Amenazas Persistentes Avanzadas ¿Está usted preparado?

Por Karim Ramos

abril 18, 2017

Amenazas Persistentes AvanzadaEstas amenazas exhaustivas buscarán vulnerar las defensas a como dé lugar, se debe considerar un enfoque holístico/integrador que permita aprovechar tanto normativas de seguridad TI, como hardware específico.

Entendemos como amenaza algo malo o dañino; en el contexto de la Seguridad TI, esta definición corresponde a un factor activo que pretende afectar la infraestructura, redes, bases de datos, etc.; es decir, dañar la correcta operación de una empresa, organización o gobierno. A diferencia de un riesgo o vulnerabilidad, la amenaza adquiere
el rol latente y activo, buscando aprovecharse de las dos primeras.

Una amenaza especializada, llamada avanzada (AT, por Advance Thread) generalmente explota una vulnerabilidad desconocida o poco difundida en una amplia cantidad de sistemas. Serán muchas las organizaciones afectadas. Este tipo de amenazas son el precedente de las APT.

Por definición, sabemos que las amenazas avanzadas persistentes (APT, Advanced Persistent Threads) se refieren al conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica, sin embargo en la actualidad se han mostrado más agresivas y letales ya que sobrepasan virtualmente a cualquier “best practice” de seguridad, buscando infiltrarse en la infraestructura a largo plazo permaneciendo indetectados.

La alta peligrosidad de las APT radica en su duración y recursos invertidos, siendo ataques prolongados que tratan de explotar la mayor cantidad de vulnerabilidades posibles para un único objetivo o sector. Esto es, que las defensas de su organización al ser objetivo de una APT, recibirán una gran cantidad de ataques con diferentes vectores.

Se distinguen tres áreas donde se diferencian las APT de las AT: la meta, la estructura del ataque, y los métodos. La meta del APT es mantener vulnerados los servicios de la víctima durante el mayor tiempo posible, extrayendo información constantemente y pasando desapercibido.

Al ser de larga duración, pueden modificar sus características intencionalmente durante el ataque, por lo que su detección es difícil y compleja. Una vez infiltradas, usualmente permanecen indetectadas, sólo se aprecian los indicios o síntomas que generan, entre los cuales se encuentran: incremento inusual de tráfico en la red, actividad anormal o comportamientos atípicos de usuarios, acceso a datos archivados o bajo resguardo.

Origen y objetivo

Este tipo de ataques por sus características de costo y duración del mismo, usualmente son financiados por gobiernos, empresas rivales o crimen organizado. La motivación puede ser desde política, comercial o de seguridad, siendo los atacantes agencias de estado o grupos de hackers. Tienen propósitos u objetivos bien definidos, entre los cuales figuran: tomar el control de elementos críticos (hardware), u obtener información estratégica o propiedad intelectual de la víctima.

Procedimiento

Debido al alto perfil de los objetivos, los APT continúan a la alza. Las técnicas se han vuelto más sofisticadas, y los vectores de ataque, diversificado. Al tener un objetivo claro, los hackers tratarán por cualquier medio posible lograrlo; en este sentido en los APT también juega un rol importante el elemento humano, al ser aparentemente el eslabón más débil.

Usualmente en las etapas iniciales, los atacantes aplicarán técnicas de ingeniería social, obteniendo información de los empleados, e incluso realizando ataques de phishing aparentemente “regulares”. De manera similar, a nivel de infraestructura recolectarán información pública de la víctima, dominio, mapeo de la red, evitando los
componentes de seguridad como firewalls y sistemas de prevención de intrusos IDS/IPS. De manera semejante, el malware con el que se ataca a las víctimas, usualmente está adaptado para maximizar éxito.

Detección:

– Mediante un correlacionador de eventos (Security Incident and Event Management), soluciones antimalware o sistemas anti-intrusos IDS/IPS. Aunque la mayoría de las veces los APT están configurados para burlar estas protecciones.

– Mediante inspección de firmas en el malware, y tráfico de red a IPs en listas negras.

– Actividad botnets, usadas con frecuencia para generar ataques que compliquen identificar el origen.

– Acceso a recursos de usuarios o escalamiento de privilegios por parte de equipos infectados.

– Al tratarse de ataques prolongados, normalmente no activan las alarmas de seguridad perimetral durante su irrupción.

– Las APT cambian la fortaleza en debilidad, al usar el cifrado para esquivar la seguridad. Se observará un tráfico cifrado inusual en la red comprometida (HTTPS, SSL, VPN, etc.).

Víctor Salcedo

 

Por: Ing. Víctor Salcedo

Responsable del área de Ingeniería en MXTEL Ingeniería y Consultoría.

 

Sello Abril

 

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Adoptando y escalando los puntos a seguir, las organizaciones pueden permitir interacciones digitales impecables.

La adopción de entornos multicloud e híbridos ha tenido un rápido crecimiento para impulsar una mejor experiencia del cliente y resultados comerciales. Si bien estos entornos impulsan una mayor agilidad y eficiencia, traen una frecuencia de cambio

Eleva la productividad con tecnología

El entorno laboral actual representa una serie de retos importantes que las empresas enfrentan a diario. Entre ellos destaca el desafío de crecer y mantener el índice de productividad de los colaboradores en niveles favorables, de camino hacia lograr mejores resultados.

El SAT desconoce retenciones de IS

Uno de los principales compromisos del actual gobierno se basa en combate a la ilegalidad y fraude fiscal, por lo que se han ejecutado diferentes acciones para exigir el pago de adeudos millonarios a grandes empresas

Trabajo híbrido: semillero de colaboración y productividad

A dos años del surgimiento de la pandemia por Covid-19, la forma de trabajo ha cambiado y las oficinas están dejando de ser lo que conocíamos, dando lugar a espacios físicos propicios para la colaboración, productividad y creatividad en un entorno de flexibilidad y autonomía.

Anúnciate con nosotros

Anúnciate con nosotros

Promociona tu empresa en un medio especializado, con segmentación del mercado ejecutivo y tomadores de decisiones.