Ingresar

Amenazas persistentes avanzadas (APT)

| 25 de enero de 2012 a las 10:57
 
(Tomado de segu-info.com.ar) Por: Spencer James Scott

Una amenaza persistente avanzada (Advanced Persistent Threat, APT) es un tipo sofisticado de ciberataque que constituye uno de los peligros más importantes y de rápido crecimiento que las organizaciones deben afrontar hoy en día, en particular las empresas que están haciendo uso del cómputo en la nube.
Los ataques de APT están provocando cada vez más atención de parte de los ejecutivos encargados de la seguridad informática debido a que son dirigidos a todo tipo de organizaciones, desde empresas del sector privado hasta organizaciones militares y políticas. Las amenazas involucradas en los ATP no son nuevas, sin embargo representan un marcado incremento en el uso de tácticas que explotan conexiones sociales de confianza, que emplean malware sofisticado y son ejecutadas por atacantes decididos y pacientes. Los vectores de ataque usados en una APT no son muy diferentes de los empleados en otros tipos de ataque, pero su principal diferencia radica en la motivación, perseverancia y recursos de los hackers.
Lo que más distingue una APT es que cambia sus características todo el tiempo y de manera intencional, haciéndolo muy difícil de detectar con métodos tradicionales: la actividad anormal de usuarios autorizados, el acceso a datos fuera de contexto o una secuencia inusual de comportamiento, que tradicionalmente serían tomados como eventos de bajo riesgo, pueden ser las únicas señales de un ataque APT.
. 
¿Cuáles son las características principales de una APT?
  • Personal: el atacante selecciona objetivos con base en intereses políticos, comerciales o de seguridad y tiene una definición clara de la información que busca obtener de la víctima.
  • Persistencia: si un objetivo se resiste a ser penetrado, el hacker no abandonará la misión, lo que hará es cambiar la estrategia y desarrollará un nuevo tipo de ataque. Incluso podría decidirse por pasar de un vector de ataque externo a uno
    interno.
  • Control y enfoque: una APT está enfocada en tomar control de elementos cruciales de la infraestructura, como redes de
    distribución eléctrica o sistemas de comunicaciones; también busca comprometer la propiedad intelectual de otros o información de seguridad nacional, mientras que los datos personales no suelen ser de interés para un atacante de este
    estilo.
  • Tiempo y dinero: los perpetradores de una APT no suelen preocuparse por el costo del ataque, incluso pueden no preocuparse de los ingresos a partir del mismo, ya que a menudo están financiados por estados nacionales o por el crimen organizado.
  • Automatización: los hackers hacen uso de software y sistemas automatizados para aumentar el poder de penetración contra un solo objetivo, a diferencia de otros tipos de ataques que utilizan sistemas automatizados para atacar múltiples objetivos.
  • Una sola capa: solo un grupo u organización posee y controla todos los roles y responsabilidades durante el ataque. Estos roles y responsabilidades no están distribuidos en grupos externos a la organización atacante.
Durante los últimos dos años las APT se han hecho muy sofisticadas y diversificadas en sus métodos y tecnologías. Los ataques tradicionales empiezan mapeando las redes y realizando tareas de inteligencia para recolectar información acerca de vulnerabilidades técnicas, sin embargo, un ataque APT empieza con un mapeo de la parte humana de la organización y colecta información de los empleados, más que por medio de las vulnerabilidades técnicas. Enfocarse en las personas, que son el eslabón más débil en la seguridad, es más fácil que tratar de evitar los componentes tecnológicos de seguridad como los firewalls y los sistemas de prevención de intrusos.
Las técnicas de APT han probado ser tan exitosas que cualquier organización debería asumir que este tipo de ataques son inevitables.
. 
¿Por qué es tan difícil detectar una APT?
  • Más que tomar control de las aplicaciones y de la infraestructura de la red, buscan aprovecharse de los recursos y privilegios de las personas que forman parte de la organización.
  • Usan firmas de ataque únicas y de gran creatividad.
  • Más que tomar control de los componentes y de las aplicaciones de la red, una ATP se basa en los recursos de los usuarios y sus privilegios.
  • El comportamiento y las “firmas” de un ataque de este tipo son difíciles de correlacionar con los de ataques conocidos, incluso si la empresa utiliza un correlacionador o un SIEM (Security Incident and Event Management).
  • Normalmente una APT es distribuida a lo largo de periodos de tiempo prolongados, haciéndola difícil de correlacionar con base en los datos de fecha y hora.
  • Los ataques parecieran venir de una gran variedad de fuentes. Las botnets distribuidas son usadas con frecuencia para generar los ataques, haciendo muy difícil la identificación de la red hostil.
  • El tráfico de datos del ataque por lo general se encubre a través de cifrado, compresión o enmascarando las transmisiones dentro del comportamiento “normal” de programas comprometidos.
  • Muchas APT son diseñadas de manera específica para operaciones encubiertas y se mueven de un sistema comprometido a otro sin generar el tráfico predecible que se ve en otra clase de malware. Los ataques APT suelen diseñarse para evadir las
    soluciones antimalware y los IPS, además de que pueden ser compilados para una industria u organización específica.
.¿Cuáles son las cualidades de una APT?

Aunque los métodos y tecnologías usadas pueden variar mucho, casi siempre exhiben estas cualidades:
1.- Ataques personalizados basados ​​en la organización objetivo.
Los hackers seleccionan sus objetivos y diseñan sus métodos de ataque e infiltración para tener el mayor efecto posible en los sistemas, defensas y personal de las organizaciones objetivo. Atacan a los empleados y a los usuarios válidos de alto nivel que tienen privilegios en los sistemas y procesos que necesitan atacar. Emplean técnicas de reconocimiento e inteligencia para entender los sistemas, aplicaciones y redes de la víctima, de tal manera que puedan ser más eficientes, atacando sistemas con
vulnerabilidades no corregidas o desconocidas (zero-day).
2.- “Bajo y lento”
Para evadir la detección, los hackers mantienen un perfil bajo dentro del ambiente de TI de las organizaciones que infiltran, incluso pueden llegar a esperar meses enteros para que se den las condiciones óptimas para un ataque. El monitoreo sistemático y la interacción con los sistemas comprometidos durante periodos largos de tiempo son la marca típica de una ATP.

Contenido completo en fuente original Magazcitum


Leer más: Segu-Info: Amenazas persistentes avanzadas (APT) http://blog.segu-info.com.ar/2012/01/amenazas-persistentes-avanzadas-apt.html#ixzz1kUCRsueg
Under Creative Commons License: Attribution Non-Commercial Share Alike