Segurança da Informação

Ξ Deixe um comentário

APT – A proteção é difícil mas não impossível

publicado por Fernando Romero

Recentemente foram divulgados na mídia diversos casos de ataques a empresas e governos por essa nova modalidade de ameaça. Esse termo foi usado pela primeira vez pela Força Aérea Americana em 2006, originalmente como um tipo de ataque exclusivamente entre nações para fins puramente estratégicos mas, com o tempo, ganhou abrangência e incorporou ataques com fins lucrativos, como roubos de dados de clientes, códigos fonte entre outras informações confidenciais.

Mas o que é um APT?

APT – Advanced Persistent Attacks ou ameaças avançadas persistentes são técnicas de explorações personalizadas que visam ganhar acesso ao um alvo específico, coletar e extrair informações durante um longo período. A sua detecção é muito difícil pois conta com técnicas variadas e muitas vezes personalizadas que visam um resultado bem específico, ou seja, muitas não são contempladas nas assinaturas de soluções de segurança. Após o acesso do atacante no ambiente interno, ele procura outras formas de se espalhar pela rede, tornando ainda mais difícil a sua eliminação em caso de descoberta.

Tecnologias que dependem de definições (assinaturas) de ataques conhecidos são mais propensas em falhar na detecção de ataques do tipo APT, que são projetados para operar em “modo invisível”. A detecção de APTs exige uma solução de monitoramento configurada de forma que seja capaz de identificar e analisar as mudanças sutis e anomalias na rede, servidores e clientes que normalmente ocorrem durante um APT.

Recomendações

Como esses tipos de ataques não são baseados em assinatura, o melhor método de detecção é por meio de comportamento do ambiente, seja ele por monitoração do tráfego como de monitoração força bruta de acesso a sistemas, por exemplo. Essa monitoração se faz importante pois uma das técnicas do APT é a utilização de ataques zero-day, ou seja, ataques muito recentes ainda sem uma correção ou assinatura conhecida.

A revisão da sua topologia e configurações de rede com ênfase nas melhores práticas de segurança pode ser um importante ponto de partida uma vez que a implantação de camadas de segurança continua sendo um dos melhores meios de proteção contra as APT´s.

Soluções como Filtro de Conteúdo podem filtrar o tráfego web em busca de códigos maliciosos e uma solução de proteção contra Malware analisa todo o tráfego da rede e busca descobrir, entender e bloquear surtos de malware, APTs e ataques direcionados. Tecnologias como essas dão visibilidade e controle, imprescindível na detecção de ataques como esses.

Para uma melhor efetividade e tempo menor de resposta, a utilização de um SIEM (Gerenciamento de Eventos e Informações de Segurança) consolidando e correlacionando logs de diversas origens, com regras de correlação tanto tecnológicas quanto com regras ligadas ao negócio, bem como a sua monitoração por uma equipe de resposta à incidentes 24x7x365. Com uma equipe de resposta à incidente é possível a análise imediata do ocorrido bem como a coleta de evidências para análise e futuras correções no ambiente. Dependendo da fase na qual o ataque se encontre, pode ser necessária a instauração de status de crise, escalação interna e até mesmo o envolvimento de força policial.

Como a fase inicial de um APT normalmente se utiliza de técnicas de engenharia social persuadindo os usuários a clicar em links URL suspeitos e a baixar códigos maliciosos, é de extrema importância a conscientização dos colaboradores.

Saída das informações

Após a coleta das informações desejadas o atacante precisa, de alguma forma, extrair e enviar essas informações para algum lugar fora da rede da empresa. Nesse caso é muito importante uma monitoração do que está saindo da sua rede em busca de desvios, essa pode ser a sua última chance de detecção no caso de já haver alguém “dentro” do seu ambiente. Se for identificado algum tráfego anormal ou desconhecido é o momento de uma análise mais profunda e bloqueio.

Não existe uma proteção única para ataques desse tipo. A união de várias tecnologias bem como a conscientização dos colaboradores podem reduzir em muito o risco de ataques do tipo APT serem bem sucedidos.

Autor

Fernando Romero é Gerente de Desenvolvimento de Negócios de Segurança da Telefônica, formado em Gestão em Gerenciamento de Redes pela UNIP e com pós-graduação em Segurança da Informação pelo IBTA. Possui o título de CISSP (Certified Information System Security Professional), além de outras 4 certificações na área de tecnologia. Sua trajetória profissional inclui atuações como Arquiteto de Soluções e Analista de Segurança em empresas como TIVIT e IBM.

Fernando Romero

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes