Una Amenaza Persistente Avanzada, también conocida por sus siglas en inglés, APT (Advanced Persistent Threat), son un grupo de amenazas sofisticadas que evaden las herramientas de seguridad tradicionales, usualmente permanecen en una entidad específica sin ser detectadas.
Simplificando, una APT, es un tipo de malware diseñado para evadir controles de seguridad convencionales, con el objetivo principal de atacar una entidad o empresa determinada. Muchas veces creadas específicamente para robar información de una empresa o gobierno, manteniéndose sigilosos el mayor tiempo posible. Cuanto más tiempo permanezca oculto, más información será capaz de extraer.
El término “persistente” se refiere a que existe un control y monitorización externos para la extracción de datos de una entidad de manera constante. La mayoría de las veces llegan por medio de ingeniería social, engañando a los empleados para poder tomar control de sus equipos y desde ahí ser controlados remotamente.
Se han visto casos de espionaje industrial que usan este tipo de ataques, además, casos de gobiernos que compran y trafican este tipo de software. Las amenazas persistentes avanzadas pueden pasar desapercibidas durante meses o más, propagándose en busca de su objetivo.
¿Cómo actúa una APT?
La mayoría de veces no es necesaria una estrategia tan compleja, el eslabón más débil dentro de los sistemas de seguridad es el usuario, que no es experto en informática ni en seguridad, suele ser fácil de engañar, mientras que los atacantes son enormemente ingeniosos y creativos. Un simple correo electrónico con un adjunto que suscite la curiosidad del usuario es suficiente para infectar un equipo.
A continuación una breve descripción del proceso de ataque en las amenazas persistentes avanzadas:
Reconocimiento de la víctima
El atacante reconoce la profundidad de su objetivo, desde su configuración de sistemas hasta sus políticas de seguridad. Es en este instante que puede determinar el punto débil de la víctima para atacarlo.
Infección
El atacante se instala en la red interna de la víctima para desde ella obtener la información deseada. Esta máquina puede infectarse con la simple apertura de un archivo infectado que contiene las instrucciones para las futuras etapas de infección.
Propagación
Una vez completada la primera infección es tiempo de la propagación de la infección al resto de los equipos ya sea en la LAN o vía internet. Cabe mencionar que a este punto el atacante ya está más vulnerable de ser detectado.
¿Cómo protegernos de las APTs?
Como lo indicamos anteriormente, las APTs tienen el propósito de infectar a un objetivo concreto. Esto hace que las soluciones tradicionales de protección como los antivirus, no logren hacer frente a este tipo de ataques. El 80 % de su detección se basa en firmas, es decir, en conocer el malware previamente, y el otro 20 % se basa en el comportamiento, es decir, lo que trata de hacer el malware en el sistema, lo que la mayoría supone un alto nivel de falsos positivos.
Para poder combatir estas amenazas, se requiere de inteligencia superior que logre analizar el comportamiento, detectar y analizar este tipo de amenazas con herramientas más evolucionadas como CylanceylancePROTECT, que basa su tecnología en el uso de inteligencia artificial y el aprendizaje automático para evitar e identificar amenazas persistentes avanzadas antes de que se puedan ejecutar. A diferencia de las soluciones antivirus tradicionales que trabajan sobre firmas y sistemas de prevención basados en comportamiento, Cylance es capaz de definir los atributos esenciales de cada archivo.