A rede da empresa está apresentando um comportamento estranho? Cuidado, pode ser sinal de ataque por uma ameaça persistente avançada (APT). APTs são ataques de hackers profissionais, que trabalham em tempo integral para hackear empresas, órgãos governamentais ou alvos específicos.
Estão, normalmente, vinculados a empresas ou governos e realizam ações que interessam a esses patrocinadores, como roubo de informações confidenciais. Utilizam códigos personalizados, mas também se aproveitam de falhas conhecidas para as invasões. Assim, além de demorarem para ser detectados, a vítima não irá perceber que se trata de um APT.
Os sinais
Como usam técnicas diferentes dos hackers comuns, os sinais da invasão também são diferentes. Apesar disso, alguns desses sinais são comuns à maioria dos ataques e também podem ser provenientes de ações legitimas dentro da empresa. Portanto, a atenção aos detalhes é extremamente importante na hora de detectar um ataque APT.
Aumento no número de acessos
APTs conseguem, rapidamente, comprometer vários computadores. Fazem isso roubando credenciais de um banco de dados de autenticação. Conseguem distinguir quais contas de usuário ou serviço têm permissões ou privilégios elevados e passam a utiliza-las para o roubo de dados. Normalmente, esses ataques ocorrem fora do horário comercial, então um aumento no número de logons em horários impróprios, e vindas de locais diferentes, deve ser vista como um ataque.
Fluxos de informação inesperados
Da mesma forma que o número de logons pode indicar um APT, o fluxo de informação também. Fluxos inesperados de dados vindos de pontos de origem internos para outros computadores internos ou externos, assim como de servidor para cliente ou de rede para rede, podem indicar um ataque.
Pacotes de dados inesperados
Para roubar um grande número de dados, os APTS, normalmente, os agregam em um único local ou arquivo. Então, arquivos muito grandes (gibabytes), em local que não deveriam estar e, especialmente, compactados em formatos não usuais, são indicativos de uma invasão.
Ataques de Phishing
Não se trata de ataque contra todos os e-mails dos funcionários, mas apenas para alvos mais importantes, de alto valor, como CEO, CFO, gestores de projetos e de tecnologia, entre outros cargos executivos. O acesso a essas informações indica que a empresa já foi vítima de um ataque APT.
Cavalos de troia
Esses hackers, geralmente, instalam trojans para terem acesso ao sistema na hora que desejarem. Os cavalos de troia são implantados por meio de engenharia social e fornecem o acesso ideal para o ataque, e são extremamente comuns em ambientes vítimas de ataques APT.
Conexões com destinos não usuais
Computadores que se comunicam com destinos definidos como nocivos ou com servidores em países que a empresa não tem negócios. Ou então conexões com redes externas por intermédio de portas não usuais ou incompatíveis com os protocolos ou portas utilizadas pela empresa. Apesar de poderem ser fruto de trafego legitimo, a área de segurança cibernética também deve estar atenta.
Reinfecção rápida
Se o sistema foi reinfectado poucos minutos após ser limpo pode indicar um ataque APT.
Com a solução Varonis DatAlert sua empresa pode prevenir o vazamento de dados em tempo real. Os modelos de ameaças Varonis descobrem problemas de segurança rapidamente e entrega contexto sobre os metadados e o que está acontecendo nos servidores e arquivos.