De acuerdo con el estudio de la ISACA sobre la Concientización de las Amenazas Persistentes Avanzadas (APT, Advanced Persistent Threat) se percibe que los profesionales de seguridad están gestionando la seguridad con base en un enfoque de riesgos para gestionar estas amenazas dentro de las empresas.
Las APTs son amenazas provenientes de cualquier organización (pública o privada) o grupo de personas con el dinero y los recursos necesarios para contar con tecnologías avanzadas para el ataque continuo, duradero, sistemático y eficaz a los activos de información de otra organización o persona.
Según el reporte de la ISACA, todavía existe una brecha para entender lo que son las APTs y cómo defenderse de ellas. Los datos del estudio muestran que los controles técnicos más utilizados son las tecnologías de perímetro de red, como firewalls, listas de acceso en ruteadores, antimalware y antivirus. Herramientas útiles para defenderse contra los ataques tradicionales, pero no adecuadas para las APT, como amenazas de día-cero y ataques de phishing.
El estudio de la ISACA fue patrocinado por la casa antivirus Trend Micro y realizado entre 1,551 profesionales con responsabilidades en la seguridad de la información, destacando:
- 25.1% están muy familiarizados con las APTs.
- 53.4% no creen que las APTs difieran de las amenazas tradicionales.
- 25.5% creen que la pérdida de la propiedad intelectual de la empresa es el mayor riesgo en caso de un ataque APT exitoso.
- 21.6% dijeron haber sido sujetos de un ataque APT, de los cuales 65.4% dijeron haber podido identificar la fuente de ataque.
- 63% creen que es sólo una cuestión de tiempo para que su empresa sea objeto de un ataque APT.
- 60% creen que están listos para responder a ataques APT. De éstos, 14% dijeron estar “muy preparados” al contar con un plan para APTs documentado y probado; 49.6% dijeron estar “preparados” al tener un plan de gestión de incidentes, aunque no cubra APTs; y el 37.4% restante no tenía la confianza de estar preparado para un ataque APT.
- Un alto porcentaje (más del 80%) dijeron utilizar antivirus, antimalware y/o tecnologías tradicionales perimetrales de red para impedir las APTs, lo que no sucede con los controles críticos para dispositivos móviles, tecnologías de acceso remoto y la correlación de registros/eventos que observaron valores muy bajos.
- 70.6% dijeron utilizar entrenamiento como ayuda para prevenirse contra ataques como el phishing y la ingeniería social, que intentan exlotar el factor humano.
Los fines de un ataque APT son el espionaje, acceder a información sensible, robar propiedad intelectual, realizar fraudes, obtener ganancias financieras, entre otros, manteniendo por largo tiempo el acceso al objetivo.
Son amenazas avanzadas porque los atacantes tienen el conocimiento y la experiencia de las técnicas requeridas para un ataque duradero, con la capacidad para desarrollar o comprar herramientas para superar los problemas que puedan representar las defensas informáticas de la organización objeto de ataque. Son persistentes porque el ataque se mantiene por largo tiempo.
Un ataque APT es un ataque coordinado en el que se incluyen acciones como usar ingeniería social, infectar por phishing, malware o código exploit de vulnerabilidades desconocidas o día-cero; utilizar RATs (Remote Access Trojan) y herramientas para escalar a privilegios administrativos, que permita prácticamente tener acceso a todo dentro de la infraestructura informática. El atacante APT tiene un objetivo específico, para ello se ocultará y procurará el no ser detectado por largo tiempo.