APT (Advanced Persistent Threats)

APT (Advanced Persistent Threats) son una categoría de crimeware dirigido a las empresas, a objetivos financieros y políticos. Los APT requieren un alto grado de ocultabilidad y de una duración prolongada para que la operación tenga éxito (un ejemplo es la Operación Aurora). Los objetivos de los ataque por lo tanto, se extienden más allá de obtener un beneficio económico inmediato y, los sistemas comprometidos, siguen brindando su servicio normal incluso después que los mismos han sido violados y los objetivos iniciales alcanzados.

Definiciones precisas de los APT pueden variar mucho, pero se puede resumir en base a las siguientes palabras:

Amenaza: significa que hay un grado de intervención humana, coordinados en el ataque, en lugar de una pieza ciega y automática de código dañino. Los criminales tienen un objetivo específico y están calificados, motivados, organizados y bien financiados.

Persistentes: los criminales dan prioridad a una tarea específica, en vez de al oportunismo y a buscar obtener un beneficio económico inmediato. Esta distinción implica que los atacantes son "guiados" por entidades externas. El ataque se lleva a cabo a través de un seguimiento e interacción continuos con el fin de alcanzar los objetivos definidos y que el mismo se mantenga en el tiempo. Esto no significa una andanada de ataques constantes y actualizaciones de software malicioso. De hecho, un enfoque de bajo perfil y lenta suele ser más exitoso.

Avanzada: los criminales detrás de la amenaza utilizan el espectro completo de tecnologías y técnicsa de intrusión informática conocidas. Aunque los componentes individuales del ataque no pueden ser clasificados como especialmente "avanzados" (por ejemplo, el malware es generado en forma de componentes comunes y disponibles en kits de construcción fácilmente adquiribles y explotables), los delincuentes pueden acceder y desarrollar instrumentos más avanzados cuando sea necesario. Además, se combinan las metodologías de múltiples ataques y herramientas a fin de alcanzar el objetivo.

¿Cómo ingresa un APT a una empresa?

Los APT pueden violar una empresa mediante una amplia variedad de vectores, incluso con la presencia de un buen diseño y mantenimiento de defensa en profundidad:

• Infección a través de malware en Internet (Drive-by-Download)
• Ingreso de malware físicamente
• Explotación desde el exterior

Un APT bien organizado no necesita violar los controles de seguridad en el perímetro desde una perspectiva externa. Ellos pueden, y suelen hacerlo, aprovechar el uso de "información privilegiada", "conexiones de confianza", el "vector insider" y comprometer los sistemas específicos.

Fuente: Damballa

Traducción de Cristian de la Redacción de Segu-Info