Entenda o que são as APTs

Fornecedores de segurança estão falando muito sobre os perigos das advanced persistent trheats (APTs – ameaças persistentes avançadas) e afirmando que são os únicos a fornecer proteção adequada. De fato, algumas dessas empresas – como a RSA, adquirida recentemente pela EMC – afirmaram que os ataques APT atingiram níveis de pandemia.

Apesar dessas companhias – incluindo Fidelis Security Systems, NetWitness (outra aquisição da EMC), Naurus, RedSeal Networks e Hewlett-Pakard – prometerem que seus produtos ajudarão contra os APTs, muitos usuários não sabem do que se trata a ameaça. O termo foi alvo de críticas na indústria por se vago.

“APTS são explorações personalizadas, altamente sofisticadas, criadas somente com a intenção de ganhar acesso contínuo para um sistema alvo e ficar lá escondida, para coletar e roubar dados por um grande período de tempo”, afirmou Mike Cobb, fundador e diretor da Cobweb Applications. “Não são novos [ataques], nós que só descobrimos sua existência agora”.

Vários estudos durante o ano passado falaram sobre a ameaça. Em abril de 2011, a pesquisa do Ponemon Institute, sobre o setor de serviços públicos, – o State of IT Security: Study of Utilities & Energy Companies, – financiado pela Q1 Labs, descobriu que prevenir ou minimizar APTs estava em último lugar na lista dos objetivos de segurança com apenas 5% das intenções.

Em novembro de 2011, a Enterprise Strategies Group, lançou um estudo que indicava que 59% das empresas com o mínimo de mil funcionários haviam sido atingidas por um APT, e 72% acreditavam que seriam atingidas novamente. A pesquisa também mostrou que mesmo a parcela de 46% das empresas que acreditavam estarem “preparadas para APTs”, com base na segurança que possuíam, ainda consideravam-se vulneráveis para ataques mais sofisticados.

Mas uma vez que os APTs são identificados, a pergunta é então quais ferramentas, fontes e processos estão disponíveis para acabar com eles. “A maioria dos APTs começam com campanhas pishing, então o treinamento de segurança é vital para garantir que os funcionários estejam cientes da ameaça imposta por mensagens de e-mail não solicitadas ou suspeitas. Tecnologia de prevenção de perda de dados pode tornar o processo de extração mais difícil para o invasor, mas se há suspeita de uma atividade APT, é preciso chamar um especialista para caçar o código malicioso”.

Como o APT tipicamente precisa enviar os dados para um servidor command and control, essa atividade de rede, bem como as tentativas de exploração de rede em pesquisa de dados do APT, são meios de identificar e acabar com a ameaça. Cobb também sugere que é essencial monitorar a conexão do tráfego de rede – em particular a saída.

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini

Saiba mais:

APT: 4 dicas para rastrear ameaças persistentes em sua rede

Arquiteto de rede: entenda os desafios de segurança DOS e APT

Ciberespionagem está ligada a Black Hat SEO, mostra pesquisa

Ameaças virtuais APT: o que são e por que tão perigosas