Descubriendo las amenazas persistentes avanzadas (APT)

Las amenazas persistentes avanzadas, denominadas por sus siglas en inglés Advanced Persistent Threat (APT) son una tipología de ciberataque muy sofisticado. Según el – NIST: National Institute of Standards and Technology (https://www.nist.gov/) – se define así esta tipología de ataque “Una amenaza persistente avanzada es un adversario que posee niveles sofisticados de experiencia e importantes recursos que le permiten crear oportunidades para lograr sus objetivos utilizando múltiples vectores de ataque (por ej:  cibernéticos, físicos y engaños). Estos objetivos, normalmente, incluyen establecer y extender los puntos de apoyo dentro de la infraestructura de IT de las organizaciones atacadas con el propósito de extraer información, perjudicar o dificultar los aspectos críticos de una misión, programa u organización; posicionarse para llevar a cabo estos objetivos en el futuro. Las amenazas persistentes avanzadas, buscan sus objetivos repetidamente durante un periodo de tiempo prolongado, se adaptan a los esfuerzos de los defensores para resistirlo y se proponen mantener el nivel de interacción necesaria para ejecutar sus objetivos”

Ciclo de vida de las ATP

Según diferentes estudios realizados esta tipología de ataques tiene su propio ciclo de vida:

• Inicio del ataque: los atacantes utilizan la ingeniería social para iniciar el ataque, por ejemplo, un ataque de phishing para instalar un virus o malware malicioso.
• Establecimiento del punto de acceso: los ciberdelincuentes pueden llegar a instalar un malware que se puede ejecutar de manera remota para crear túneles y puertas traseras con el fin de obtener acceso a la infraestructura.
• Escalado de privilegios: se utilizan las vulnerabilidades de los sistemas y las contraseñas débiles para obtener privilegios de administrador y obtener el control de los sistemas y de la infraestructura.
• Recopilación de información: gracias al escalado de privilegios los delincuentes pueden obtener información valiosa de la empresa y de la propia infraestructura para analizarla y ver cómo pueden moverse por dentro.
• Movimiento lateral: ampliación del control de los sistemas, es decir, saltar de un sistema a otro para ampliar el ataque y la recopilación de información.
• Conservación de presencia: los atacantes disponen de los accesos y las credenciales de los usuarios con acceso a cada uno de los sistemas.
• Completar la misión: en este punto, los atacantes ya han analizado la información y proceden a robar toda la información que puedan de las organizaciones.

Protección frente a las ATP

Las empresas deben afrontar este tipo de incidente de seguridad dentro de su plan de respuesta ante incidentes desde una perspectiva de detección, prevención y respuesta.
A continuación, os dejamos algunos consejos para protegerse de ataques ATP:

• Disponer de un plan de ciberseguridad y de un análisis de riesgo que tenga en cuenta esta amenaza, para poder analizar para cada empresa cuál es la mejor solución frente un ataque de esta tipología.
• Actualización de todos los dispositivos de la infraestructura.
• Concienciación de todos los empleados para proteger la infraestructura de la organización.
• Disponer de sistemas de doble factor de autenticación para proteger los sistemas y las cuentas de administrador.
• Disponer de sistemas de monitorización de eventos de seguridad que generen alertas para detectar posibles accesos no autorizados

 
Ponte en contacto con A2SECURE y sepa qué podemos hacer por ti.
Autor: Cristina Mallén