Sinais que sua empresa está sendo atacada por uma ameaça persistente avançada (APT)

Apesar de usar técnicas diferentes, o APTs apresentam sinais comuns que contribuem para sua detecção rápida
Emilia Bertolli
2 minuto de leitura
Ultima atualização 29 de Junho de 2021

A rede da empresa está apresentando um comportamento estranho? Cuidado, pode ser sinal de ataque por uma ameaça persistente avançada (APT). APTs são ataques de hackers profissionais, que trabalham em tempo integral para hackear empresas, órgãos governamentais ou alvos específicos.

Estão, normalmente, vinculados a empresas ou governos e realizam ações que interessam a esses patrocinadores, como roubo de informações confidenciais. Utilizam códigos personalizados, mas também se aproveitam de falhas conhecidas para as invasões. Assim, além de demorarem para ser detectados, a vítima não irá perceber que se trata de um APT.

Os sinais
Como usam técnicas diferentes dos hackers comuns, os sinais da invasão também são diferentes. Apesar disso, alguns desses sinais são comuns à maioria dos ataques e também podem ser provenientes de ações legitimas dentro da empresa. Portanto, a atenção aos detalhes é extremamente importante na hora de detectar um ataque APT.

Aumento no número de acessos
APTs conseguem, rapidamente, comprometer vários computadores. Fazem isso roubando credenciais de um banco de dados de autenticação. Conseguem distinguir quais contas de usuário ou serviço têm permissões ou privilégios elevados e passam a utiliza-las para o roubo de dados. Normalmente, esses ataques ocorrem fora do horário comercial, então um aumento no número de logons em horários impróprios, e vindas de locais diferentes, deve ser vista como um ataque.

Fluxos de informação inesperados
Da mesma forma que o número de logons pode indicar um APT, o fluxo de informação também. Fluxos inesperados de dados vindos de pontos de origem internos para outros computadores internos ou externos, assim como de servidor para cliente ou de rede para rede, podem indicar um ataque.

Pacotes de dados inesperados
Para roubar um grande número de dados, os APTS, normalmente, os agregam em um único local ou arquivo. Então, arquivos muito grandes (gibabytes), em local que não deveriam estar e, especialmente, compactados em formatos não usuais, são indicativos de uma invasão.

Ataques de Phishing
Não se trata de ataque contra todos os e-mails dos funcionários, mas apenas para alvos mais importantes, de alto valor, como CEO, CFO, gestores de projetos e de tecnologia, entre outros cargos executivos. O acesso a essas informações indica que a empresa já foi vítima de um ataque APT.

Cavalos de troia
Esses hackers, geralmente, instalam trojans para terem acesso ao sistema na hora que desejarem. Os cavalos de troia são implantados por meio de engenharia social e fornecem o acesso ideal para o ataque, e são extremamente comuns em ambientes vítimas de ataques APT.

Conexões com destinos não usuais
Computadores que se comunicam com destinos definidos como nocivos ou com servidores em países que a empresa não tem negócios. Ou então conexões com redes externas por intermédio de portas não usuais ou incompatíveis com os protocolos ou portas utilizadas pela empresa. Apesar de poderem ser fruto de trafego legitimo, a área de segurança cibernética também deve estar atenta.

Reinfecção rápida
Se o sistema foi reinfectado poucos minutos após ser limpo pode indicar um ataque APT.

Com a solução Varonis DatAlert sua empresa pode prevenir o vazamento de dados em tempo real. Os modelos de ameaças Varonis descobrem problemas de segurança rapidamente e entrega contexto sobre os metadados e o que está acontecendo nos servidores e arquivos.

 

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

como-grandes-empresas-encontram-vazamentos
Como grandes empresas encontram vazamentos
Conheça algumas ações e modelos diferentes utilizados pelas empresas para se prevenirem de vazamentos de dados confidenciais
a-diferença-entre-o-provisionamento-de-usuários-e-o-gerenciamento-de-acesso-a-dados-do-identity-and-access-management-(iam)
A diferença entre o provisionamento de usuários e o gerenciamento de acesso a dados do Identity and Access Management (IAM)
O Identity and Access Management (IAM) é “peça-chave” na integração do provisionamento de usuários com o gerenciamento de acesso a dados. Conheça os motivos.
aventuras-em-ataques-sem-malware
Aventuras em ataques sem malware
Até um ataque livre de malware pode ser perigoso para a rede da sua empresa. Conheça os detalhes e evite o compartilhamento de dados de forma inadequada.
por-que-o-ransomware-wannacry-se-espalhou-tão-rapidamente?
Por que o ransomware WannaCry se espalhou tão rapidamente?
Por que o ransomware WannaCry conseguiu se espalhar tão rapidamente e causar o estrago que vimos? A verdade é que ele não tinha nada de especial. Entenda.