BLOG

APT, Advanced Persistent Threat: você Sabe o que é?

APT Advanced Persistent Threat

APT, Advanced Persistent Threat: você sabe o que é?

APT significa Ameaça Persistente Avançada ou Advanced Persistent Threat e é o termo usado para descrever uma campanha de ataque em que um invasor ou uma equipe coordenada estabelece uma presença não autorizada e de longo prazo dentro de uma rede com objetivos escusos como, principalmente, extrair dados altamente confidenciais, mas também podem envolver sabotagem, como veremos a seguir. A princípio esta invasão é sutil e dificilmente detectável com tecnologias de defesa comuns.

Na maioria das vezes, os alvos dessas agressões são cuidadosamente pesquisados e escolhidos. E geralmente são grandes empresas ou órgãos governamentais. As consequências de tais invasões são diversas e incluem:

  • Roubo de propriedade intelectual (por exemplo, segredos comerciais ou patentes)
  • Informações confidenciais comprometidas (por exemplo, dados privados de funcionários e usuários)
  • A sabotagem de infraestruturas organizacionais críticas (por exemplo, exclusão de banco de dados)
  • Roubos de Web sites completos
  • Cyber guerra

Expertise dos Atacantes que usam APT

A execução de um ataque APT requer mais expertise e recursos do que um ataque padrão. Os autores geralmente são equipes de cibercriminosos experientes, com apoio financeiro substancial.

Em muitos casos são exploradas vulnerabilidades que ainda não foram identificadas e corrigidas pelos fabricantes. Nestes termos, mesmo que a empresa mantenha todos os seus ativos atualizados, estas vulnerabilidades ainda não teriam sido corrigidas.

Os ataques típicos, como já foi dito são sofisticados e podem incluir, por exemplo, remote file inclusion (RFI), SQL injection ou cross-site scripting (XSS). Estas invasões são frequentemente usadas pelos hackers para estabelecer uma base em uma rede de destino. Em seguida, cavalos de Troia e camadas de backdoor são tipicamente usados para expandir esse ponto de apoio inicial e criar uma presença persistente dentro do perímetro alvo.

APT: Progressão da Ameaça

Um ataque APT pode ser dividido em três fases: infiltração, expansão e extração.

Etapa 1: Infiltração

Os Hackers geralmente se infiltram através de Web, rede ou usuários autorizados.

Geralmente ocorrem via uploads maliciosos via RFI ou SQL injection ou engenharia social tal como spear phishing. Apesar de sofisticadas, estas técnicas são observadas em grande quantidade, em diversas empresas de todos os tamanhos, todos o tempo.

Opcionalmente, os atacantes podem executar ao mesmo tempo um ataque DDoS contra o alvo. Normalmente este ataque DDoS não tem nenhum objetivo escuso a não ser servir como uma “cortina de fumaça” a fim de distrair a equipe interna de rede ou segurança da empresa ou órgão do governo. Também pode ter objetivo de consumir recursos de equipamentos de segurança presentes no perímetro, facilitando a entrada não autorizada.

Após o acesso inicial, os invasores instalam imediatamente um shell de backdoor a fim de obter o controle remoto discreto e não autorizado de algum ativo na rede interna.

Etapa 2: Expansão

Depois que o ativo é comprometido ele se torna um ponto de apoio possibilitando que os atacantes ampliem sua presença na rede atacada.

O comum neste ponto é identificar os usuários que tem acesso às informações confidenciais desejadas como segredos industriais, patentes, registros financeiros ou dados de pessoas. Com isto, como já se tem um acesso privilegiado é fácil acessar os registros se passando pelo colaborador que tem o acesso.

Os objetivos da obtenção dos dados podem ser econômicos: as informações “coletadas” podem ser oferecidas para uma empresa concorrente. Pode haver o objetivo de sabotagem dos dados. Estes podem ser alterados de forma a sabotar um produto ou linha de produtos de uma empresa, pode-se até mesmo utilizar para se danificar mecanicamente equipamento ligado à rede como robôs industriais.

Por fim a sabotagem pode simplesmente apagar ativos essenciais ao negócio da empresa como seus bancos de dados de clientes, produtos, patentes entre outros, com objetivo de impactar nas operações, que pode parar completamente. E não é raro que a recuperação possa demorar horas ou até mesmo dias.

Etapa 3: Extração

Enquanto um ataque APT está em andamento, as informações roubadas são armazenadas em um local específico dentro da rede atacada. De tempos em tempos, ou no final do processo os criminosos precisam extrair os dados sem que sejam detectados.

Aqui novamente pode-se ativar um ataque DDoS para servidor de cortina de fumaça e assim distrair os responsáveis pela segurança ou operação da infraestrutura da empresa.

Conclusão

Os APT´s são ferramentas de ataque sofisticadas que exigem software específico para serem detectdas. A Bravo Tecnologia recomenda a utilização de Check Point SandBlast como solução efetiva para que as empresas possam se proteger destes ataquem em particular.

Vídeo sobre a Solução SandBlast ATP da Check Point: https://www.youtube.com/watch?v=yPFVbofnMuA&t=1s

Soluções de Prevenção contra Ameaças Avançadas da Bravo Tecnologia: https://www.bravotecnologia.com.br/solucoesapt/

Gostou do artigo? Compartilhe:

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no pinterest
Compartilhar no whatsapp
Compartilhar no telegram
Sophos firewall Cyber Security

A Sophos evolui para enfrentar todos os novos desafios, protegendo mais de 400.000 organizações de todos os tamanhos em mais de 150 países das ameaças cibernéticas mais avançadas da atualidade. Desenvolvidas pela SophosLabs, as soluções da Sophos são nativas da nuvem, aprimoradas por IA e são capazes de se adaptar e evoluir para proteger endpoints e redes contra táticas e técnicas cibercriminosas jamais vistas.

Histórico

A Sophos começou a produzir produtos antivírus e de criptografia há quase 30 anos. Hoje, os produtos da Sophos ajudam a proteger as redes usadas por 100 milhões de pessoas em 150 países e 100.000 empresas. Veja o que nossos clientes e parceiros têm a dizer sobre seus sucessos: https://www.sophos.com/en-us/company.aspx

Produtos que funcionam

Os produtos da Sophos permitem proteger todos os endpoinds da sua rede, de laptops a desktops e servidores físicos ou virtuais, tráfegos de Web e email e dispositivos móveis. Além disso, a proteção para estes dispositivos é possível graças a produtos que atendem às suas necessidades precisas. A Sophos garante a segurança da sua rede, fornecendo a única coisa que ninguém mais pode: Simplicidade.

A ajuda (de fato) está disponível quando você precisa

A equipe de suporte da Sophos é auditada e aprovada de forma independente pelo SCP (Service Capability & Performance Support Standard). As operações de suporte “follow-the-sun” (Reino Unido, EUA, Austrália) fornecem suporte 24/7 em inglês.

proofpoint anti spam Cyber Security

O que diferencia a Proofpoint

E-mail, mídias sociais e dispositivos móveis são as ferramentas profissionais – e para os cibercriminosos, as ferramentas para atacar. Proofpoint protege pessoas, dados e sua marca contra ameaças avançadas e riscos de conformidade.

Um conjunto comprovado de soluções

As soluções da Proofpoint impedem 99% dos ataques baseados em anexos. Todos os dias, são detectados e bloqueados ameaças avançadas e riscos de conformidade em mais de 600 milhões de e-mails, mais de 7 milhões de aplicativos móveis e centenas de milhares de contas de mídia social.

Velocidade e inovação habilitadas para nuvem

As soluções da Proofpoint são construídas em uma plataforma avançada de nuvem que combina velocidade e inovação. Os clientes da Proofpoint implantam, adaptam e atualizam mais rapidamente do que as ferramentas locais para manter você à frente das ameaças mais recentes. Por exemplo, uma organização de 360.000 usuários implantou recentemente nossas soluções em apenas 48 horas.

inteligência e visibilidade de longo alcance

Nenhum outro fornecedor de segurança cibernética possui uma plataforma global de inteligência que abrange e-mail, redes sociais e dispositivos móveis. A Proofpoint analisa mais de 100 bilhões de pontos de dados por dia. Isso fornece a visibilidade crítica necessária para entender um ataque – e o insight para resolvê-lo de maneira rápida e eficaz.

A história da Proofpoint

Eric Hahn, ex-CTO da Netscape, fundou a empresa em 2002. Desde então, cresceu para mais de 2500 funcionários, atendendo a mais de 4.000 empresas em todo o mundo. A empresa tornou-se pública em abril de 2012, negocia na NASDAQ e registrou receita de US $ 717 milhões em 2018.

Hoje, a Proofpoint está sediada em Sunnyvale, Califórnia e tem escritórios adicionais na Austrália, Canadá, França, Alemanha, Israel, Japão, Holanda, Reino Unido, Estados Unidos (Califórnia, Colorado, Indiana, Texas, Utah).