Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

Explicando a Ameaça Persistente Avançada (APT)

As ameaças persistentes avançadas (APTs) exigem uma abordagem de segurança muito mais robusta e menos dependente de soluções de segurança tradicionais. Saiba mais em nosso artigo.
Emilia Bertolli
5 minuto de leitura
Ultima atualização 28 de Outubro de 2021

Conteúdo

    Em março de 2018, relatório detalhando a ameaça Slingshot revelou que o malware se escondeu em roteadores e computadores por aproximadamente seis anos antes de ser descoberto. O Slingshot é um exemplo perfeito de malware projetado para ataques APT.

    O que é uma Ameaça Persistente Avançada (APT)?


    Ameaças Persistentes Avançadas são operações de longo prazo projetadas para infiltrar e/ou exfiltrar o máximo possível de dados sem serem descobertas. Ainda não é possível estimar exatamente a quantidade de dados que foram afetados pelo Slingshot, mas relatório da Kaspersky mostra que o Slingshot afetou aproximadamente 100 pessoas na África e Oriente Médio, com maioria dos alvos no Iêmen e no Quênia.

    Como vimos no Stuxnet, o Slingshot parece ter se originado internamente em órgão de defesa de algum governo e, como uma APT, isso não melhora em nada após seis anos sem ser detectado.

    O Stuxnet, por exemplo, liderou um ataque estratégico a um alvo de alto valor: programadores escreveram o código para atacar um painel de controle específico de um determinado fabricante que o Irã utilizava para enriquecer urânio. O código foi escrito de tal maneira que seria muito difícil de ser encontrado, então o ataque tinha um tempo para causar o máximo de danos possíveis. O ciclo de vida de um APT é muito mais longo e complexo que outros tipos de ataque.

    1. Defina o alvo: determine quem será seu alvo, o que espera realizar e por quê
    2. Encontre e organize parceiros: selecione os integrantes da equipe, identifique as habilidades necessárias e busque acesso privilegiado
    3. Crie ou adquira ferramentas: encontre ferramentas que estejam disponíveis ou crie novos aplicativos para obter as ferramentas certas para o trabalho
    4. Objetivo da pesquisa: descubra quem tem o acesso que você precisa, qual hardware e software o alvo usa e planeje o ataque da melhor forma
    5. Teste de detecção: implante uma pequena versão de reconhecimento do software, teste as comunicações, identifique os pontos fracos
    6. Implantação: e o show começa agora, implante o pacote completo e inicie a infiltração
    7. Intrusão inicial: quando estiver dentro da rede, descubra aonde ir e encontre seu alvo
    8. Conexão de saída iniciada: alvo encontrado, solicitando evacuação. Crie um túnel para começar a enviar os dados
    9. Expanda o acesso e obtenha credenciais: crie uma “rede fantasma” sob seu controle dentro da rede de destino, aproveite o acesso para ganhar mais espaço
    10. Reforce a presença: explore outras vulnerabilidades para criar mais zumbis ou ampliar seu acesso a outros locais importantes
    11. Exfiltre dados: assim que encontrar o que estava procurando, retorne à base
    12. Cubra seus traços e permaneça sem ser detectado: toda operação depende da sua capacidade de permanecer oculto na rede. Continue apostando alto na invisibilidade e certifique-se de limpar o caminho assim que sair.

    Caixa de ferramentas: Ameaça Persistente Avançada


    As operações de APT, com muitos passos e pessoas envolvidas, requerem uma enorme coordenação. Existem algumas táticas testadas e funcionais que reaparecem em diferentes operações:

    • Engenharia social: o mais antigo e bem-sucedido método de infiltração é a velha engenharia social. É muito mais fácil convencer alguém a fornecer o acesso que você precisa que roubá-lo ou cria-lo por conta própria. A maioria dos ataques APT tem um componente de engenharia social, seja no início, durante a fase de pesquisa de alvo, ou no final, para cobrir seu rastro.
    • Spear phishing: o Spear phising é uma tentativa direcionada de roubar credenciais de uma pessoa especifica. O individuo é observado durante a pesquisa do alvo e identificado como um possível recurso para infiltração. Como o ataque de phishing shotgun, as tentativas de spear phishing também usam malware, keylogger, ou e-mail para fazer com que o alvo forneça as credenciais.
    • Rootkits: como os rootkits vivem próximos à raiz dos sistemas de computadores, são muito difíceis de serem identificados. Os rootkits fazem um bom trabalho de se esconder e de conceder acesso ao sistema infectado. Uma vez instalados, os operadores podem acessar a empresa-alvo por meio do rootkit. Também podem continuar a se infiltrar em outros sistemas quando estiverem na rede, dificultando ainda mais o trabalho das equipes de segurança da informação.
    • Explorações: um alvo fácil para APTs são os bugs de dia zero ou outras falhas de segurança conhecidas. Uma falha de segurança não corrigida permitiu que uma operação de APT na Equifax durasse vários meses sem ser detectada.
    • Outras ferramentas: embora o que falamos acima seja o mais comum. Há uma quantidade aparentemente infinita de ferramentas disponíveis para uma operação APT: downloads infectados, encapsulamento de DNS, WI-FI nocivo entre muitos outros. E quem sabe qual será a próxima geração de hackers?

    Quem está por trás das Ameaças Persistentes Avançadas (APT)?

    Os operadores que lideram ataques APT tendem a ser motivados e comprometidos. Eles têm um objetivo em mente e são organizados, capazes e com a intenção de realizar determinado objetivo. Algumas dessas operações vivem sob uma organização maior, como um país ou corporação.

    Esses grupos estão engajados em espionagem com o único propósito de reunir inteligência ou minar as capacidades de seus alvos.

    Alguns exemplos de grupos APT conhecidos incluem:

    • APT28 (ou Fancy Bear)
    • Deep Panda
    • Equation
    • OilRig

    Empresas engajadas em espionagem industrial e os hacktivistas usarão APTs para roubar informações incriminatórias sobre seus alvos. Alguns APTs de nível inferior são projetados apenas para roubar dinheiro.

    Esses são, de longe, os mais predominantes, mas seus criadores não são tão sofisticados ou capazes quanto os patrocinados por países. Os motivos típicos para APTs são: espionagem, para ganhar vantagem financeira ou competitiva sobre um rival ou simplesmente roubo e exploração.

    Quais são os destinos comuns para Ameaças Persistentes Avançadas (APT)?

    Em geral, os APTs têm como finalidade alvos de maior valor, como outros países ou corporações rivais. No entanto, qualquer pessoa pode estar na mira de um APT.

    Duas características reveladoras de um ataque APT são um período prolongado e tentativas consistentes de ocultação do ataque.

    Quaisquer (e todos) dados confidenciais são um alvo para um APT, assim como dinheiro ou equivalentes, como dados de contas bancárias ou chaves de carteira de bitcoin. Os alvos potenciais incluem:

    • Propriedade intelectual (por exemplo: invenções, segredos comerciais, patentes, projetos, processos)
    • Dados confidenciais
    • Dados de infraestrutura (dados de reconhecimento)
    • Credenciais de acesso
    • Comunicados sensíveis ou incriminatórios (por exemplo: Sony)

    Como gerenciar Ameaças Persistentes Avançadas (APT)

     

    Para se proteger dos APTs é preciso uma abordagem de segurança em camadas:

    • Monitore tudo: reúna tudo o que puder sobre seus dados. Onde seus dados estão armazenados? Quem tem acesso a eles? Quem faz alterações no firewall? Quem faz alterações nas credenciais? Quem está acessando dados confidenciais? Quem está acessando nossa rede e de onde vêm? Você deve saber tudo o que acontece na sua rede e nos seus dados. Os arquivos em si são os alvos. Se souber o que está acontecendo com seus arquivos, poderá reagir e impedir que os APTs prejudiquem sua empresa.
    • Aplique a análise de segurança de dados: compare o arquivo e a atividade do usuário ao comportamento de outros usuários. Assim é possível saber o que é normal e o que é suspeito. Rastreie e analise possíveis vulnerabilidades de segurança e atividades suspeitas para interromper uma ameaça antes que seja tarde demais. Crie um plano de ação para gerenciar ameaças à medida que recebe os alertas. Diferentes ameaças exigirão um plano de resposta diferente: suas equipes precisam saber como proceder e investigar cada ameaça e incidente de segurança.
    • Proteja o perímetro: limite e controle o acesso ao firewall e ao espaço físico.  Quaisquer pontos de acesso são possíveis portas de entrada em um ataque APT: servidores não corrigidos, roteadores WI-FI abertos, portas da sala de servidores destravadas e firewall inseguro permitem a infiltração. Apesar de não poder ignorar o perímetro, se tivéssemos que fazer a segurança dos dados novamente, faríamos o monitoramento de dados primeiro.

    Ataques APT podem ser difíceis (ou impossíveis) de detectar sem o monitoramento. Os atacantes estão ativamente trabalhando contra você e para permanecerem sem serem detectados, mas de forma não prejudiquem a operação. Quando eles estiverem dentro do perímetro, poderão se parecer com qualquer outro usuário remoto, o que dificulta a detecção de roubo de dados e danos aos sistemas.

    A Varonis Data Security Platform fornece os recursos de monitoramento e análise que você precisa para detectar e impedir APTS em sua empresa – mesmo quando já estiverem dentro.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Emilia Bertolli
    Emilia Bertolli
    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
    ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
    Shane Waterford
    19 de Dezembro de 2023
    Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados 
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Guia de migração de dados: sucesso estratégico e práticas recomendadas
    guia-de-migração-de-dados:-sucesso-estratégico-e-práticas-recomendadas
    Michael Buckbee
    15 de Dezembro de 2023
    A migração de dados precisa de um projeto robusto para evitar o impacto nos negócios e com o orçamento