerabilidades. Al hacer esto, un hacker aumenta la posibilidad de obtener acceso a otras ubicaciones de acceso elevado. Los hackers también aumentan la posibilidad de establecer más zombies. Un zombie es una computadora en Internet que ha sido comprometida por un hacker.
  11. Exfiltración de datos : este es el proceso de enviar los datos a la base del hacker. El pirata informático generalmente intenta utilizar los recursos de la compañía para cifrar los datos y luego enviarlos a su base. A menudo para distraer, los piratas informáticos explotan las tácticas de ruido para distraer al equipo de seguridad de modo que la información confidencial se pueda mover sin ser detectada.
  12. Cubra los rastros y permanezca sin ser detectados : los piratas informáticos se aseguran de borrar todos los rastros durante el proceso de ataque y una vez que salen. Intentan permanecer lo más sigilosos posible.

Detectando y Previniendo ataques Apt

Primero tratemos de ver las medidas preventivas:

  • Conciencia y capacitación de seguridad requerida: las organizaciones son conscientes de que la mayoría de las infracciones de seguridad que están ocurriendo en estos días, ocurre porque los usuarios han hecho algo que no debería haberse hecho, tal vez les han atraído o no han seguido la seguridad adecuada mide mientras hace cualquier cosa en las oficinas, como descargar software de sitios malos, visitar sitios que tienen intenciones maliciosas, ¡se convirtió en víctima de phishing y muchos más! Por lo tanto, una organización debe seguir ejecutando sesiones de concientización sobre seguridad y hacer que sus empleados sepan cómo trabajar en un entorno seguro, sobre los riesgos y el impacto de las infracciones de seguridad.
  • Controles de acceso (NAC e IAM): el NAC o los controles de acceso a la red tienen una variedad de políticas de acceso que se pueden implementar para bloquear los ataques. Esto es así porque si un dispositivo falla alguna de las verificaciones de seguridad, NAC lo bloqueará. La administración de identidad y acceso (IAM) puede ayudar a mantener alejados a los piratas informáticos que intentan robar nuestra contraseña, intenta descifrarla.
  • Pruebas de penetración: esta es una excelente manera de probar su red contra la penetración. Entonces, aquí las personas de la organización se convierten en hackers que a menudo se llaman hackers éticos. ¡Tienen que pensar como un hacker para penetrar dentro de la red organizacional y lo hacen! Expone los controles y vulnerabilidades existentes que están en su lugar. Según la exposición, la organización coloca los controles de seguridad requeridos.
  • Controles administrativos: los controles administrativos y de seguridad deben estar intactos. Esto implica parches regulares de sistemas y software, con sistemas de detección de intrusos en su lugar acompañados de firewalls. El IPS público de la organización (como proxy, servidores web) debe colocarse en DMZ (zona desmilitarizada) para que esté separado de la red interna. Al hacer esto, incluso si un pirata informático obtiene el control de un servidor en DMZ, no podrá acceder a los servidores internos porque se encuentran en el otro lado y son parte de la red separada.

Ahora, hablaremos sobre las medidas de detección

  • Monitoreo de red: el centro de comando y control (C&C) son las alas de las amenazas persistentes avanzadas para llevar y sacar cargas y datos confidenciales, respectivamente. El host infectado depende del centro de comando y control para ejecutar la siguiente serie de acciones y generalmente se comunican periódicamente. Entonces, si tratamos de detectar los programas, las consultas de nombres de dominio que ocurren en un ciclo periódico, valdría la pena investigar esos casos.
  • Análisis de comportamiento del usuario: esto implica emplear el uso de Inteligencia Artificial y soluciones que vigilarán la actividad del usuario. La expectativa es que la solución debería poder detectar cualquier anomalía en las actividades que realiza un host.
  • Uso de la tecnología de engaño: esto sirve como un doble beneficio para la organización. Al principio, los atacantes son atraídos a servidores falsos y otros recursos protegiendo así los activos originales de una organización. Ahora, la organización también usa esos servidores falsos para aprender los métodos que usan los atacantes mientras atacan a la organización, aprenden su cadena de asesinato cibernético.

Reparación y respuesta

También debemos conocer el procedimiento de respuesta y reparación si se produce algún ataque de Amenaza Persistente Avanzada (APT). Al principio, APT podría quedar atrapado en su fase inicial si estamos utilizando las herramientas y tecnologías adecuadas y en su fase inicial, el impacto será mucho menor porque el motivo principal de APT es permanecer más tiempo y permanecer sin ser detectado. Una vez detectado, deberíamos tratar de obtener la mayor cantidad de información de los registros de seguridad, análisis forenses y otras herramientas. El sistema infectado debe ser reimpreso y uno debe asegurarse de que no se elimine ninguna amenaza de todos los sistemas y redes infectados. Luego, la organización debe realizar una verificación exhaustiva de todos los sistemas para verificar si ha llegado a más lugares. El control de seguridad debe modificarse para evitar tales ataques o cualquier otro similar que pueda ocurrir en el futuro.
Ahora, si las Amenazas persistentes avanzadas (APT) han pasado días y se han detectado en una etapa mucho más tardía, los sistemas deben desconectarse inmediatamente, separarse de todo tipo de redes, también se debe verificar cualquier archivo afectado que se vea afectado . Luego, se debe realizar una nueva imagen completa de los hosts afectados, se debe realizar un análisis profundo para revelar la cadena de asesinato cibernético que se siguió. El CIRT (Equipo de respuesta a incidentes cibernéticos) y Cyber ​​Forensics deberían participar para abordar todas las violaciones de datos que han sucedido.

Conclusión

En este artículo, hemos visto cómo funciona un ataque APT y cómo podemos prevenir, detectar y responder a tales amenazas. Uno debería tener una idea básica sobre una típica cadena de asesinatos cibernéticos que está involucrada detrás de los ataques APT. Espero que hayas disfrutado el tutorial.

Artículos recomendados

Esta es una guía de amenazas persistentes avanzadas (APT). Aquí discutimos la introducción y las características y progresión de las amenazas persistentes avanzadas, detección y prevención de ataques APT. También puede consultar nuestros otros artículos sugeridos para obtener más información.

  1. ¿Qué es WebSocket?
  2. Seguridad de aplicaciones web
  3. Desafíos de seguridad cibernética
  4. Tipos de alojamiento web
  5. Dispositivos de firewall

Categoría:

Desarrollo de software