APT: 4 dicas para rastrear ameaças persistentes em sua rede
A maior parte de invasões que têm como alvo as empresas são golpes oportunistas e cibercrime. Contudo, companhias que desejem proteger as informações de seus clientes e sua propriedade intelectual precisam também se preocupar com os invasores mais persistentes Apesar de o termo “advanced persistent threat” (APT – ameaça persistente de ataque) ter se tornado um chavão de marketing, invasores persistente representam uma ameaça real para as empresas, afirmou Greg Hoglund, fundador e diretor de tecnologia da HBGary, aos participantes da RSA Conference.
A empresa de Hoglund aprendeu da pior maneira que APTs não precisam de técnicas avançadas para conseguir informações críticas. Há um ano, invasores que alegavam ser parte do movimento Anonymous ganharam acesso às contas de e-mail da subsidiária HBGary Federal e vazaram mensagens confidenciais. Ainda assim, eles nunca conseguira chegar à rede da empresa.
Aqui estão quatros recomendações que ele dá para ajudar empresas a encontrarem APTs em suas redes:
1. Fique atento a comportamento suspeito
Invasores usarão a engenharia social e outros métodos – como comprometer servidores de terceiros – para conseguir credenciais válidas e acessar a rede corporativa. Nesse ponto, fica praticamente impossível detectar invasores tendo como base código malicioso. Em vez disso, os defensores precisam se focar em identificar comportamento suspeito.
Comportamento suspeito de funcionários na rede se torna muito importante uma vez que as credenciais estão comprometidas. Em um caso, por exemplo, um grupo de invasores esperaria um feriado de três dias antes de retirar dados do alvo. Empresas que são atentas a comportamentos suspeitos poderiam detectar tal atividade.
2. Detectar movimento de áreas não tão interessantes
Todas as empresas querem evitar que os invasores entrem, mas devem ter ciência quem em algum momento eles conseguirão infiltrar suas redes. Quando isso acontece, o sistema inicial quase nunca é foco do interesse.
Em vez disso, os grupos comprometem quaisquer sistemas interno e depois usam o sistema não tão interessante para mover-se lateralmente dentro da rede. Apesar das empresas deverem se preocupar com uma invasão de rede, os invasores geralmente geram tráfego anômalo que pode delatar suas atividades. Fique de olho nesse tipo de tráfego.
3. Não pare quando encontrar uma área comprometida
Muitas empresas se contentam em deletar o servidores comprometidos, essa ação torna mais difícil o rastreio de outros sistemas infectados.
Os grupos de TI de segurança devem usar o servidor comprometido para encontrar outros sistemas infectados.
4. Busque o ponto de retirada
Quando um invasor encontra informação valiosa, se prepara para retirar os dados. Esse é outro ponto no quais defensores podem detectar a presença de um invasor. Procurar por arquivos grandes comprimidos em servidores é um bom lugar para começar.
“Observamos o RAR usado para retirar dados, bem como arquivos CAB”.
Ao pesquisar por arquivos RAR ou CAB nos sistemas na rede, as empresas podem encontrar pontos potenciais de extração.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Saiba mais:
Ciberespionagem está ligada a Black Hat SEO, mostra pesquisa
Ameaças virtuais APT: o que são e por que tão perigosas
