Este tipo de amenazas se caracteriza por ser capaces de perdurar en el tiempo (infectando una máquina), poder aprovecharse de vulnerabilidades desconocidas oficialmente (lo que las hace pasar desapercibidas) y, sobre todo, tratarse de amenazas dirigidas contra un objetivo muy específico (habitualmente los recursos de una compañía). El principal fin de este tipo de ataques es el espionaje, principalmente empresarial, gubernamental y militar, obteniendo y manipulando información contenida en sus sistemas, más que atacando a objetivos físicos. En definitiva, se trata de comprometer la seguridad de una red de ordenadores para conseguir información sensible.
Suelen manifestarse como un programa especialmente diseñado para mantenerse oculto en el sistema atacado, usando técnicas de ingeniería social muy concretas sobre el personal de la empresa-víctima. Esto quiere decir que se aleja del malware o amenazas comunes que, por lo general, son impersonales y generalistas. Utilizar el “phishing” como mecanismo de entrada en los sistemas del usuario suele ser un “disfraz” muy frecuente. Y, aunque podemos llegar a pensar que la mayoría de los usuarios son ya conscientes de los peligros que conlleva seguir las instrucciones de un email que nos impulsa a acceder a un determinado link para introducir nuestros datos bancarios o personales, esta técnica está tan depurada que muchos usuarios avanzados no son conscientes o son incapaces de reconocer que están recibiendo un email con phishing en su interior.
Los ciberdelincuentes especializados en infectar redes con Amenazas Persistentes Avanzadas son muy pacientes. Son capaces de inyectar su malware y esperar el momento idóneo (en el que más información puedan extraer, más recursos puedan echar a perder…) para atacar. La naturaleza y forma de actuar de estas amenazas hacen que su detección sea difícil. Son, por tanto, un tipo de malware mucho más inteligente que las tradicionalmente conocidas amenazas.
¿Y cómo podemos reconocerlas?
La monitorización, análisis y observación del comportamiento de estos ataques y amenazas es fundamental. Poco a poco los fabricantes de seguridad vamos teniendo más información y patrones que se repiten en la forma de actuar de estas amenazas. Así, unos más rápido que otros, vamos diseñando soluciones con capacidad de identificar en tiempo real si dentro de una red existen amenazas de este estilo.
La solución Trend Micro: Deep Discovery, conectada al switch principal de la red, permite monitorizar el tráfico que pasa por él y contrastarlo con las muestras de APT que están ya reconocidas en la Red de Protección Inteligente (Smart Protection Network) de la compañía. Y a partir de ahí, si se detecta y confirma la infección, se procede a actuar consecuentemente limpiando completamente las máquinas de la red infectadas.
Trend Micro Deep Discovery, a su vez, permite al administrador de una red, evaluar si una determinada configuración que se quiere implantar en la red es segura o, por el contrario se recomienda hacer una serie de modificaciones para evitar que se vea comprometida. Para ello, Deep Discovery permite cargar máquinas virtuales en su sandbox. Nuestra herramienta analizará si el sistema operativo, aplicaciones y configuración elegidas son lo suficientemente seguras como para estar implantadas de forma oficial en la empresa: en los usuarios y/o servidores de la red. Analizadores e Inspectores de red, son los roles que utilizamos para garantizar que la red estará protegida frente a las amenazas persistentes avanzadas. La prevención es la premisa fundamental de Deep Discovery.
Muchos son los casos que últimamente se están publicando de bancos, organizaciones gubernamentales, empresas privadas muy importantes, hospitales, etc. que están sufriendo las consecuencias de las amenazas persistentes avanzadas. Investigaciones posteriores a las infecciones demuestran en muchos casos que estas amenazas habían permanecido en la red durante mucho tiempo. El hecho de disponer de una solución tradicional de seguridad instalada en los puestos de trabajo, servidores o incluso en el gateway de la red, no significa que se detecte este tipo de malware, ya que pueden no estar preparadas para ello.
Entre las vías de infección más típicas de las APT se encuentran los discos USB, la navegación por Internet sin un control de reputación específico, la recepción de emails con phishing, la descarga de ficheros infectados, etc.
Por todo esto, desde Trend Micro se hace especial hincapié en que la inteligencia de soluciones similares a la de la tecnología Deep Discovery se hace cada vez más necesaria en la red.
Ilustración: Dreamstime