¿Qué es una amenaza avanzada persistente?

¿Qué es una amenaza avanzada persistente?

A medida que el panorama de amenazas evoluciona más rápido de lo que podemos seguir, las organizaciones deben ser conscientes del tipo de amenazas a las que se pueden enfrentar. Ciertos tipos de amenazas, como ransomware y malware, son más prominentes y, por lo tanto, deben combatirse con los recursos adecuados. Por otro lado, hay algunos tipos de amenazas no son frecuentes y presentan un riesgo significativamente menor.

Sin embargo, el hecho de que una amenaza específica no esté tan extendida no significa que no debamos tomarla en serio.

Las amenazas avanzadas persistentes, por ejemplo, no son tan comunes para la mayoría de las organizaciones. Pero debido a su gravedad y complejidad, pueden ser mucho más paralizantes para la empresa.

Definición de amenaza avanzada persistente (APT)

En su definición más simple, una amenaza avanzada persistente (APT) recibe su nombre porque es avanzada, persistente y representa una amenaza para la organización objetivo. El término generalmente describe una campaña de ataque en la que el atacante (o más comúnmente, un equipo de atacantes), establece una presencia prolongada y dirigida en una red con la intención de robar datos altamente sensibles.

Los delincuentes que lanzan ataques APT eligen e investigan sus objetivos con mucho cuidado; las víctimas suelen ser grandes empresas o redes gubernamentales.

Las ramificaciones derivadas de una APT no se limitan al robo de datos. Si bien la mayoría de los atacantes de APT obtienen propiedad intelectual y datos privados de empleados y usuarios, las consecuencias pueden incluir el sabotaje de infraestructuras organizativas críticas y, en algunos casos, la apropiación total del sitio.

Lo más preocupante de los ataques APT es qué (y quién) es el responsable. Por lo general, los atacantes son equipos de ciberdelincuentes experimentados con importantes medios financieros y apoyo. Algunos ataques de APT pueden incluso ser financiados por el gobierno y actores estatales.

APT frente a una infracción estándar

En comparación con las amenazas de aplicaciones web tradicionales, las amenazas avanzadas persistentes son mucho más perniciosas.

Este es el por qué:

Primero, como se mencionó anteriormente, son mucho más completas.

Si bien los ataques más comunes se basan en el método spray-and-pray (traducción literal “rociar y rezar”) para atrapar la mayor cantidad de víctimas de una sola vez, los APT permanecen en las redes objetivo el mayor tiempo posible para robar los que más valor tenga y más.

Con esos tipos de ataques de golpe y fuga, muchas funciones están automatizadas. Los ataques APT, por otro lado, se orquestan de forma meticulosa y manual contra un objetivo específico.

Quizás lo más preocupante es el hecho de que el objetivo de las APT es apoderarse de toda la red. Los atacantes a menudo comienzan con ataques comunes como la inyección de SQL y la secuencia de comandos entre sitios para afianzarse en la red de sus víctimas. Luego, utilizando troyanos y proyectiles de puerta trasera, pueden ampliar su alcance para fortalecer su posición de traspaso del perímetro.

Progresión de un ataque

Los ataques APT se llevan a cabo de forma metódica y normalmente siguen cinco pasos específicos.

Aquí están:

1. Ganancias entrantes: Los piratas informáticos primero encuentran un punto débil o una vulnerabilidad en la red para colarse.

2. Establecer una presencia: Para permitir movimientos laterales dentro de la red, los atacantes invocan malware o troyanos con túneles y puertas traseras para mantenerlos presentes y sin ser detectados. Una vez dentro, incluso pueden cubrir sus huellas.

3. Ganar dominio: Una vez que se establece la presencia en la red, los piratas informáticos pueden comprometer las credenciales de autenticación para obtener derechos de administrador y obtener aún más acceso.

4. Mover lateralmente: Con un control total, los atacantes pueden intentar moverse por tantos segmentos de red como sea posible, expandir el ataque y aumentar la gravedad.

5. Quédate adentro y continúa descubriendo: Cuando los atacantes están dentro del sistema durante períodos prolongados, están bien posicionados para realizar un análisis suficiente para determinar el funcionamiento interno y las vulnerabilidades de la red. Si no son detectados, pueden quedarse hasta que obtengan lo que quieren; o peor aún, permanecer adentro indefinidamente.

Cómo las empresas pueden defenderse de la APT

Para detectar y protegerse adecuadamente contra los ataques APT, se requiere la cooperación a gran escala de casi todos en la organización, incluido el personal de TI, los usuarios individuales (esencialmente todos los empleados) y terceros como proveedores de seguridad. La mayoría de los métodos involucrarán a su personal de TI, pero sin la participación de toda la organización, aumenta el riesgo de un ataque APT exitoso.

Control de acceso y conciencia del usuario

Los atacantes saben que los empleados son el eslabón más débil de la cadena de ciberseguridad y que el elemento humano siempre es vulnerable. Muchos ataques a gran escala comienzan cuando un empleado se ve comprometido sin saberlo, es descuidado o malintencionado.

La realización de una revisión exhaustiva tanto del tipo como del nivel de acceso a la red y las aplicaciones para todos los miembros de su empresa contribuye en gran medida a la prevención de ataques. Se recomienda implementar un modelo de confianza cero siempre que sea posible.

En última instancia, si los empleados tienen una mentalidad de seguridad primero y comprenden las amenazas, se pueden prevenir muchas APT. Un programa sólido de concientización sobre seguridad en el que la capacitación sea constante y atractiva es fundamental.

Monitorear el tráfico de la red

Con visibilidad del tráfico entrante y saliente, podrá saber cuándo ocurre un comportamiento inusual de la red y puede alertar a las partes adecuadas.

Ejemplo de un estudio de comportamiento de usuario en redborder

Utilice firewalls de aplicaciones web (WAF) y firewalls de red

Normalmente instalado en el borde de su red, un firewall de aplicaciones web (WAF) filtra el tráfico a los servidores de aplicaciones web, una de las partes más vulnerables de su superficie de ataque. Los WAF pueden ayudar a identificar y frustrar los ataques a la capa de aplicación (como la inyección SQL), que se utilizan en la fase de ataque inicial. Los firewalls de red pueden proporcionar una vista más granular del tráfico de la red interna y alertarle sobre cualquier anomalía, como inicios de sesión inusuales y grandes transferencias de datos.

Lista blanca de aplicaciones y dominios

Si bien no es infalible, las listas blancas permiten administrar qué dominios son accesibles desde la red o controlar qué aplicaciones pueden instalar los empleados. La lista blanca es eficaz cuando se siguen otras prácticas recomendadas (más abajo las enumeramos).

2FA

Cualquier punto final crítico debe utilizar autenticación de dos factores o de múltiples factores (2FA o MFA), que requiere un segundo paso de verificación. Ese paso adicional puede evitar que los hackers se sigan infiltrando en su red.

Otras mejores prácticas:

  1. ¡Haz copias de seguridad! Un control general que se puede aplicar para ayudar a prevenir daños a largo plazo por ataques de ransomware es un programa de respaldo sólido. Un programa de copia de seguridad eficaz puede minimizar el daño del ransomware y permitir una recuperación rápida.
  2. Actualiza los componentes vulnerables y el software en busca de vulnerabilidades con la mayor frecuencia y rapidez posible.
  3. Cifra las conexiones remotas siempre que sea posible.
  4. Implemente un filtrado de correo electrónico avanzado para prevenir ataques de phishing y pruebe a los empleados con simulacros de phishing.
  5. Registra los eventos de seguridad y revíselos con frecuencia para fortalecer las políticas de seguridad.

Es importante ser consciente del potencial de una amenaza avanzada persistente y del daño que puede causar. Es de esperar que la organización nunca sea victimizada. Pero en caso de un ataque, la capacidad de responder rápidamente es fundamental. Redborder pues ayudar a complementar el equipo de ciberseguridad interno para ayudar a responder rápidamente a los ataques y mitigar el impacto.

Share this post

¡Conoce nuestra solución de ciberseguridad!


Redborder es una solución Big Data basada en tecnologías Open Source para la visibilidad de red,
el análisis de datos y la ciberseguridad completamente escalable según las necesidades de la infraestructura de red de cada compañía
o Provedor de servicios

Solución NDR

Escalable y modular

On premise or cloud

Desktop, Ios/ Android