Ameaça persistente avançada (em inglês, Advanced Persistent Threat – APT) é um tipo de ataque cibernético direcionado e planejado, onde o atacante estabelece uma presença não autorizada dentro de uma rede e permanece sem ser detectado por um longo período de tempo, reunindo informações sobre o alvo.
Tendo como objetivo principal o roubo de dados e a espionagem de sistemas, este tipo de ameaça dificilmente é detectada por ferramentas de defesa comuns e geralmente concentram seus ataques em organizações ou indivíduos que podem gerar um alto nível de lucro.
Sobre o ataque APT
O nome já deixa evidente duas características principais: persistência e técnicas de ataque avançadas, com uma complexidade considerável. Esses ataques tendem a possuir motivação, financiamento, atacantes dedicados e uso de técnicas com um nível específico de conhecimento.
Os atacantes geralmente conseguem ter acesso à rede por meio de ataques de phishing contra às pessoas que já possuem acesso (ou seja, via engenharia social, indo atrás de um ser humano para enganar e convencer a clicar ou baixar algo), ou de um ataque de dia zero, que explora uma falha ou vulnerabilidade não conhecida publicamente, como um ponto fraco.
Diferentemente de malwares comuns, que costumam buscar infectar o maior número possível de máquinas, um ataque do tipo APT tem um objetivo e alvo específicos, e quando bem sucedido, passa por três estágios principais: infiltração na rede, expansão da presença da infiltração e extração de dados.
Se você está interessado em saber mais sobre ameaças cibernéticas, não deixe de conferir nosso artigo anterior sobre APT41, uma ameaça crescente à segurança das empresas brasileiras.
Estágios do ataque
Infiltração
Na primeira fase, os atacantes normalmente se infiltram na rede por meio de uploads maliciosos (RFI, SQL injection) ou phishing, por exemplo.
Expansão
Uma vez que o alvo é comprometido, ele se torna o ponto de apoio para que o invasor amplie a sua presença dentro da rede, avançando dentro da hierarquia organizacional e obtendo acesso a dados mais sensíveis.
Extração
Enquanto o ataque é executado, todos os dados roubados são armazenados em um local seguro, dentro da própria rede. Quando os atacantes concluem que já possuem informações suficientes, então é hora de extrair todo o material roubado. Muitas vezes, os atacantes utilizam uma “cortina de fumaça” e assim, graças a algum ataque secundário, os responsáveis pela segurança são distraídos e direcionados para outras partes da rede.
Como se proteger de ataques do tipo APT
Mesmo que nenhuma ferramenta atual seja capaz de garantir a proteção contra esse tipo de ameaça, é possível reduzir consideravelmente a superfície de ataque com políticas de segurança e treinamento de equipe.
Nem mesmo a rede mais recheada de ferramentas de segurança seria eficiente sem a participação ativa de todos os seus usuários, por isso é preciso investir na conscientização a respeito dos principais riscos e ciberameaças, aumentando as chances de detecção de ameaças e ataques (com mais gente prestando atenção), reduzindo assim as chances de invasão à rede e o roubo de informações valiosas.
Lembrete importante: a XLabs Security conta com um time de profissionais especialistas que buscam vulnerabilidades por meio de Pentests (testes de intrusão), além de dispor do serviço de Web Application Firewall (WAF), altamente confiável e recomendado para proteger aplicações web. Fale com um de nossos especialistas e invista no que há de mais eficaz e inteligente em segurança cibernética.