Anatomía de una amenaza persistente avanzada

0 95 4 minutos de lectura

Por Tarik Saleh, Ingeniero Senior de Seguridad en DomainTools

Las amenazas persistentes avanzadas son patrones a largo plazo de explotación de la red que pasan desapercibidos durante períodos prolongados y generalmente están dirigidos a objetivos de alto perfil, como gobiernos, instituciones de educación superior, activistas políticos y empresas. A menudo están motivados por razones económicas, políticas y financieras, y los ataques tienden a ser muy selectivos, ingeniosos y tolerantes al riesgo.

La APT típica consta de varias fases:

Infiltración / Compromiso inicial:

Esto es cuando un actor malintencionado obtiene acceso a la red. La forma más común en la que los grupos criminales se afianzan es a través del spearphishing u otras formas de ataques altamente dirigidos y diseñados socialmente. Estos están precedidos por una fase de reconocimiento, cuando los atacantes recopilan información sobre la organización que pretenden violar, como la jerarquía de la red, los sistemas operativos y otra información relevante que les permitirá permanecer sin ser detectados.

Movimiento lateral en la red:

En esta fase, los piratas informáticos consolidan su presencia en la red y abren un canal de comunicación entre el sistema comprometido y el servidor de comando y control. Esto generalmente requiere el robo de credenciales, donde los actores de amenazas usan técnicas de intermediario o registradores de pulsaciones de teclas para obtener acceso a áreas específicas de la red.

Con las credenciales robadas, los atacantes pueden expandirse aún más para controlar los escritorios, o incluso obtener credenciales de dominio para iniciar sesión en sistemas, servidores y conmutadores.

Exfiltración de información relevante:

En esta etapa, es probable que los atacantes hayan obtenido acceso al tipo de datos que intentan robar (tarjetas de crédito, PII, etc.) y pueden comenzar a mover esos datos fuera de la red con el objetivo de no ser detectados.

Lo mejor para el actor es no ser descubierto para que pueda mantener su presencia en la red para futuras iniciativas. Por esta razón, después de exfiltrar datos, los atacantes generalmente cubren cualquier rastro de su actividad, lo que significa que las víctimas pueden ignorar una amenaza en su red incluso durante años.

Por qué las APT son una preocupación legítima para organizaciones de cualquier tamaño

Las pequeñas y medianas empresas no deben cometer el error de caer en una falsa sensación de seguridad. Si bien es cierto que las APT tienden a apuntar a objetivos de alto perfil, como organizaciones gubernamentales o grandes empresas, estas a menudo cuentan con las más altas medidas de ciberseguridad, precisamente porque son conscientes de que son objetivos potenciales.

Para evitar el problema de tener que eludir sistemas de defensa de seguridad tan estrictos, los actores de amenazas a menudo irrumpen en la red de empresas más pequeñas y menos protegidas. También pueden atacar a un proveedor externo de su objetivo real. Dado que no se consideran de alto riesgo para los ataques APT, estas pequeñas empresas y contratistas a menudo tienen recursos de seguridad limitados y personal de seguridad de TI asignado.

Una vez que se han afianzado desde dentro de la organización más pequeña, pueden realizar ataques. desde esa organización contra su objetivo final.

Pero obtener acceso a una empresa más grande no es la única razón por la que un actor de amenazas motivado podría querer infiltrarse en la red de pymes. Las empresas más pequeñas no deben subestimar el valor de sus activos digitales: incluso la información aparentemente trivial puede venderse en el mercado oscuro con fines de lucro y explotarse en nuevos intentos delictivos.

Por esta razón, si bien su organización o empresa puede no estar involucrada en industrias de mayor riesgo asociadas con APT (como instituciones financieras, gubernamentales o tecnológicas), aún debe preocuparse absolutamente por este modelo para ataques sofisticados. Es fácil descartar la protección APT como una inversión inútil debido a la pequeña probabilidad de ser atacado por una, pero son tan reales como ataques más obvios y notables, como ransomware o DDoS.

Además, a menudo, los actores de amenazas sofisticados utilizan ataques, herramientas o técnicas de código abierto para comprometer activos. Estos ataques o técnicas de código abierto son reciclados y utilizados por otros actores de amenazas, incluso los no sofisticados, por lo que contar con protección APT puede ser una inversión sensata para protegerse de otros ataques de menor nivel.

¿Cómo pueden las organizaciones protegerse a sí mismas?

Si bien la probabilidad puede ser menor, aún debe crear un modelo de amenazas basado en los activos de su organización. Un buen lugar para comenzar es observar qué activos tiene su organización que están orientados a Internet, así como qué tan grandes son sus redes. El primer principio para proteger la red es siempre la visibilidad: no puede protegerse contra algo que no sabía que existía. Todos los posibles puntos de entrada a la infraestructura de su organización deben mapearse y monitorearse continuamente.

Manténgase atento a los atacantes que se infiltran en su red, los actores malintencionados utilizan vectores de ataque como el phishing, Business Email Compromise (BEC) y spearphishing para obtener acceso a la red de una organización. Para prevenir este tipo de campañas, que dependen del correo electrónico, invertir en un filtrado de correo electrónico sólido es un buen lugar para comenzar.

Más importante aún, debe asegurarse de que sus empleados sean expertos en ciberseguridad realizando cursos de capacitación y, mejor aún, simulacros. Si bien esto puede no ser útil contra correos electrónicos particularmente bien diseñados, es menos probable que los usuarios que conocen las mejores prácticas de ciberseguridad hagan clic en enlaces sospechosos o descarguen archivos adjuntos de remitentes no reconocidos.

Finalmente, diseñe sus políticas y procedimientos de administración de acceso a la identidad para seguir el principio de privilegio mínimo, de modo que no solo sepa quién tiene acceso a qué y cuándo, sino que pueda monitorear todas las actividades en las áreas más críticas de la red, idealmente a través de grabación de sesiones o seguimiento del comportamiento.

Construir defensas contra actores de amenazas sofisticados no solo ayudará a mitigar los daños (impacto publicitario, pérdida de confianza del cliente, demandas) contra el incidente si ocurre, sino que también será complementario a todo su programa de seguridad. Si puede bloquear APT, también puede bloquear malware de menor riesgo.

Anatomía de una amenaza persistente avanzada

Deja una respuesta Cancelar la respuesta

Cierre de Agora en medio de temores de seguridad

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Hackers turcos se apoderaron de una cuenta de Instagram del gobierno ruso

IoT bajo fuego:

Los delitos económicos contra las organizaciones de servicios financieros aumentan a nivel mundial

El malware PoSeidon representa una nueva amenaza minorista

Deja una respuesta Cancelar la respuesta

Cierre de Agora en medio de temores de seguridad