Cuando escuchamos acerca de una APT, Amenaza Persistente Avanzada, sabemos que una persona u organización ha sido el blanco específico de una entidad maliciosa, un grupo de atacantes sofisticados y determinados que realizan una campaña de robo de propiedad intelectual y buscan comprometer redes gubernamentales y comerciales. Por lo tanto, lo mejor es conocer la anatomía de una operación APT, para saber como identificarla y poner más cuidado en las acciones que realizamos a diario.
- Reconoce el blanco: El primer paso de un ataque APT se basa en buscar datos públicos disponibles sobre empleados específicos. Para este fin las redes sociales como LinkedIn, Facebook y los motores de búsqueda tales como Google siempre son los favoritos.
- Intrusión inicial: Contando con la información de las redes sociales sobre la persona elegida los atacantes suelen enviar a ese usuario un correo electrónico de Spear Phishing. A menudo el correo electrónico utiliza contenido relevante para el blanco; si la víctima se encuentra en el departamento financiero puede dar consejos sobre controles regulatorios.
- Ingresa por la puerta trasera: El siguiente paso en una APT, es instalar algún tipo de herramienta de administración remota (RAT) que permite al atacante controlar la máquina.
- Gana mayor acceso: Con el paso anterior logra configurar el acceso remoto el atacante, y entonces empezará a robar nombres de usuario y contraseñas y a buscar cuentas de usuarios con grandes privilegios.
- Realiza exfiltración de datos: El paso siguiente se reconoce cuando, el atacante intenta enviar datos comprometidos de forma codificada y comprimida a través de servidores con fachada de regreso.
- Echa raíces: Para cerrar el proceso el atacante instalará más RATs y es posible que mande actualizaciones al malware para mejorar su capacidad de permanecer bajo el radar.
Conociendo esto, cada organización debe contar con una política de seguridad definida y personalizada, ya que debe estar hecha a la medida de las necesidades de la compañía. Con esto se puede bloquear el acceso dentro de la organización, así mismo la compañía debe tener seguridad en capas profunda y refuerzo de reglas en capas las cuales incluyen tecnologías IPS, firewall y DLP. Para más información visita infochannel.com.mx Realizado por Nataly Mejía Marketing