No mundo digital, é raro ver um crime passional. A maioria dos ciberataques se enquadra na categoria de ataques oportunistas, aproveitando uma situação que se apresenta inesperadamente. Eles geralmente são realizados por indivíduos ou grupos usando ferramentas automatizadas prontamente disponíveis para mirar e explorar vulnerabilidades conhecidas. Muitas vezes referidos como “script kiddies“, esses hackers são como assaltantes de lojas de conveniência, buscando um ganho rápido com esforço mínimo. Eles querem um resgate pago em dias; alguns o fazem apenas pela fama online. 

Como se já não fosse difícil o suficiente para as organizações se defenderem contra essas ameaças comuns, há outro tipo mais nefasto que as organizações precisam estar cientes: Ameaças Persistentes Avançadas (APTs). 

Pense em um ataque APT como um roubo bancário meticulosamente planejado, exigindo extensa pesquisa e planejamento, pessoas com habilidades altamente especializadas e recursos significativos para financiar o trabalho. Como o nome sugere, essas ameaças são persistentes, e os atacantes utilizam ferramentas e técnicas altamente sofisticadas para evitar detecção e manter sua posição dentro da rede do alvo pelo maior tempo possível. 

Embora as APTs sejam menos comuns do que outros tipos de ameaças, seus resultados catastróficos exigem que as organizações não apenas estejam cientes delas, mas também tenham as soluções adequadas implementadas para se defender contra elas. 

Compreensão da Ameaça APT 

As APTs são diferentes dos ataques comuns de várias maneiras, e essas características únicas as tornam difíceis de identificar e remediar. 

  • Os perpetradores: As APTs são orquestradas por atores de ameaças bem financiados e habilidosos, muitas vezes entidades patrocinadas pelo estado ou grandes empreendimentos criminosos, que são altamente organizados e têm recursos extensivos, incluindo capital financeiro e humano. Exemplos incluem CozyBear (APT29), Wicked Panda (APT41) e Helix Kitten (APT34), sediados na Rússia. 
  • As vítimas: As vítimas de APTs são frequentemente entidades governamentais, infraestruturas críticas e grandes empresas. Essas organizações são visadas não apenas pelo ganho imediato, mas pelas vantagens estratégicas de longo prazo que vêm com o acesso aos seus dados sensíveis ou propriedade intelectual, ou para perturbar suas operações. 
  • Os recursos: Além dos recursos humanos necessários para planejar, executar e manter uma presença, os ataques exigem a compra ou desenvolvimento de ferramentas e técnicas avançadas que podem evitar detecção, roubar credenciais e se mover através das redes para alcançar ativos de alto valor. De acordo com um relatório, apenas as ferramentas podem custar pelo menos US$55.000 para lançar um ataque APT contra um banco e mais de US$500.000 para lançar uma campanha de espionagem cibernética APT. 
  • O cronograma: Um ataque APT é um jogo de longo prazo, levando meses ou até anos. Este cronograma estendido permite que os atores de ameaças evitem detecção imediata, exfiltrem mais dados, reúnam mais inteligência, causem mais danos e até se adaptem a posturas de segurança em mudança para aumentar as chances de sucesso. 
  • Os motivos: Os motivos podem variar de espionagem, onde o objetivo é reunir inteligência ou minar as capacidades de um alvo, a roubo de propriedade intelectual, dados classificados, informações de identificação pessoal (IIP), dados de infraestrutura, credenciais de acesso e comunicações sensíveis. 

As Etapas de um Ataque APT  

O processo de ataque APT é planejado e executado minuciosamente em estágios projetados para maximizar o sucesso e minimizar o risco de detecção. O processo é o seguinte: 

  • Reconhecimento: Na fase inicial, os atacantes reúnem informações sobre o alvo de várias maneiras, como usar técnicas de engenharia social, inteligência de fontes abertas (OSINT) e scanners CVE para identificar vulnerabilidades na rede. 
  • Infiltração: Esta fase envolve explorar vulnerabilidades para obter acesso inicial à rede do alvo por meio de e-mails de spear-phishing ou implantar malware personalizado. 
  • Estabelecendo Persistência: Uma vez dentro, os atacantes podem instalar backdoors, implantar rootkits ou aproveitar o Remote Desktop Session Host (RDSH) para estabelecer uma conexão estável e contínua ou manter acesso à rede se misturando com o tráfego legítimo. 
  • Movimento Lateral: Os atacantes se movem pela rede, explorando sistemas internos ou credenciais roubadas para obter acesso adicional a áreas sensíveis. 
  • Exfiltração de Dados: Na fase final, os atacantes usam canais criptografados ou técnicas de tunelamento para exfiltrar dados coletados, muitas vezes em lotes pequenos para ajudar a evitar detecção. 

Conheça o Inimigo: Como as APTs Exploram as Defesas  

Uma das principais vantagens das APTs é seu conhecimento detalhado do panorama do defensor, o que lhes permite mapear a infraestrutura de rede, identificar controles de segurança e explorar vulnerabilidades. Com essas informações, eles podem adaptar seus ataques e transformar as ferramentas de segurança da empresa contra eles, desativando software antivírus e antimalware, VPNs, firewalls e sistemas de detecção de intrusão ou reconfigurando software de segurança e alterando arquivos de log. 

O Papel do MDR com Suporte a SIEM na Detecção de APTs  

Embora nenhuma solução de segurança seja infalível, uma solução de Detecção e Resposta Gerenciada (MDR) com suporte a Segurança da Informação e Gerenciamento de Eventos (SIEM), como a oferecida pela CYREBRO, oferece uma vantagem significativa ao aproveitar as forças de ambos os sistemas. Os sistemas SIEM se destacam na coleta e análise de dados relacionados à segurança de várias fontes dentro da rede de uma organização, oferecendo visibilidade em toda a rede e identificando anomalias que podem indicar uma violação potencial. 

Um MDR amplia a visibilidade fornecida por um SIEM oferecendo monitoramento e resposta 24 horas por dia, 7 dias por semana, de analistas de segurança experientes. As melhores soluções MDR incorporam caça a ameaças, combinando ferramentas automatizadas com analistas humanos para rastrear ameaças desconhecidas, e são apoiadas pelas equipes de Resposta a Incidentes e Forense Digital (DFIR) que podem analisar sistemas comprometidos, examinando logs do sistema, despejos de memória e outros dados relevantes para entender as táticas, técnicas e procedimentos (TTPs) do atacante, o que é crucial para desenvolver contramedidas. 

Juntas, essas capacidades deixam pouco espaço para qualquer ameaça, incluindo uma APT, agir sem ser detectada. 

Combatendo os Inimigos: APTs e Ataques Comuns  

Embora as APTs representem uma ameaça formidável, é importante manter a perspectiva. A grande maioria das organizações, especialmente as pequenas e médias empresas (PMEs), tem mais probabilidade de encontrar ciberataques comuns que exploram vulnerabilidades conhecidas. 

Independentemente do tipo de atacante, ter uma postura de segurança robusta é crucial. Dado que a maior preocupação de segurança das PMEs é a falta de tempo para gerenciar a segurança, terceirizar para um parceiro faz sentido. No entanto, garantir que esse parceiro ofereça a combinação certa de ferramentas tecnológicas e especialistas humanos é essencial. Uma solução MDR alimentada por SIEM fornece as capacidades abrangentes de monitoramento, detecção e resposta necessárias para combater todas as ameaças. É a única escolha lógica para organizações que buscam fortalecer sua postura de segurança e melhorar sua resiliência contra o cenário de ameaças cibernéticas em constante evolução.