El término amenaza persistente avanzada (APT) se refiere a que un
potencial atacante podría tener la capacidad y la intención de realizar
ataques avanzados contra objetivos de alto perfil específicos, con el
fin de poner en peligro sus sistemas y mantener un control permanente
sobre ellos de una manera furtiva.
A menudo se utilizan nuevos tipos de malware, no reconocidos por las
soluciones de seguridad tradicional. Los atacantes suelen utilizar
técnicas de "phishing", explotan vulnerabilidades o tientan al usuario a
abrir un archivo que contiene el malware o un enlace dañino.
Las técnicas tradicionales antivirus productos son bastante ineficaces
en detectar nuevo malware y por lo tanto han aparecido nuevas soluciones
para mitigar los ataques APT. Estas herramientas
antiAPT suelen
identificar archivos y tráfico sospechoso de red, ejecutan archivos en
entornos de sandbox, analizan el comportamiento y tratan de identificar
anomalías que puedan indicar la presencia de malware o un intento de
explotación.
Existen
herramientas de detección de ataque de Cisco, SourceFire, Checkpoint, Damballa, Fidelis XPS, FireEye, Fortinet,
LastLine, LastLine, Palo Alto, Trend Micro y Websense. Estas nuevas
herramientas pueden resultar útiles y han ayudado a identificar varios
ataques recientemente 0-Day.
MRG Effitas y CrySyS Lab han realizado distintos análisis
[PDF] a estas herramientas
antiAPT con el objetivo de determinar la
efectividad de de las mismas en base a una metodología propia y no
basada en la cantidad de APTs detectadas.
Cristian de la Redacción de Segu-Info
