APT: 4 dicas para rastrear ameaças persistentes em sua rede

A maior parte de invasões que têm como alvo as empresas são golpes oportunistas e cibercrime. Contudo, companhias que desejem proteger as informações de seus clientes e sua propriedade intelectual precisam também se preocupar com os invasores mais persistentes Apesar de o termo “advanced persistent threat” (APT – ameaça persistente de ataque)  ter se tornado um chavão de marketing, invasores persistente representam uma ameaça real para as empresas, afirmou Greg Hoglund, fundador e diretor de tecnologia da HBGary, aos participantes da RSA Conference.

A empresa de Hoglund aprendeu da pior maneira que APTs não precisam de técnicas avançadas para conseguir informações críticas. Há um ano, invasores que alegavam ser parte do movimento Anonymous ganharam acesso às contas de e-mail da subsidiária HBGary Federal e vazaram mensagens confidenciais. Ainda assim, eles  nunca conseguira chegar à rede da empresa.

Aqui estão quatros recomendações que ele dá para ajudar empresas a encontrarem APTs em suas redes:

1. Fique atento a comportamento suspeito

Invasores usarão a engenharia social e outros métodos – como comprometer servidores de terceiros – para  conseguir credenciais válidas e acessar a rede corporativa. Nesse ponto, fica praticamente impossível detectar invasores tendo como base código malicioso. Em vez disso, os defensores precisam se focar em identificar comportamento suspeito.

Comportamento suspeito de funcionários na rede se torna muito importante uma vez que as credenciais estão comprometidas. Em um caso, por exemplo, um grupo de invasores esperaria um feriado de três dias antes de retirar dados do alvo. Empresas que são atentas a comportamentos suspeitos poderiam detectar tal atividade.

2. Detectar movimento de áreas não tão interessantes

Todas as empresas querem evitar que os invasores entrem, mas devem ter ciência quem em algum momento eles  conseguirão infiltrar suas redes. Quando isso acontece, o sistema inicial quase nunca é foco do interesse.

Em vez disso, os grupos comprometem quaisquer sistemas interno e depois usam o sistema não tão interessante para mover-se lateralmente dentro da rede. Apesar das empresas deverem se preocupar com uma invasão de rede, os invasores geralmente geram tráfego anômalo que pode delatar suas atividades. Fique de olho nesse tipo de tráfego.

3. Não pare quando encontrar uma área comprometida

Muitas empresas se contentam em deletar o servidores comprometidos, essa ação torna mais difícil o rastreio de outros sistemas infectados.

Os grupos de TI de segurança devem usar o servidor comprometido para encontrar outros sistemas infectados.

4. Busque o ponto de retirada

Quando um invasor encontra informação valiosa, se prepara para retirar os dados. Esse é outro ponto no quais defensores podem detectar a presença de um invasor. Procurar por arquivos grandes comprimidos em servidores é um bom lugar para começar.

“Observamos o RAR usado para retirar dados, bem como arquivos CAB”.

Ao pesquisar por arquivos RAR ou CAB nos sistemas na rede, as empresas  podem encontrar pontos potenciais de extração.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

Saiba mais:

Ciberespionagem está ligada a Black Hat SEO, mostra pesquisa

Ameaças virtuais APT: o que são e por que tão perigosas