¿Qué es una amenaza persistente avanzada?

Una amenaza persistente avanzada (APT) es un evento de seguridad complejo de varias etapas cuyo objetivo son activos empresariales específicos. Una APT es un actor no autorizado que entra en un entorno organizacional, se mueve entre los sistemas para obtener activos, transfiere información confidencial e intenta salir sin que lo detecten. Las amenazas persistentes avanzadas pueden ser difíciles de identificar y tratar debido a las tácticas sofisticadas y a un enfoque específico. La protección contra las APT requiere un enfoque que abarca varios sistemas y disciplinas.

Un evento de APT puede tener uno de los siguientes propósitos.

Robo de propiedad intelectual

La propiedad intelectual, como los secretos comerciales o gubernamentales, el código fuente propietario o las comunicaciones privadas, son todos información confidencial que es privada para una organización. Al obtener el acceso inicial a estos datos, los grupos de APT obtienen información de manera ilegal para conseguir una ventaja competitiva o afectar negativamente a la red de la empresa objetivo.

Fraude financiero

Las APT pueden hacerse con el control de los sistemas y las operaciones empresariales, dando al actor no autorizado acceso con los privilegios necesarios para cometer fraude financiero. Estas operaciones pueden enviar transferencias financieras desde cuentas de usuario o robar información confidencial de una empresa para hacerse pasar por personas privilegiadas dentro de la empresa.

Ransomware 

Un evento de APT exitoso puede tener el objetivo de implementar ransomware. En este ejemplo, la APT comienza a cifrar la información confidencial e impide que los usuarios accedan a la red objetivo. Estos grupos no autorizados pueden exigir un precio de rescate elevado a cambio de proporcionar la clave para descifrar los archivos. 

Daño en la reputación

El objetivo específico de algunos grupos de APT es dañar la reputación de la organización al filtrar información al público.

Las APT solo consideran objetivos de alto valor. Las amenazas persistentes avanzadas (APT) son más complejas de identificar que una ciberamenaza típica, porque no siguen los patrones tradicionales. Como no existe un vector de eventos de seguridad, un plazo para el evento o una firma comunes, localizar y neutralizar estos eventos de seguridad es más difícil. 

En los eventos de seguridad típicos, puede producirse un aumento repentino en las operaciones de la base de datos o en el tráfico en el movimiento de datos, mientras que el enfoque más metódico de los eventos de APT permanece oculto.

Es posible que una APT tampoco busque obtener ganancias instantáneas, lo que le permitirá tomarse su tiempo para crear una amenaza más amplia. Al no detectarse en los sistemas, las APT pueden permanecer así durante periodos prolongados dentro de una empresa hasta que el grupo decida actuar.

Estas son las características y los síntomas más comunes de una amenaza persistente avanzada.

Eventos sofisticados de varias etapas para obtener acceso

Las amenazas persistentes avanzadas implican eventos de varias etapas, que suelen seguir una serie de pasos similares.

En primer lugar, un actor no autorizado realiza un reconocimiento de una organización objetivo y sus sistemas para recopilar información sobre los activos y las posibles vulnerabilidades. A partir de aquí, desarrolla métodos para aprovechar las vulnerabilidades identificadas.

Una vez que un actor no autorizado obtiene acceso a los sistemas de la empresa, pasa por varias partes del sistema. Lo hacen al obtener acceso a privilegios elevados mediante la ingeniería social, la navegación de segmentos de red y otras técnicas. También pueden distraer al personal de seguridad. Los servidores de comando y control están configurados para coordinar las comunicaciones.

Una vez que puede acceder a los activos de destino, un actor no autorizado normalmente comienza a filtrar los datos o a alterar el sistema comprometido, según el objetivo del evento. Algunas amenazas persistentes avanzadas siguen esta etapa final con un intento de cubrir sus rastros para ayudar a evitar que se tenga conocimiento del evento.

Realizada por un grupo de APT altamente motivado

Los eventos de APT provienen de actores no autorizados altamente motivados que generalmente trabajan en grupos. Estos grupos se presentan de muchas formas; por ejemplo, en forma de APT con patrocinio estatal, organizaciones profesionales de ciberdelincuencia, grupos hacktivistas o pequeños equipos de piratas informáticos contratados.

Si bien uno de los principales objetivos de las APT es obtener ganancias financieras, algunos de estos grupos lanzan eventos de APT para recopilar información confidencial, exponer datos, sabotear la infraestructura o afectar la reputación de las organizaciones. 

Un evento durante un periodo de tiempo significativo en varios sistemas

Las etapas descritas anteriormente pueden ocurrir durante un periodo prolongado. Debido a la naturaleza específica de los eventos de APT, los grupos planifican cuidadosamente su avance a un ritmo lento para evitar llamar la atención o activar alertas en los sistemas. En algunos casos, la APT permanece sin ser detectada durante meses o años antes de que se actúe para lograr el objetivo original.

Diseñada para no dejar rastro

La etapa final del movimiento de un actor de amenazas de APT consiste en cubrir cualquier rastro de un evento mediante técnicas como la eliminación de archivos, la modificación de registros o la ocultación de ciertos aspectos de una base de datos. Al reducir la probabilidad de que un equipo de ciberseguridad detecte una anomalía en el sistema, es más probable que los actores no autorizados salgan sin sufrir consecuencias.

Además, al ocultar las pruebas de su presencia, las APT también pueden mantener en secreto su método específico de infiltración. Esta salida secreta les permite utilizar la misma estrategia lenta y metódica con otras organizaciones objetivo.

La inteligencia de amenazas persistentes avanzadas (APT) es una forma especializada de inteligencia de amenazas que informa y dirige a las empresas sobre las campañas de APT en curso, los actores no autorizados de APT establecidos y las técnicas actuales de ingeniería social que utilizan las APT. 

La inteligencia de APT difiere de la inteligencia de amenazas general en sus orígenes, técnicas de triangulación, informes, análisis y aplicaciones.

Estas son varias medidas de seguridad eficaces para ayudar a prevenir las APT y defenderse de ellas.

Inteligencia de amenazas

Los sistemas de inteligencia de amenazas son una estrategia eficaz para ayudar a prevenir las APT. La inteligencia de amenazas recopila datos de seguridad internos y externos para proporcionar una visión holística del estado actual de los eventos y sus vectores comunes. Mediante el uso de datos públicos y privados, puede determinar cuáles son los principales adversarios y tácticas potenciales de APT y cómo defenderse de ellos.

Las organizaciones pueden obtener información y crear estrategias al implementar plataformas de inteligencia de amenazas, fuentes de inteligencia de amenazas de código abierto y marcos como MITRE ATT&CK.

Registros y telemetría

El registro efectivo y extenso de los sistemas de ciberseguridad, la red, los puntos de acceso a los activos, la supervisión de los puntos de conexión y los datos generales sobre el estado de los sistemas permite que los expertos en seguridad desarrollen una visión general completa de los sistemas de la empresa. La retención de registros detallados y la implementación de análisis avanzados mejoran la detección de anomalías y permiten la investigación retroactiva de eventos de seguridad inesperados.

Tecnología

Hay varias tecnologías que puede utilizar para mejorar su capacidad de detectar, neutralizar y mitigar las APT. Estas son algunas de las tecnologías centrales de este conjunto de tecnologías de seguridad:

• Sistemas de detección de intrusiones (IDS): herramientas que supervisan el tráfico de la red para identificar cualquier actividad extraña.
• Sistemas de administración de eventos e información de seguridad (SIEM): una solución que correlaciona los datos de varios sistemas de seguridad para ofrecer una detección de amenazas en tiempo real y respuestas a eventos de seguridad inesperados.
• Detección y respuesta de puntos de conexión (EDR): mapea y supervisa todos los dispositivos de puntos de conexión de la empresa para identificar anomalías y responder a ellas automáticamente.

Seguridad por capas

Además de las medidas de seguridad contra APT, también puede implementar una estrategia de seguridad por niveles para reducir la probabilidad de que se produzca un evento de seguridad inesperado. Puede introducir la segmentación de la red, el almacenamiento seguro de ubicaciones, implementar el acceso con privilegios mínimos, aplicar la autenticación multifactor para todas las cuentas de la empresa y utilizar estándares de cifrado sólidos en reposo y en tránsito. Además, la aplicación regular de parches al software de red, al software del sistema y al software de las aplicaciones ayuda a mitigar las vulnerabilidades conocidas.

Formación

Uno de los puntos de entrada más comunes para las APT y otros eventos de ciberseguridad inesperados es el contacto con los empleados de la empresa. Los grupos suelen atacar a personas de la organización, ya sea mediante estafas de suplantación de la identidad o manipulación social engañando a un empleado para que haga clic en un enlace comprometido. Con los avances de la IA, las técnicas avanzadas de suplantación de la identidad se están convirtiendo en algo habitual.

Puede llevar a cabo programas periódicos de concienciación sobre seguridad para combatir las amenazas de ingeniería social en la organización. Los empleados deben ser capaces de reconocer las señales iniciales de una APT e informar de los eventos al equipo de seguridad.

AWS ofrece servicios diseñados para ayudar a proteger a las organizaciones contra las amenazas persistentes avanzadas. AWS Security Hub transforma la seguridad en la nube mediante una visibilidad unificada, información útil y flujos de trabajo automatizados.

Amazon GuardDuty ofrece una detección de amenazas administrada y completamente escalable para la nube. Amazon GuardDuty puede identificar, correlacionar y responder con rapidez a las amenazas mediante análisis automatizados y recomendaciones de corrección personalizadas para ayudar a minimizar las interrupciones en la empresa. Amazon GuardDuty ofrece una detección inteligente de amenazas para ayudar a proteger sus cuentas, cargas de trabajo y datos de AWS.

Amazon Inspector detecta de manera automática cargas de trabajo, como las instancias de Amazon Elastic Compute Cloud (Amazon EC2), imágenes en contenedores y funciones de AWS Lambda, además de repositorios de código, y los analiza para encontrar vulnerabilidades de software y exposición involuntaria de red.

Amazon Macie detecta información confidencial con machine learning y coincidencia de patrones, brinda visibilidad sobre los riesgos de seguridad y habilita medidas de protección automatizadas contra esos riesgos.

La Respuesta ante incidentes de seguridad de AWS le permite prepararse para los eventos de seguridad, responder a ellos y recuperarse. El servicio de Respuesta ante incidentes de seguridad automatiza la supervisión y la investigación, acelera la comunicación y la coordinación y ofrece acceso directo ininterrumpido al equipo de respuesta ante incidentes de clientes (CIRT) de AWS.

Cree una cuenta gratuita hoy mismo para comenzar a proteger su organización contra las APT en AWS.