By Zerum Team
Criado:
25 jun, 2020
4 anos atrás
Data da última atualização: 23/02/2023
Uma Ameaça Persistente Avançada (em inglês Advanced Persistent Threat – APT) é um tipo de ameaça cibernética que combina táticas e ferramentas avançadas para invadir a rede do alvo, evitar a detecção e persistir no ataque por quanto tempo for necessário até cumprir seu objetivo.
O termo, criado em 2006 pela Força Aérea dos EUA, deixa evidentes as duas características fundamentais de uma APT: a persistência e o uso de técnicas avançadas.
Um incidente famoso envolvendo APT foi a violação de e-mails do Partido Democrata dos EUA, em uma tentativa de influenciar as eleições norte-americanas de 2016. Outro caso bastante divulgado foi o ataque ao programa nuclear iraniano com o worm Stuxnet, uma ação que acredita-se ter sido realizada pelo grupo APT Equation.
Com frequência, os responsáveis por esses ataques são financiados por Estados (state-sponsored threats) e têm motivações políticas, mas também existem grupos motivados simplesmente pelo lucro ou por questões ideológicas. Caso queira conferir, há uma lista de grupos de APTs no MITRE ATT&CK.
O ciclo de vida de uma APT costuma passar pelas seguintes etapas:
Como ficou evidente, APTs usam métodos altamente sofisticados para driblar as defesas convencionais e, uma vez infiltradas, fazem de tudo para permanecer ocultas até concluírem seus objetivos. Ferramentas como antivírus e firewalls não são capazes de detectá-las.
E também não adianta simplesmente tentar identificar e “fechar” todas as vulnerabilidades, porque são muitas e o próprio atacante pode criar uma nova (zero-day) que não seria detectada num teste de vulnerabilidades.
O que fazer então?
Ter visibilidade sobre o que acontece na sua rede, servidores e dispositivos IOT, é crucial no combate às APTs. O SANS Institute, autoridade mundial em cibersegurança, lembra que “[…] uma vez que a APT invade um sistema, ela é muito sofisticada no que faz e em como funciona. Análise de assinatura é inefetiva na proteção contra ela. Ataques avançados estão sempre mudando, recompilando em tempo real e utilizando criptografia para evitar a detecção”.
O Infosec Institute, outra entidade reconhecida mundialmente na área, reforça: “Diferente de botnets que tem um alto volume de tráfego com PCs zumbis, o tráfego de C&C de uma APT é intermitente e de baixo volume, tornando-o difícil de detectar. Atacantes também tomam medidas para continuarem despercebidos mudando continuamente endereços de IP ou redirecionando tráfego via servidores proxy. Comunicações C&C que se mesclam com tráfego web normal, usam ou imitam apps e sites legítimos ou usam servidores internos criados por eles mesmo não podem ser detectadas sem monitoramento avançado de rede”.
Portanto, a solução para esse desafio é sem sombra de dúvida o uso de ferramentas de análise de tráfego de rede (Network Traffic Analysis – NTA) como o Zerum Lynx. Com essa tecnologia, você consegue monitorar, em tempo real, todo o tráfego da rede. Afinal, se uma ameaça já passou pela barreira do antivírus e é desconhecida, não existe no mundo uma atualização ou varredura de sistema que vá encontrar o código malicioso na máquina. É preciso detectar a ameaça enquanto ela se movimenta entre um dispositivo e outro. Essa visibilidade é essencial para identificar os ataques nos estágios iniciais, impedindo que causem danos.
E mesmo com visibilidade, identificar os rastros de uma APT em meio a milhões de transações não é uma tarefa simples. É por isso que, combinado à análise de tráfego de rede, o Zerum Lynx utiliza recursos de Inteligência Artificial.
Seus algoritmos observam o comportamento de usuários e máquinas (incluindo IoT) e identificam qualquer comunicação suspeita, como uma transmissão de dados ou acesso a servidor externo fora de hora. Outros recursos integrados à solução, como Threat Intelligence e Streaming Malware Detection potencializam essas detecções e oferecem uma camada inteligente de segurança à sua organização.
Por fim, é preciso responder rápida e adequadamente aos incidentes uma vez que são detectados. APTs mudam constantemente, se adaptando ao ambiente em que estão infiltrados para evitar a detecção. Por isso, a resposta precisa ser rápida e assertiva, bem como a posterior análise forense.
Nesse ponto, oferecemos o serviço Zerum Threat Hunting On-Demand, realizado por nossos melhores especialistas em segurança cibernética com a tecnologia do Zerum Lynx. Com ele, você tem busca pró-ativa por ameaças infiltradas e todo o apoio para mitigá-las.
Para saber mais, não deixe de conferir nosso Webinar gratuito sobre Advanced Persistent Threats (APT). Nele apresentamos passo a passo as técnicas utilizadas pelo atacante e mostramos na prática como usar o Lynx para detectá-lo.
A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.
Para saber mais, entre em contato!