bravo tecnologia cyber security cloud computing data center nfraestrutura unified communications education

BLOG

APT, Advanced Persistent Threat: você Sabe o que é?

APT Advanced Persistent Threat

APT, Advanced Persistent Threat: você sabe o que é?

APT significa Ameaça Persistente Avançada ou Advanced Persistent Threat e é o termo usado para descrever uma campanha de ataque em que um invasor ou uma equipe coordenada estabelece uma presença não autorizada e de longo prazo dentro de uma rede com objetivos escusos como, principalmente, extrair dados altamente confidenciais, mas também podem envolver sabotagem, como veremos a seguir. A princípio esta invasão é sutil e dificilmente detectável com tecnologias de defesa comuns.

Na maioria das vezes, os alvos dessas agressões são cuidadosamente pesquisados e escolhidos. E geralmente são grandes empresas ou órgãos governamentais. As consequências de tais invasões são diversas e incluem:

  • Roubo de propriedade intelectual (por exemplo, segredos comerciais ou patentes)
  • Informações confidenciais comprometidas (por exemplo, dados privados de funcionários e usuários)
  • A sabotagem de infraestruturas organizacionais críticas (por exemplo, exclusão de banco de dados)
  • Roubos de Web sites completos
  • Cyber guerra

Expertise dos Atacantes que usam APT

A execução de um ataque APT requer mais expertise e recursos do que um ataque padrão. Os autores geralmente são equipes de cibercriminosos experientes, com apoio financeiro substancial.

Em muitos casos são exploradas vulnerabilidades que ainda não foram identificadas e corrigidas pelos fabricantes. Nestes termos, mesmo que a empresa mantenha todos os seus ativos atualizados, estas vulnerabilidades ainda não teriam sido corrigidas.

Os ataques típicos, como já foi dito são sofisticados e podem incluir, por exemplo, remote file inclusion (RFI), SQL injection ou cross-site scripting (XSS). Estas invasões são frequentemente usadas pelos hackers para estabelecer uma base em uma rede de destino. Em seguida, cavalos de Troia e camadas de backdoor são tipicamente usados para expandir esse ponto de apoio inicial e criar uma presença persistente dentro do perímetro alvo.

APT: Progressão da Ameaça

Um ataque APT pode ser dividido em três fases: infiltração, expansão e extração.

Etapa 1: Infiltração

Os Hackers geralmente se infiltram através de Web, rede ou usuários autorizados.

Geralmente ocorrem via uploads maliciosos via RFI ou SQL injection ou engenharia social tal como spear phishing. Apesar de sofisticadas, estas técnicas são observadas em grande quantidade, em diversas empresas de todos os tamanhos, todos o tempo.

Opcionalmente, os atacantes podem executar ao mesmo tempo um ataque DDoS contra o alvo. Normalmente este ataque DDoS não tem nenhum objetivo escuso a não ser servir como uma “cortina de fumaça” a fim de distrair a equipe interna de rede ou segurança da empresa ou órgão do governo. Também pode ter objetivo de consumir recursos de equipamentos de segurança presentes no perímetro, facilitando a entrada não autorizada.

Após o acesso inicial, os invasores instalam imediatamente um shell de backdoor a fim de obter o controle remoto discreto e não autorizado de algum ativo na rede interna.

Etapa 2: Expansão

Depois que o ativo é comprometido ele se torna um ponto de apoio possibilitando que os atacantes ampliem sua presença na rede atacada.

O comum neste ponto é identificar os usuários que tem acesso às informações confidenciais desejadas como segredos industriais, patentes, registros financeiros ou dados de pessoas. Com isto, como já se tem um acesso privilegiado é fácil acessar os registros se passando pelo colaborador que tem o acesso.

Os objetivos da obtenção dos dados podem ser econômicos: as informações “coletadas” podem ser oferecidas para uma empresa concorrente. Pode haver o objetivo de sabotagem dos dados. Estes podem ser alterados de forma a sabotar um produto ou linha de produtos de uma empresa, pode-se até mesmo utilizar para se danificar mecanicamente equipamento ligado à rede como robôs industriais.

Por fim a sabotagem pode simplesmente apagar ativos essenciais ao negócio da empresa como seus bancos de dados de clientes, produtos, patentes entre outros, com objetivo de impactar nas operações, que pode parar completamente. E não é raro que a recuperação possa demorar horas ou até mesmo dias.

Etapa 3: Extração

Enquanto um ataque APT está em andamento, as informações roubadas são armazenadas em um local específico dentro da rede atacada. De tempos em tempos, ou no final do processo os criminosos precisam extrair os dados sem que sejam detectados.

Aqui novamente pode-se ativar um ataque DDoS para servidor de cortina de fumaça e assim distrair os responsáveis pela segurança ou operação da infraestrutura da empresa.

Conclusão

Os APT´s são ferramentas de ataque sofisticadas que exigem software específico para serem detectdas. A Bravo Tecnologia recomenda a utilização de Check Point SandBlast como solução efetiva para que as empresas possam se proteger destes ataquem em particular.

Vídeo sobre a Solução SandBlast ATP da Check Point: https://www.youtube.com/watch?v=yPFVbofnMuA&t=1s

Soluções de Prevenção contra Ameaças Avançadas da Bravo Tecnologia: https://bravotecnologia.com.br/solucoesapt/

Gostou do artigo? Compartilhe:

MAIS INFORMAÇÕES:

4003-6567

4003-6567

ENTRE EM CONTATO
Bravo Tecnologia Cyber Security, Cloud Computing, Data Center, Infraestrutura, Unified Communications, Education

Bravo Tecnologia: Soluções em Riverbed, Fortinet, Veeam, Forcepoint, Sophos, HPE, VMware, Aruba, Check Point, Cisco, Flowch e mais 14 fabricantes líderes.

Bravo Tecnologia: Cyber Security, Cloud Computing, Data Center, Infraestrutura, UC e Education
  • 4003-6567