¿Quiere un APT? Pruebe Live Patching
Las APT son ciberataques muy sofisticados dirigidos a organizaciones grandes o prominentes y llevados a cabo por actores de amenazas con buenos recursos, como grupos patrocinados por estados-nación u organizaciones criminales.
La defensa frente a las APT requiere un enfoque multicapa que incluya las medidas típicas de ciberseguridad, la formación de los empleados y la inteligencia sobre amenazas. En este artículo, nos centraremos en la importancia de los parches activos para reducir el riesgo de ataques APT.
¿Qué es una amenaza persistente avanzada (APT)?
Las amenazas persistentes avanzadas (APT, por sus siglas en inglés) son un tipo de ciberataque que se distingue por tres características clave: es altamente sofisticado, de larga duración y está dirigido específicamente a una organización o individuo en particular.
En su mayor parte, las APT suelen ser llevadas a cabo por actores de amenazas con buenos recursos, como grupos patrocinados por estados-nación, organizaciones criminales o hacktivistas.
Algunos de los grupos APT más conocidos son Fancy Bear, que se cree que está afiliado al gobierno ruso, y APT10, un grupo de piratas informáticos chinos que ha atacado a agencias gubernamentales y empresas tecnológicas.
Las APT se encuentran entre los tipos de ciberataques más sofisticados y peligrosos, y para defenderse de ellos se requiere un enfoque a varios niveles que incluya una combinación de controles técnicos, formación de los empleados e inteligencia sobre amenazas.
¿A quién va dirigido?
Montar un APT no es tarea fácil y este tipo de ataque suele dirigirse a objetivos grandes y significativos. Pensemos en empresas energéticas y de servicios públicos, aeroespaciales, ONG, etc.
Por ejemplo, el grupo de piratas informáticos ruso Energetic Bear (también conocido como Dragonfly) atacó a varias empresas energéticas de Europa y Norteamérica, accediendo a sus redes y recopilando información.
Asimismo, el grupo de piratas informáticos chinos APT10 atacó a varias empresas aeroespaciales de Estados Unidos y Europa, robando datos confidenciales sobre aviones militares y comerciales.
Las APT también se han utilizado para atacar a ONG por motivos políticos o ideológicos. Por ejemplo, el grupo de piratas informáticos iraní Charming Kitten (también conocido como Phosphorus) atacó a varias ONG en Estados Unidos, robando datos confidenciales y realizando espionaje.
Por qué son tan peligrosas las APT
Todo se reduce al esfuerzo invertido. Los actores de amenazas que despliegan estrategias APT tienen un objetivo en mente y no se detendrán ante nada para conseguirlo. He aquí algunas características de las APT que hacen que estas amenazas sean más peligrosas que los ciberataques ordinarios:
- Múltiples vectores de ataque: Las APT implican múltiples vectores y técnicas de ataque, incluida la ingeniería social, el malware y las vulnerabilidades de día cero. Esta variedad de técnicas aumenta las posibilidades de éxito, ya que la detección y la defensa son más difíciles.
- Persistencia: Las APT están diseñadas para pasar desapercibidas durante un largo periodo de tiempo, lo que permite una amplia vigilancia y recopilación de información. A diferencia de la mayoría de los ciberataques oportunistas y de corta duración, las APT pueden ejecutarse durante meses o incluso años.
- Objetivos específicos: Los ataques APT son muy selectivos, y los atacantes suelen tener un objetivo específico en mente. Puede tratarse del robo de datos sensibles o propiedad intelectual, la interrupción de infraestructuras críticas o el espionaje.
- Ataques a medida: A menudo, los ataques se construyen a medida para el objetivo previsto. Los atacantes pueden utilizar técnicas sofisticadas, como el spear-phishing o los ataques watering hole, para obtener el acceso inicial a los sistemas o la red del objetivo. Una vez dentro, los atacantes pueden utilizar diversas técnicas para desplazarse lateralmente por la red y recabar información.
Como puede ver, se trata de un esfuerzo decidido. Los ciberataques que se difunden con la esperanza de golpear algo en alguna parte son una cosa - pero los ciberataques que son tan avanzados, dirigidos y determinados son un nivel diferente de peligro.
Formas de protegerse contra las APT
Prevenir un ataque de amenaza persistente avanzada (APT) puede ser una tarea difícil porque estos ataques son muy sofisticados y persistentes. Sin embargo, hay varias estrategias que se pueden implementar para reducir el riesgo de un ataque APT o minimizar su impacto si uno ocurre. He aquí algunas estrategias a tener en cuenta:
- Determinar los activos cruciales de la organización. Esto le permite invertir en salvaguardar los objetivos más atractivos desde varias perspectivas.
- Mantener actualizados los parches de seguridad. Garantizar que todo el software tenga las últimas actualizaciones de seguridad minimiza el número de vulnerabilidades disponibles para que los atacantes de APT las exploten.
- Implemente controles técnicos sólidoscomo sistemas de detección y prevención de intrusiones, cortafuegos, software antivirus y antimalware, así como herramientas de prevención de pérdida de datos.
- Realización periódica de evaluaciones de vulnerabilidad y pruebas de penetración. Las evaluaciones periódicas de vulnerabilidades y las pruebas de penetración identificarán los puntos débiles de su red y sus aplicaciones.
- Supervise y gestione el tráfico de red buscando comportamientos inusuales, puertas traseras, archivos compartidos y usuarios sospechosos, incluyendo dispositivos endpoint en el proceso.
- Desarrolle una "lista de permitidos". Definir los dominios y aplicaciones permitidos para el acceso a la red ayuda a reducir aún más la superficie de ataque APT.
- Impartir formación continua sobre concienciación en materia de seguridad. Ayude a empleados y contratistas a comprender las últimas tácticas y técnicas de las APT y a aprender a reconocer y notificar actividades sospechosas.
También necesita implementar un plan de respuesta a incidentes que pueda ayudarle a mitigar un ataque APT en curso y a recuperarse del ataque. En general, solo un enfoque multicapa reduce el riesgo de ser víctima de un ataque APT y minimiza el impacto si se produce uno.
De acuerdo, pero ¿cómo se parchea bien?
La omisión de cualquiera de las sugerencias anteriores puede aumentar el riesgo de ser víctima de un ataque APT. Algunos puntos son más difíciles de cumplir que otros. La gestión de una lista blanca, por ejemplo, es un trabajo continuo pero manejable, y la formación es algo que debes hacer a fondo una o dos veces - y simplemente actualizar de forma continua.
El parcheado, sin embargo, es difícil porque requiere mucha mano de obra y suele causar trastornos. Además, hay un flujo constante de nuevos parches para nuevas vulnerabilidades - y con miles de nuevas vulnerabilidades al mes, la aplicación de parches puede resultar abrumadora.
Por estas razones, las empresas tienden a no aplicar los parches adecuados de forma sistemática, lo que significa que los actores de APT tienen muchas oportunidades de montar y mantener un ataque.
Considere el Live Patching para protegerse de los ataques APT
¿Cuál es la solución? Live patching ayuda a las organizaciones a aplicar parches de forma coherente reduciendo las interrupciones que conlleva la aplicación de parches. Las empresas que integran el parcheado activo en sus defensas de ciberseguridad pueden esperar ofrecer una resistencia mucho más dura a los actores de amenazas porque uno de los puntos de entrada más comunes -un componente de software vulnerable- está ahora cerrado.
Así que sí, es importante tomar todas las medidas habituales de ciberseguridad para protegerse de las amenazas persistentes avanzadas, pero sus mejores esfuerzos podrían verse socavados por unas malas prácticas de aplicación de parches. Obtenga más información sobre la aplicación de parches aquí - y descubra cómo TuxCare puede ayudar a su organización a aplicar parches contra las amenazas APT.