O termo APT parece ser o “hit do verão” na América Latina. O que costumava ser uma ameaça que somente preocupava as grandes empresas e órgãos governamentais agora virou uma preocupação real para empresas de médio porte.
Antes de entrar em detalhes, vamos desambiguar da expressão APT.
O anglicismo APT é um acrônimo que significa Advanced Persistent Threat (Ameaça Persistente Avançada). Existem algumas empresas e investigadores que utilizam esse acrônimo para definir certos tipos de malware específicos (normalmente são as empresas e investigadores que oferecem proteção contra esses malware), mas para entender a verdadeira ameaça, utilizaremos a definição a seguir do Instituto Nacional de Normas e Tecnologia dos Estados Unidos (NIST):
“A ameaça persistente avançada é um ataque direcionado que conta com níveis sofisticados de perícias e recursos que possibilitam aos atacantes gerar oportunidades para alcançar seus objetivos através do uso de vetores de ataques combinados (malware, vulnerabilidades, Engenharia Social, entre outras). Esses objetivos normalmente envolvem estabelecer e estender o seu posicionamento na infraestrutura de tecnologia da informação de empresas e organizações afim de filtrar informação ao exterior dessa infraestrutura de forma contínua, minar ou impedir aspectos importantes de uma missão, programa ou organização, ou simplesmente posicionar-se no sistema invadido para realizar uma ou mais das tarefas mencionadas anteriormente. As APT também têm como característica perseguir seus objetivos repetidamente por períodos longos de tempo, adaptando-se as medidas de defesa da vítima sempre com a determinação de manter o nível de interação necessário para executar seus objetivos.”
Ameaça
É uma ameaça porque existe um atacante (ou grupo de atacantes) com um objetivo ilícito bem estabelecido.
Persistente
É persistente porque é realizado em um período de tempo longo. Esses tipos de ataque são diferentes dos típicos casos de phishing, por exemplo, onde o atacante visa roubar toda a informação que pode antes de ser detectado. As APT podem permanecer ativas por anos, e as vezes até ficarem ocultas (sem ser detectadas nem causar danos) na rede das vítimas por meses ou anos esperando obter dados específicos para então atuar, roubando a informação que procurava.
Avançada
É avançada porque os atacantes que fazem parte desses tipos de ataques costumam ter conhecimentos avançados de programação e segurança da informação, assim que não somente usam malware já conhecido, técnicas de Engenharia Social comumente aplicadas (como o phishing) e vulnerabilidades antigas, como também exploram vulnerabilidades até então desconhecidas, ataques 0-day, além de técnicas novas que eles mesmos possuem as habilidades e conhecimentos suficientes para desenvolver.
Na América Latina, esse tipo de ataque não costuma (ainda) ser tão complexo, porém a tendência é a evolução dos mesmos devido ao intercâmbio de informação entre os cibercriminosos na Deep Web. Por essa razão, deixamos alguns conselhos para que as empresas possam proteger-se desse tipo de ataque:
- Contar com uma solução de segurança que proteja a rede corporativa através de um firewall, para evitar o acesso não desejado de terceiros à rede interna.
- Contar com software de segurança para todos os dispositivos conectados à rede (interna e/ou Internet), já que a infecção de apenas um dispositivo (USB, Flash, smartphone, tablet, notebook, PC, servidor), o atacante já superou o firewall. Não importa o nível de complexidade desses ataques, a grande maioria ainda tem sucesso graças a malware conhecidos.
- Manter todos os software e firmware atualizados. Programas e dispositivos não atualizados e/ou com os patches mais recentes instalados são portas de entrada para os atacantes, já que as atualizações e patches costumam corrigir vulnerabilidades nesses meios.
- Conscientização! Thomas Reid, em um de seus trabalhos de filosofia, disse: “Em cada corrente de razão, a evidência da última conclusão não pode ser maior do que o elo mais fraco dessa corrente, sem importar a força do resto”. Assim que, não importa quanto se investe em tecnologia, se os funcionários com acesso a informação não têm os conhecimentos necessários para proteger a mesma, o atacante conta com um vetor de ataque accessível.
- Evitar outorgar privilégios de administrador a funcionários a menos que seja absolutamente necessário.
Seguindo esses conselhos, é possível minimizar as probabilidades de sofrer um ataque APT e poder continuar disfrutando a tecnologia e tudo que ela pode oferecer a uma corporação moderna.
Autor Ilya Lopes, ESET
