Cómo las organizaciones pueden defenderse contra las APT

Las Amenazas Persistentes Avanzadas (APT) han surgido como una de las mayores preocupaciones para todas las organizaciones. Los APT constituyen amenazas que violan las redes e infraestructuras y se esconden sigilosamente dentro de ellos durante largos períodos de tiempo.

Por lo general, realizan hacks complejos que les permiten robar o destruir datos y recursos.

Según Accenture , las APT se han organizado en grupos que les permiten compartir tácticas y herramientas para llevar a cabo ataques a escala. Se ha informado que el grupo ruso Silence APT, por ejemplo, apunta activamente a las instituciones financieras y ha robado con éxito millones de dólares de varios bancos en todo el mundo.

Las organizaciones más pequeñas también deben tener cuidado con tales amenazas. Los grupos APT también usan herramientas automatizadas y botnets para obtener acceso a las redes, y estas tácticas no discriminan en función del tamaño, la industria o el valor. Cualquier infraestructura vulnerable puede ser violada. Ahora es fundamental para todas las organizaciones comprender cómo operan las APT e implementar las medidas de seguridad necesarias para mitigarlas como amenazas.

1. Señales de que un APT puede estar al acecho

Los APT funcionan de manera encubierta, por lo que las organizaciones pueden no darse cuenta de que han sido violadas hasta que algo realmente sale mal. InfoTrax Systems , por ejemplo, solo pudo detectar una brecha de años después de que el almacenamiento de sus servidores se agotó . Los equipos de TI deben estar atentos a las indicaciones de que un APT podría estar al acecho dentro de la red.

Algunos signos distintos incluyen:

Inicios de sesión excesivos: los APT generalmente se basan en credenciales de acceso comprometidas para obtener acceso de rutina a las redes. Pueden realizar intentos de fuerza bruta utilizando volcados de credenciales de nombre de usuario y contraseña o credenciales legítimas robadas de ataques de ingeniería social y phishing. Las actividades de inicio de sesión excesivas o sospechosas, especialmente en horas impares, a menudo son atribuibles a APT.

Explosión de malware: los APT también usan varios malware para realizar sus ataques. Por lo tanto, si las herramientas antivirus a menudo detectan y eliminan malware, es posible que un APT esté implantando continuamente troyanos y herramientas de acceso remoto en la red.

Mayor uso de recursos informáticos: estas amenazas también tendrán que utilizar los recursos informáticos de la red para realizar sus ataques. El malware activo utilizará la potencia informática y la memoria dentro de los puntos finales. Los hackers también pueden almacenar temporalmente sus datos robados dentro de los servidores. Exfiltrar grandes volúmenes de datos también aparecería como tráfico saliente excesivo.

2. Mayor vigilancia

Detectar estos signos no es sencillo, por lo que los equipos de TI deben buscar activamente estos signos. Afortunadamente, las soluciones de seguridad modernas ahora brindan capacidades que permiten a los equipos de TI monitorear la presencia potencial de APT y sus actividades.

Análisis de registros : los registros pueden mostrar con precisión las diversas actividades, eventos y tareas que ocurrieron en dispositivos, sistemas y aplicaciones. Sin embargo, pasar por los registros, que a menudo están en formato de texto sin formato, puede ser tedioso. Para ayudar a los equipos de TI a clasificar la información, las herramientas avanzadas de análisis de registros ahora cuentan con algoritmos que pueden buscar patrones en todos los componentes de la infraestructura de TI.

Solución de gestión y análisis de registros XpoLog, por ejemplo, puede consolidar todos los registros en varios componentes de infraestructura. Xpolog puede analizar y etiquetar automáticamente la información contenida en estos archivos de registro. Usando inteligencia artificial (IA), Xpolog puede identificar patrones anómalos y generar ideas, incluidas aquellas que son indicativas de problemas de seguridad.

defenderse apt

La información, como el uso del ancho de banda, las sesiones de inicio de sesión, la distribución geográfica del tráfico de red, se puede utilizar para revelar la presencia de amenazas. Todos los datos pueden incluso visualizarse para una presentación y revisión más fáciles.

A través de estos hallazgos, la plataforma puede alertar fácilmente a los equipos de TI de posibles ataques APT para que se puedan tomar medidas inmediatas.

Simulaciones de violación y ataque: las plataformas de simulación de violación y ataque (BAS) pueden ejecutar pruebas de rutina que imitan los ataques cibernéticos reales para verificar si las medidas de seguridad funcionan según lo previsto. Sirven como alternativas a las pruebas de penetración tradicionales, que son difíciles de realizar de forma rutinaria.

La plataforma BAS Cymulate, ofrece una amplia variedad de pruebas que cubren los posibles vectores de ataque a una infraestructura. Puede probar las puertas de enlace web y los firewalls de aplicaciones web para detectar vulnerabilidades. También puede implementar malware ficticio en puntos finales para verificar si el anti-malware o los antivirus pueden detectar archivos y procesos maliciosos. También tiene simulaciones de ataques de phishing que pueden identificar qué usuarios son susceptibles a los ataques de ingeniería social.

cymulate

Cymulate permite ejecutar pruebas programadas y de rutina para ver si las medidas y herramientas de seguridad implementadas de una organización funcionan según lo previsto. Los APT desactivan las soluciones de seguridad como los antivirus y los firewalls, por lo que las pruebas de rutina indicarían fácilmente si algo está alterando estas soluciones.

3. Las defensas deben ser mejoradas

El monitoreo y la detección temprana son clave para mantener un perímetro defensivo seguro. Las organizaciones deben integrar estos esfuerzos como parte de una estrategia de seguridad más amplia.

Aumente la vigilancia: analizar activamente los registros y realizar pruebas de rutina de las medidas de seguridad puede informar a los equipos de TI de la posible presencia de APT, lo que les permite hacer frente a estas amenazas de inmediato.

Adopte seguridad de nivel empresarial: las organizaciones deben usar soluciones de seguridad eficaces. El malware utilizado por los APT puede presentar un código polimórfico que les permita evadir soluciones antimalware gratuitas o baratas.

Mantenga actualizados los sistemas y las aplicaciones: los APT aprovechan las vulnerabilidades de los dispositivos y sistemas para muchas de sus tácticas. Los desarrolladores lanzan regularmente parches y correcciones para garantizar que se aborden las vulnerabilidades críticas.

Las organizaciones deben asegurarse de que estas actualizaciones se apliquen rápidamente cuando estén disponibles.

Pepare a su personal: los APT también pueden tratar de explotar las debilidades humanas a través de ataques de ingeniería social. Las organizaciones deben capacitar al personal sobre las mejores prácticas de seguridad, incluida la identificación precisa de correos electrónicos e intentos de phishing, el uso de frases de contraseña seguras y evitar la reutilización de contraseñas.

4. La seguridad es una inversión

Las organizaciones deben darse cuenta de que la seguridad es una inversión crítica cuando operan en el entorno actual. Los APT pueden causar daños irreparables a las empresas. Caer víctima de un ataque puede causar tiempo de inactividad, pérdida de negocios y la erosión de la confianza del cliente.

La violación de seguridad promedio estimada por IBM costó a las organizaciones $ 3.92 millones . Por lo tanto, es fundamental que las empresas adopten medidas de seguridad que sean capaces de detectar y mitigar tales amenazas antes de que puedan causar un daño significativo. Como tal, las organizaciones ahora deben estar listas para cambiar más recursos para mejorar su seguridad.