Estas amenazas exhaustivas buscarán vulnerar las defensas a como dé lugar, se debe considerar un enfoque holístico/integrador que permita aprovechar tanto normativas de seguridad TI, como hardware específico.
Entendemos como amenaza algo malo o dañino; en el contexto de la Seguridad TI, esta definición corresponde a un factor activo que pretende afectar la infraestructura, redes, bases de datos, etc.; es decir, dañar la correcta operación de una empresa, organización o gobierno. A diferencia de un riesgo o vulnerabilidad, la amenaza adquiere
el rol latente y activo, buscando aprovecharse de las dos primeras.
Una amenaza especializada, llamada avanzada (AT, por Advance Thread) generalmente explota una vulnerabilidad desconocida o poco difundida en una amplia cantidad de sistemas. Serán muchas las organizaciones afectadas. Este tipo de amenazas son el precedente de las APT.
Por definición, sabemos que las amenazas avanzadas persistentes (APT, Advanced Persistent Threads) se refieren al conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica, sin embargo en la actualidad se han mostrado más agresivas y letales ya que sobrepasan virtualmente a cualquier “best practice” de seguridad, buscando infiltrarse en la infraestructura a largo plazo permaneciendo indetectados.
La alta peligrosidad de las APT radica en su duración y recursos invertidos, siendo ataques prolongados que tratan de explotar la mayor cantidad de vulnerabilidades posibles para un único objetivo o sector. Esto es, que las defensas de su organización al ser objetivo de una APT, recibirán una gran cantidad de ataques con diferentes vectores.
Se distinguen tres áreas donde se diferencian las APT de las AT: la meta, la estructura del ataque, y los métodos. La meta del APT es mantener vulnerados los servicios de la víctima durante el mayor tiempo posible, extrayendo información constantemente y pasando desapercibido.
Al ser de larga duración, pueden modificar sus características intencionalmente durante el ataque, por lo que su detección es difícil y compleja. Una vez infiltradas, usualmente permanecen indetectadas, sólo se aprecian los indicios o síntomas que generan, entre los cuales se encuentran: incremento inusual de tráfico en la red, actividad anormal o comportamientos atípicos de usuarios, acceso a datos archivados o bajo resguardo.
Origen y objetivo
Este tipo de ataques por sus características de costo y duración del mismo, usualmente son financiados por gobiernos, empresas rivales o crimen organizado. La motivación puede ser desde política, comercial o de seguridad, siendo los atacantes agencias de estado o grupos de hackers. Tienen propósitos u objetivos bien definidos, entre los cuales figuran: tomar el control de elementos críticos (hardware), u obtener información estratégica o propiedad intelectual de la víctima.
Procedimiento
Debido al alto perfil de los objetivos, los APT continúan a la alza. Las técnicas se han vuelto más sofisticadas, y los vectores de ataque, diversificado. Al tener un objetivo claro, los hackers tratarán por cualquier medio posible lograrlo; en este sentido en los APT también juega un rol importante el elemento humano, al ser aparentemente el eslabón más débil.
Usualmente en las etapas iniciales, los atacantes aplicarán técnicas de ingeniería social, obteniendo información de los empleados, e incluso realizando ataques de phishing aparentemente “regulares”. De manera similar, a nivel de infraestructura recolectarán información pública de la víctima, dominio, mapeo de la red, evitando los
componentes de seguridad como firewalls y sistemas de prevención de intrusos IDS/IPS. De manera semejante, el malware con el que se ataca a las víctimas, usualmente está adaptado para maximizar éxito.
Detección:
– Mediante un correlacionador de eventos (Security Incident and Event Management), soluciones antimalware o sistemas anti-intrusos IDS/IPS. Aunque la mayoría de las veces los APT están configurados para burlar estas protecciones.
– Mediante inspección de firmas en el malware, y tráfico de red a IPs en listas negras.
– Actividad botnets, usadas con frecuencia para generar ataques que compliquen identificar el origen.
– Acceso a recursos de usuarios o escalamiento de privilegios por parte de equipos infectados.
– Al tratarse de ataques prolongados, normalmente no activan las alarmas de seguridad perimetral durante su irrupción.
– Las APT cambian la fortaleza en debilidad, al usar el cifrado para esquivar la seguridad. Se observará un tráfico cifrado inusual en la red comprometida (HTTPS, SSL, VPN, etc.).
Por: Ing. Víctor Salcedo
Responsable del área de Ingeniería en MXTEL Ingeniería y Consultoría.
