APT son las iniciales en inglés de Advanced Persistent Threat (APT), que se puede traducir por Amenaza Persistente Avanzada.
Índice
¿Qué es un APT en Ciberseguridad?
Pero ¿qué es realmente una Amenaza Persistente Avanzada?, pues es un ataque de tipo informático, dirigido contra un objetivo concreto que puede ser una empresa, una persona, un partido político, un país.
La clave de este tipo de ataques es que es un ataque dirigido contra un objetivo concreto, y los adversarios, serán pacientes y usarán muchos tipos de técnicas (phising, malware, troyanos, etc.) pero diseñados para el objetivo.
Se denominan Persistentes, porque los adversarios tienen muchos recursos, tanto técnicos, como económicos y de tiempo, y pueden llevar a cabo su ataque con mucha paciencia, en algunos casos años.
¿Y qué es lo que buscan?
La respuesta es clara: Información, el robo de datos
La información es hoy el activo más importante de muchas organizaciones: base de datos de clientes, información sobre nuevos proyectos que interese a la competencia, base de datos de proveedores, facturación, cuentas corrientes.
La información se puede cifrar y pedir un rescate a cambio, estaríamos entonces ante un ransomware, pero esta opción es muy espectacular pero la menos probable, lo probable es el robo de información, del que en el peor de los casos no somos conscientes.
La información se puede vender a la competencia en el caso de una empresa, o al partido contrario en el caso de un candidato político o un país enemigo en el caso de que se robe información a un gobierno de un país.
¿Qué es un ataque APT?
Un ataque APT es un ataque metódico que sigue una serie de fases muy definidas.
Los atacantes son pacientes y esperan su oportunidad para ir avanzando poco a poco hacia su objetivo.
Con un reconocimiento Inicial, se busca en redes sociales e internet toda la información relativa al objetivo, con la información obtenida podemos hacer un phishing personalizado.
Entonces explotamos una vulnerabilidad, una aplicación mal configurada, un equipo no actualizado, etc. y conseguimos establecer un punto de entrada.
La victima hizo click en un enlace e instaló un malware que permite el acceso remoto de los atacantes, a esta máquina.
Esta máquina inicial o cuenta inicial no suele tener privilegios, por ello ahora el adversario escala privilegios para conseguir ser administrador.
Con permisos de administrador procede a hacer ahora un reconocimiento interno de la red objetivo, y establecer otras puertas de entrada por si le falla el equipo inicial.
Desde este primer equipo comprometido inicialmente, hace movimientos laterales, es decir hacia otros equipos, con mayores privilegios, y siempre con el objetivo de llegar a los servidores y a la información confidencial.
Por último, una vez alcanzada la información confidencial, procederá a robarla y entonces puede que la cifre en el servidor y pida un rescate (rasomware) o que la venda al mejor postor.
Todo este proceso requiere muchos recursos, son adversarios muy organizados y con los conocimientos y dinero suficiente para hackear nuestras infraestructuras.
¿Cómo detectar un ataque APT?
- Aumento del volúmen de operaciones en las bases de datos
- Cuentas de usuarios que tienen comportamientos extraños, usuarios que se conectan por la noche, días de fiesta, etc. O se conectan a máquinas no habituales.
- Actividad de la red fuera de horarios habituales.
- Tráfico de salida hacia internet con un volumen muy elevado, puede ser un signo de que se está robando información.
Conclusión:
Es difícil saber si estamos siendo atacados por una ATP, se trata de organizaciones, con mucha capacidad técnica, y que se mueven lentamente, para no dar pistas en los sistemas de vigilancia de la red como son los SIEM y los IDS. Como gestores lo ideal sería reforzar todos los ámbitos de seguridad de nuestra organización, pero eso no siempre es posible, hay que priorizar:
- Formación y concienciación de los usuarios, ya que la primera fase de un ataque APT, es lograr que un usuario haga click o ejecute un archivo. Si nuestros usuarios están bien formados en seguridad y son cuidadosos, no permitirán el acceso inicial a la infraestructura por parte de los atacantes.
- Un SIEM o sistema de gestión de eventos de seguridad, que nos permita monitorizar la actividad de nuestra infraestructura y avisarnos de comportamiento extraños
- IDS Sistemas de detección de intrusos.
- Contratar una auditoría de seguridad, que evalúe la vulnerabilidades de nuestra infraestructura.