Muitas empresas fazem o possível para coletar o máximo de dados possível sobre os clientes. Alguns até oferecem seus produtos gratuitamente em troca da permissão para coletar informações pessoais.

Como resultado, até mesmo empresas menores agora têm uma grande quantidade de dados valiosos. E mais e mais atores de ameaças estão procurando maneiras de roubá-los. Um exemplo disso é um tipo de ataque cibernético conhecido como ameaça persistente avançada.

Então, o que é uma ameaça persistente avançada? Como você identifica um? E o que você deve fazer se achar que seu sistema foi atingido por um APT?

O que é uma ameaça persistente avançada (APT)?

Uma ameaça persistente avançada é um tipo de ataque por meio do qual um invasor obtém acesso a um sistema e consegue permanecer lá sem ser detectado por um longo período de tempo.

Este tipo de ataque é geralmente realizado com o objetivo de espionagem. Se o objetivo fosse simplesmente danificar um sistema, não haveria razão para ficar por aqui. As pessoas que realizam esses ataques não estão tentando destruir sistemas de computador. Eles simplesmente desejam acessar os dados que possuem.

A maioria das ameaças persistentes avançadas usa técnicas sofisticadas de hacking e são feitas sob medida para sistemas de computador individuais.

Isso torna esses ataques muito difíceis de detectar. Mas um benefício de sua complexidade é que o usuário médio de computador geralmente não precisa se preocupar com eles.

Ao contrário do malware, que geralmente é projetado para atingir o maior número possível de computadores, as ameaças persistentes avançadas são normalmente projetadas com um alvo específico em mente.

Como um APT acontece?

A ameaça persistente avançada é um termo relativamente amplo. O nível de sofisticação empregado em tal ataque, portanto, varia amplamente.

A maioria, entretanto, pode ser facilmente dividida em três estágios distintos.

Etapa 1: infiltração

No estágio inicial, os hackers estão simplesmente procurando uma maneira de entrar. As opções disponíveis para eles obviamente dependerão de quão seguro é o sistema.

Uma opção seria o phishing. Talvez eles consigam alguém revelar acidentalmente suas credenciais de login, enviando-lhes um e-mail malicioso. Ou se isso não for possível, eles podem tentar alcançar a mesma coisa através da engenharia social.

Estágio 2: Expansão

O próximo passo é a expansão. Assim que os invasores tiverem uma entrada válida no sistema, eles desejarão expandir seu alcance e provavelmente se certificar de que o acesso existente não pode ser revogado.

Eles geralmente fazem isso com algum tipo de malware. Um keylogger, por exemplo, permitirá que eles coletem senhas adicionais para outros servidores.

Relacionado: O que é um Keylogger?

E um cavalo de Tróia backdoor garantirá intrusões futuras, mesmo se a senha original roubada for alterada.

Etapa 3: Extração

Durante a terceira fase, é hora de realmente roubar dados. As informações normalmente são coletadas de vários servidores e, em seguida, depositadas em um único local até que esteja pronto para recuperação.

Neste ponto, os invasores podem tentar sobrecarregar a segurança do sistema com algo como um ataque DDOS. No final desta fase, os dados são realmente roubados e, se não forem detectados, a porta fica aberta para ataques futuros.

Sinais de alerta de um APT

Embora um APT seja normalmente projetado especificamente para evitar a detecção, isso nem sempre é possível. Na maioria das vezes, haverá pelo menos alguma evidência de que tal ataque está ocorrendo.

Spear Phishing

Um e-mail de spear phishing pode ser um sinal de que um APT está prestes a acontecer ou está nos estágios iniciais. Os e-mails de phishing são projetados para roubar dados de grandes quantidades de pessoas indiscriminadamente. Os e-mails de spear phishing são versões personalizadas, feitas para pessoas e / ou empresas específicas.

Logins suspeitos

Durante um APT em andamento, é provável que o invasor se conecte ao seu sistema regularmente. Se um usuário legítimo entrar repentinamente em sua conta em horários estranhos, isso pode ser um sinal de que suas credenciais foram roubadas. Outros sinais incluem fazer login com maior frequência e olhar para coisas que não deveriam estar.

Trojans

Um Trojan é um aplicativo oculto que, uma vez instalado, pode fornecer acesso remoto ao seu sistema. Esses aplicativos têm o potencial de ser uma ameaça ainda maior do que credenciais roubadas. Isso ocorre porque eles não deixam pegadas, ou seja, não há histórico de login para você verificar e eles não são afetados por alterações de senha.

Transferências de dados incomuns

O maior sinal da ocorrência de um APT é simplesmente que os dados estão sendo movidos repentinamente, aparentemente sem motivo aparente. A mesma lógica se aplica se você vir os dados sendo armazenados onde não deveriam estar, ou pior, realmente em processo de transferência para um servidor externo fora de seu controle.

O que fazer se você suspeitar de um APT

Uma vez que um APT é detectado, é importante agir rápido. Quanto mais tempo um invasor tem em seu sistema, maiores são os danos que podem ocorrer. É até possível que seus dados não tenham sido roubados ainda, mas sim, estão prestes a ser. Aqui está o que você precisa fazer.

  1. Pare o ataque: As etapas para interromper um APT dependem muito de sua natureza. Se você acredita que apenas um segmento do seu sistema foi comprometido, você deve começar isolando-o de todo o resto. Depois disso, trabalhe para remover o acesso. Isso pode significar revogar credenciais roubadas ou, no caso de um cavalo de Tróia, limpar seu sistema.
  2. Avalie o dano: A próxima etapa é descobrir o que aconteceu. Se você não entende como o APT ocorreu, não há nada para impedir que aconteça novamente. Também é possível que uma ameaça semelhante esteja em andamento. Isso significa analisar logs de eventos de sistemas ou simplesmente descobrir a rota que um invasor usou para obter acesso.
  3. Notificar terceiros: Dependendo de quais dados estão armazenados em seu sistema, os danos causados ​​por um APT podem ser de longo alcance. Se você estiver armazenando dados que não pertencem apenas a você, ou seja, detalhes pessoais de clientes, clientes ou funcionários, pode ser necessário informar essas pessoas. Na maioria dos casos, deixar de fazer isso pode se tornar um problema jurídico.

Conheça os sinais de um APT

É importante entender que não existe proteção completa. O erro humano pode comprometer qualquer sistema. E esses ataques, por definição, usam técnicas avançadas para explorar esses erros.

A única proteção real de um APT é, portanto, saber que eles existem e entender como reconhecer os sinais de uma ocorrência.

E-mail
O que é segurança adaptável e como ela ajuda na prevenção de ameaças?

Um modelo de monitoramento de segurança em tempo real, a segurança adaptável utiliza táticas modernas para mitigar ameaças cibernéticas em constante evolução.

Leia a seguir

Tópicos relacionados
  • Segurança
  • Segurança Online
  • Segurança Informática
Sobre o autor
Elliot Nesbo (6 artigos publicados)

Elliot é um escritor freelance de tecnologia. Ele escreve principalmente sobre fintech e cibersegurança.

Mais de Elliot Nesbo

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Mais um passo…!

Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.

.