Home Concientización Cómo pueden las organizaciones defenderse contra amenazas persistentes avanzadas

Cómo pueden las organizaciones defenderse contra amenazas persistentes avanzadas

Las amenazas persistentes avanzadas (APT) han surgido como preocupaciones legítimas para todas las organizaciones. Las APT son actores de la amenaza que abren brechas en las redes e infraestructuras y se esconden sigilosamente en ellas durante largos períodos de tiempo.

Según Accenture, las APT se han organizado en grupos que les permiten compartir tácticas y herramientas para llevar a cabo ataques a escala. Por ejemplo, se ha informado de que el grupo ruso Silence APT tiene como objetivo activo a las instituciones financieras y ha robado con éxito millones de dólares de varios bancos de todo el mundo.

Las organizaciones más pequeñas también deben ser cautelosas ante esas amenazas. Los grupos de APT también utilizan herramientas automatizadas y botnets para obtener acceso a las redes, y estas tácticas no discriminan en función del tamaño, la industria o el valor. Cualquier infraestructura vulnerable puede ser violada. Ahora es crítico para todas las organizaciones entender cómo operan las APT e implementar las medidas de seguridad necesarias para mitigarlas como amenazas.

Las APT operan de manera encubierta, por lo que las organizaciones pueden no darse cuenta de que han sido violadas hasta que algo realmente sale mal. InfoTrax Systems, por ejemplo, solo fue capaz de detectar violaciones de años de duración después de que el almacenamiento de sus servidores se agotó. Los equipos de TI tienen que estar atentos a los indicios de que una APT pueda estar acechando dentro de la red.

Las APT suelen depender de credenciales de acceso comprometidas para obtener acceso rutinario a las redes. Pueden intentarlo por la fuerza bruta usando el nombre de usuario y la contraseña o credenciales legítimas robadas de ataques de ingeniería social y de phishing. Las actividades de inicio de sesión excesivas o sospechosas, especialmente en horas impares, son a menudo atribuibles a las APTs.

Los piratas informáticos, también utilizan diversos tipos de malware para realizar sus hackeos. Por lo tanto, si las herramientas antivirus detectan y eliminan a menudo el malware, es posible que un APT esté implantando continuamente troyanos y herramientas de acceso remoto en la red.

Estos actores de la amenaza también tendrán que utilizar los recursos informáticos de la red para realizar sus hacks. El malware activo utilizará la potencia de cálculo y la memoria de los puntos finales. Los delincuentes también pueden almacenar temporalmente sus datos robados en los servidores. La extracción de grandes volúmenes de datos también se mostrará como un tráfico de salida excesivo.

La detección de estas señales, no es sencilla, por lo que los equipos de TI deben buscarlas activamente. Afortunadamente, las soluciones de seguridad modernas, ahora proporcionan capacidades que permiten a los equipos de TI supervisar la posible presencia de APT y sus actividades.

Los registros pueden mostrar con precisión las diversas actividades, eventos y tareas que se produjeron en los dispositivos, sistemas y aplicaciones. Sin embargo, revisar los registros, que a menudo están en formato de texto plano sin formato, puede ser tedioso. Para ayudar a los equipos de TI a clasificar la información, las herramientas avanzadas de análisis de registros ahora incluyen algoritmos que pueden buscar patrones en todos los componentes de la infraestructura de TI.

Información como el uso del ancho de banda, las sesiones de inicio de sesión, la distribución geográfica del tráfico de la red, todo ello puede ser utilizado para revelar la presencia de amenazas. Todos los datos pueden, incluso, ser visualizados para facilitar su presentación y revisión.

A través de estos hallazgos, la plataforma puede alertar fácilmente a los equipos de TI de posibles ataques APT, para que puedan tomarse medidas inmediatas.