Correlação de Eventos – parte 1: A Ameaça Persistente Avançada (APT)

Entre todos os incômodos ataques que mantêm os administradores de segurança trabalhando até tarde, as ameaças persistentes avançadas (APTs) são possivelmente as mais letais. Um APT é um ataque direcionado de longo prazo que envolve espionar furtivamente a atividade de rede de uma organização ou desviar dados confidenciais, em vez de danificar ou bloquear abertamente os recursos da rede.

Você viu as manchetes: “ [Insira o enorme nome da empresa] relata a violação de  X  milhões de registros de dados nos últimos  Y meses.” Essas histórias provam repetidamente que os APTs têm como alvo empresas proeminentes de setores de alto valor como o governo ou instituições financeiras. Isso ocorre porque os APTs exigem um alto nível de sofisticação e recursos – quanto maior a empresa e mais valiosos seus dados, mais recompensa é garantida para os invasores.  

Isso significa que sua empresa está segura se você é uma pequena empresa ou opera em um setor diferente? Absolutamente não; Nenhuma empresa está completamente segura dos APTs. Para evitar convidar um APT para sua rede, você precisa de uma técnica de segurança flexível e poderosa, como correlação de eventos.

As etapas de um APT

Combater os APTs requer uma compreensão de como eles funcionam. Esses ataques assumem múltiplas formas e seguem vários vetores de ataque, mas os estágios básicos permanecem os mesmos:

  1. Entrada na rede: um invasor obtém acesso a um sistema vulnerável na rede, segmentando funcionários por meio de e-mails de spear phishing ou atraindo-os para sites infectados. Quando o sistema é infectado por malware avançado, ele fica sob o controle do invasor. Muitos invasores estabelecerão vários pontos de entrada, para que possam realizar o ataque mesmo se um for descoberto e desligado.

  2. Movimento lateral e controle de rede em expansão: Como qualquer bom criminoso, o invasor realiza um pouco de reconhecimento, passando pela rede e criando uma série de backdoors e túneis. Eles também usam explorações, quebra de senhas e outros mecanismos para adquirir direitos de administrador. Isso lhes dá acesso livre a sua rede de destino.

  3. Filtração de dados: o invasor finalmente realiza o ataque real filtrando os dados de destino para seu próprio sistema. Os dados normalmente são criptografados e compactados para mascarar o ataque. Este estágio do ataque pode ser repetido por um longo período de tempo até que o ataque seja descoberto.

A chave para capturar APTs

Dada a sua natureza complexa, a detecção de APTs não é tarefa fácil. Esses ataques afetam vários sistemas antes de roubar grandes quantidades de dados de seu dispositivo de destino. Isso significa que a chave para capturá-los é procurar constantemente por indicadores de comprometimento em sua rede. A correlação de eventos, também conhecida como correlação de log, pode detectar padrões suspeitos de atividades em diferentes tipos de eventos de vários dispositivos.

Alguns casos de uso de correlação relevantes incluem:

  • Criação de possíveis contas backdoor.

  • Instalação de software ou serviços suspeitos.

  • Ataques de força bruta em contas de administradores.

  • Tráfego de rede em movimento para servidores maliciosos conhecidos.

O Log360, solução abrangente de SIEM, vem equipado com um módulo de correlação forte, que inclui regras predefinidas para ajudá-lo a detectar todos os itens acima e muito mais. Considerando que os APTs são ataques altamente direcionados, você pode até personalizar regras ou criar novas para procurar indicadores específicos para seu ambiente de rede.

Venha realizar os testes do Log360 agora mesmo, contando sempre com a equipe ACSoftware sua revendedora ManageEngine no Brasil.

Deixe um comentário