APT: Advanced Persistent Threats

Atuar na área da segurança digital das empresas é uma grande responsabilidade. Normalmente, qualquer organização lida com uma grande quantidade de dados sensíveis, seja de clientes, colaboradores ou fornecedores. Portanto, na maior parte dos casos, é necessário construir uma infraestrutura de segurança para proteger todo esse volume de informações, que sempre estão sujeitas a vazamentos e ataques por parte de criminosos digitais.

Um dos tipos mais perigosos de ataques cibernéticos é o APT (Advanced Persistent Threat), que conta com técnicas sofisticadas e clandestinas de ataque, podendo permanecer no sistema por tempo prolongado. O resultados desse tipo de ataque podem ser consequências potencialmente destrutivas à rede da empresa, como a exclusão de banco de dados e o vazamento de segredos comerciais e de dados sensíveis de funcionários e usuários.

Principais tópicos deste artigo

O que é APT ou Advanced Persistent Threat?

O termo Advanced persistent threat é utilizado para descrever um ataque cibernético sofisticado, normalmente dividido em várias etapas devido a sua complexidade. Ele é executado por um invasor ou uma equipe de invasores, dependendo do tamanho e da dificuldade de acesso à rede empresarial.

Alguns ataques desse tipo são financiados até mesmo por governos, ou grupos terroristas, e são usados como armas na guerra cibernética. Entre as empresas mais visadas para esse tipo de ataque podemos citar instituições bancárias, defesa civil e empresas que atuam com infraestrutura e energia.

Os objetivos de uma ameaça persistente avançada podem ser o roubo de propriedade intelectual, segredos comerciais, dados sobre clientes (como número de cartão de crédito), sabotagem da infraestrutura empresarial crítica, invasão de sites, entre diversos outros danos potencialmente destrutivos a qualquer organização.

Uma ameaça persistente avançada difere dos tradicionais ataques cibernéticos por seu alto nível de complexidade, utilizando técnicas não muito conhecidas aliado a malwares desenvolvidos especialmente para um único ataque. Ela também é mais lenta e busca precisão ao atingir uma única brecha. Uma vez dentro da rede corporativa, permanece até obter o máximo possível de informações.

Para entrar na rede, inicialmente são realizadas ações como inclusão de arquivo remoto (RFI), injeção de SQL ou cross-site scripting (XSS). Em seguida, cavalos de tróia e backdoors são normalmente utilizados para expandir a presença na rede atacada.

Os estágios de um ataque de APT

Um ataque APT bem sucedido conta com três principais estágios: infiltração na rede, expansão da presença da infiltração e extração de dados. Todos os estágios precisam ser executados sem serem detectados para que o ataque obtenha êxito.

Estágio 1: Infiltração

A infiltração de um ataque APT geralmente acontece por meio de ativos da web, recursos da rede ou usuários humanos autorizados. Podendo ocorrer via uploads maliciosos (RFI, SQL injection) ou engenharia social (spear phishing).

Os hackers também podem vir a executar simultaneamente ataques DDoS contra o alvo em questão, para distrair o time de segurança da informação do seu ataque principal. Depois de ter estabelecido o acesso inicial a rede, os invasores instalam um malware que garante acesso à rede que possibilita operações remotas.

Estágio 2: Expansão

Após a primeira etapa de entrada na organização, os cibercriminosos começam a expandir a sua presença dentro da rede: subindo dentro da hierarquia organizacional e obtendo acesso a dados mais sensíveis, como informações acerca do negócio, dados de funcionários e registros financeiros.

O objetivo final dos ataques varia, podendo ser a venda de informações para concorrentes ou sabotar o negócio da empresa. Se o objetivo for a sabotagem, por meio do controle de múltiplas funções de usuário, os hackers podem invadir banco de dados inteiros, realizando alterações que podem passar despercebidas se os processos de segurança não forem extremamente rigorosos.

Estágio 3 – Extração

A partir do momento em que um ataque passa a ser executado, as informações obtidas são armazenadas em um local seguro dentro da rede que está sob ataque. Uma vez que os dados obtidos são suficientes, os cibercriminosos precisam extraí-los sem serem detectados.

Nesse momento, entra em ação a tática de ‘white noise’ que consiste em tirar a atenção da equipe de segurança de um ponto crítico para que foquem em outro. Um exemplo disso pode ser a execução de um novo ataque DDoS para que a equipe de de cyber security fique envolvida tentando solucioná-lo, tirando assim a atenção do real problema.

Conheça a melhor solução de proteção de e-mail

Como se proteger de ataques de APT

Não existe fórmula mágica que garante a proteção contra ataques avançados desse tipo. Como regra geral, existem 3 pilares que, se bem trabalhados, podem reduzir muito a superfície de ataque: políticas de segurança, treinamento da equipe contra ataques de engenharia social e tecnologia para proteção.

Nem mesmo o sistema mais seguro do mundo pode ser eficiente sem o engajamento de todos os colaboradores da empresa. Por isso, é preciso conscientizar seus funcionários sobre as principais ameaças virtuais, explicar quais são os riscos e educar sobre como eles devem agir.

Além disso, é preciso criar políticas claras de segurança que reduzam ao máximo as possibilidades de invasão à rede corporativo e o roubo de dados.

Também é fundamental investir em antivírus (com EDR), firewalls que dêem conta do recado e sistemas de proteção para e-mail, o principal canal de propagação de ameaças. Uma boa opção é a plataforma Mailinspector, que utiliza machine learning e behavior analysis para automatizar a proteção da caixa de entrada da sua empresa. Também conta com módulo de ATP (Advanced Threat Protection) para lidar com ameaças deste tipo!

Quer saber mais? Então fale com nossos especialistas!

Veja como a HSC Labs melhorou a segurança de e-mail do MP-Bahia

Inscreva-se para receber notícias de cybersecurity

Bloqueie ataques que passam despercebidos por Microsoft e Google

Treine a sua equipe em cibersegurança

RECEBA NOTÍCIAS DE

Cybersecurity