O que é uma ameaça persistente avançada?

Uma ameaça persistente avançada (APT) é um evento de segurança complexo em várias etapas que visa ativos específicos de empresas. Uma APT é um agente não autorizado que entra em um ambiente organizacional, percorre os sistemas para obter ativos, transfere informações sensíveis e tenta sair sem ser detectada. Ameaças persistentes avançadas podem ser difíceis de identificar e tratar, devido a táticas sofisticadas e a uma abordagem direcionada. A proteção contra APTs requer uma abordagem multissistêmica e multidisciplinar.

Um evento de APT pode ter uma das finalidades pretendidas a seguir.

Roubo de propriedade intelectual

Propriedade intelectual, como segredos comerciais ou governamentais, código-fonte proprietário ou comunicações privadas, são todos dados sensíveis que são privados de uma organização. Ao obter acesso inicial a esses dados, os grupos de APT obtêm informações ilegalmente para obter uma vantagem competitiva ou impactar negativamente a rede da empresa-alvo.

Fraude financeira

As APTs podem obter controle sobre sistemas e operações de empresas, dando ao agente não autorizado o acesso privilegiado necessário para cometer fraudes financeiras. Essas operações podem enviar transferências financeiras de contas de usuários ou roubar dados sensíveis de uma empresa para se passar por indivíduos privilegiados dentro da empresa.

Ransomware 

Um evento de APT bem-sucedido pode ter como objetivo implementar um ransomware. Neste exemplo, a APT começa a criptografar dados sensíveis e a impedir que os usuários acessem a rede de destino. Esses grupos não autorizados podem exigir um alto preço de resgate em troca do fornecimento da chave para descriptografar os arquivos. 

Danos à reputação

O objetivo específico de alguns grupos de APT é causar danos à reputação da organização ao vazar informações para o público.

As APTs consideram apenas alvos de alto valor. As ameaças persistentes avançadas (APT) são mais complexas de identificar do que uma ameaça cibernética típica, porque elas não seguem os padrões tradicionais. Como não há um vetor de evento de segurança comum, um cronograma para o evento ou uma assinatura, é mais difícil localizar e neutralizar esses eventos de segurança. 

Em eventos de segurança típicos, pode haver um aumento repentino nas operações do banco de dados ou no tráfego na movimentação de dados, enquanto a abordagem mais metódica dos eventos da APT permanece oculta.

Uma APT também pode não estar em busca de ganho imediato, o que lhe permite levar o tempo necessário para construir uma ameaça mais abrangente. Ao permanecerem indetectadas nos sistemas, as APTs podem passar longos períodos dentro de uma empresa até que o grupo decida agir.

Confira as características e os sintomas mais comuns de uma ameaça persistente avançada.

Eventos sofisticados em várias etapas para obter acesso

As ameaças persistentes avançadas envolvem eventos de várias etapas, que geralmente seguem uma série similar de etapas.

Primeiro, um agente não autorizado realiza o reconhecimento de uma organização-alvo e de seus sistemas para coletar informações sobre ativos e possíveis vulnerabilidades. A partir daí, ele desenvolve métodos para aproveitar as vulnerabilidades identificadas.

Depois que um agente não autorizado obtém acesso aos sistemas da empresa, ele se movimenta por várias partes do sistema. Ele faz isso obtendo acesso a privilégios elevados por meio de engenharia social, navegação em segmentos de rede e outras técnicas. Ele também pode distrair o pessoal de segurança. Os servidores de comando e controle são configurados para coordenar as comunicações.

Depois que os ativos-alvo estão acessíveis, um agente não autorizado normalmente começa a exfiltrar dados ou a alterar o sistema comprometido, dependendo do objetivo do evento. Algumas ameaças persistentes avançadas seguem essa etapa final com uma tentativa de encobrir seus rastros para ajudar a evitar qualquer conhecimento do evento.

Realizado por um grupo de APTs altamente motivado

Os eventos de APTs vêm de agentes não autorizados altamente motivados que normalmente operam em grupos. Esses grupos vêm de várias formas, incluindo APTs patrocinadas pelo estado, organizações profissionais de crimes cibernéticos, grupos hacktivistas ou pequenas equipes de hackers contratados.

Embora o principal objetivo das APTs seja o ganho financeiro, alguns desses grupos se envolvem no lançamento de eventos de APTs para coletar informações sensíveis, expor dados, sabotar a infraestrutura ou impactar a reputação das organizações. 

Um evento durante um período significativo em vários sistemas

As etapas descritas anteriormente podem ocorrer por um longo período. Devido à natureza direcionada dos eventos de APTs, os grupos planejam cuidadosamente se movimentar em um ritmo lento para evitar chamar a atenção ou acionar alertas nos sistemas. Em alguns casos, a APT permanece sem ser detectada por meses ou anos antes de iniciar as etapas para atingir o objetivo original.

Projetado para não deixar rastros

A etapa final do movimento de um agente de ameaças de APT é cobrir qualquer rastro de um evento, por meio de técnicas como excluir arquivos, modificar logs ou obscurecer certos aspectos de um banco de dados. Ao reduzir a probabilidade de uma equipe de segurança cibernética descobrir uma anormalidade no sistema, é mais provável que agentes não autorizados saiam sem consequências.

Além disso, ao ocultar evidências de sua presença, as APTs também podem manter seu método específico de infiltração em segredo. Essa saída secreta permite que elas usem a mesma estratégia lenta e metódica com outras organizações-alvo.

A inteligência de ameaças persistentes avançadas (APT) é uma forma especializada de inteligência de ameaças que informa e direciona as empresas em campanhas contínuas sobre APT, agentes não autorizados de APT estabelecidos e técnicas atuais de engenharia social usadas por APTs. 

A inteligência de APT difere da inteligência geral de ameaças em suas fontes, técnicas de triangulação, relatórios, análises e aplicações.

Confira várias medidas de segurança eficazes para ajudar a evitar APTs e a se defender contra elas.

Inteligência de ameaças

Os sistemas de inteligência de ameaças são uma estratégia eficaz para ajudar a evitar APTs. A inteligência de ameaças reúne dados de segurança internos e externos para fornecer uma visão holística do estado atual dos eventos e de seus vetores comuns. Ao usar dados públicos e privados, você pode determinar seus principais adversários de APT, sua táticas e como se defender contra eles.

As organizações podem extrair inteligência e criar estratégias implementando plataformas de inteligência de ameaças, feeds de inteligência de ameaças de código aberto e frameworks como o MITRE ATT&CK.

Registro em log e telemetria

O registro em log efetivo e extensivo de sistemas de segurança cibernética, redes, pontos de acesso a ativos, monitoramento de endpoints e dados gerais de integridade dos sistemas permite que os especialistas em segurança desenvolvam uma visão geral abrangente dos sistemas de sua empresa. A retenção de logs granulares e a implementação de analytics avançado melhoram a detecção de anomalias e apoiam a investigação retroativa de eventos de segurança inesperados.

Tecnologia

Há várias tecnologias que você pode usar para aprimorar sua capacidade de detectar, neutralizar e mitigar APTs. Confira algumas tecnologias centrais nessa pilha de tecnologia de segurança:

• Sistemas de detecção de intrusão (IDSs): ferramentas que monitoram o tráfego da rede para identificar qualquer atividade estranha.
• Sistemas de gerenciamento de eventos e informações de segurança (SIEM): uma solução que correlaciona dados de vários sistemas de segurança para oferecer detecção de ameaças em tempo real e respostas inesperadas a eventos de segurança.
• Detecção e resposta de endpoints (EDR): mapeia e monitora todos os dispositivos de endpoints da empresa para identificar anomalias e responder a elas automaticamente.

Segurança em camadas

Além das medidas de segurança contra APTs, você também pode implementar uma estratégia de segurança em camadas para reduzir a probabilidade de um evento de segurança inesperado. Você pode introduzir a segmentação de rede e o armazenamento local seguro, implementar o acesso com privilégio mínimo, aplicar a autenticação multifator para todas as contas da empresa e usar padrões robustos de criptografia em repouso e em trânsito. Além disso, a aplicação regular de patches de software de rede, software de sistema e software de aplicação ajuda a mitigar vulnerabilidades conhecidas.

Treinamento

Um dos pontos de entrada mais comuns para APTs e outros eventos inesperados de segurança cibernética é por meio do contato com os funcionários da empresa. Seja por meio de golpes de phishing ou manipulação social, induzindo um funcionário a clicar em um link comprometido, os grupos geralmente têm como alvo indivíduos dentro da organização. Com os avanços da IA, técnicas avançadas de personificação estão se tornando comuns.

Você pode realizar programas regulares de conscientização sobre segurança para combater as ameaças de engenharia social em sua organização. Seus funcionários devem ser capazes de reconhecer os sinais iniciais de uma APT e relatar eventos à sua equipe de segurança.

A AWS oferece serviços projetados para ajudar a proteger as organizações contra ameaças persistentes avançadas. O AWS Security Hub transforma a segurança na nuvem por meio de visibilidade unificada, insights acionáveis e fluxos de trabalho automatizados.

O Amazon GuardDuty oferece detecção de ameaças totalmente escalável e gerenciada para a nuvem. O Amazon GuardDuty pode identificar, correlacionar e responder rapidamente às ameaças com análises automatizadas e recomendações de remediação personalizadas para ajudar a minimizar a interrupção dos negócios. O Amazon GuardDuty oferece detecção inteligente de ameaças para ajudar a proteger seus dados, workloads e contas da AWS.

O Amazon Inspector descobre automaticamente workloads, como instâncias do Amazon Elastic Compute Cloud (Amazon EC2), imagens de contêineres e funções do AWS Lambda, bem como repositórios de código, e verifica se há vulnerabilidades de software e exposição não intencional à rede.

O Amazon Macie descobre dados sensíveis por meio de machine learning e correspondência de padrões, proporciona visibilidade dos riscos à segurança dos dados e oferece proteção automatizada contra esses riscos.

A Resposta a Incidentes de Segurança da AWS permite que você se prepare, responda e se recupere de eventos de segurança. O serviço Resposta a Incidentes de Segurança automatiza o monitoramento e a investigação, acelera a comunicação e a coordenação e oferece acesso direto 24 horas por dia, 7 dias por semana, à equipe de resposta a incidentes do cliente (CIRT) da AWS.

Comece a proteger sua organização contra APTs na AWS criando uma conta gratuita hoje mesmo.