Amenazas Persistentes Avanzadas (APT) vs Técnicas de Evasión Avanzada

Amenazas Persistentes Avanzadas (APT) vs Técnicas de Evasión Avanzadas (AET)

Por Jorge Cisneros, Ingeniero Senior de Preventa para Latinoamérica de la división de Network Security de Forcepoint

En el mundo de la seguridad informática tendemos a utilizar mal los acrónimos, sobre todo cuando se refieren a problemas como las amenazas de día cero, nuevos ransomware, virus o malware en general. Uno de esos acrónimos es APT (Advanced Persistent Threat) o Amenazas Persistentes Avanzadas, el cual surge con el uso de un conjunto de procesos informáticos, normalmente sigilosos, continuos y tradicionalmente utilizados por humanos, cuyo único enfoque es penetrar la seguridad informática de una entidad específica.

Hoy en día se abusa de este acrónimo porque muchas soluciones de seguridad informática dicen ofrecer una plataforma de protección contra Amenazas Persistentes Avanzadas o APT, lo cual dista mucho de la realidad, ya que la protección contra un proceso de APT no se puede encasillar en un equipo físico o un appliance.

Hay que entender que un proceso de APT utiliza técnicas sofisticadas con actividades de ingeniería social para obtener información, no solo digital sino también verbal y/o física. También existen Técnicas de Evasión Avanzada o AET (Advanced Evasion Techniques) que les permiten enmascarar ataques reales e inyectarlos a la red para no ser descubiertos, tales como un Botnet o un virus. Hay otros métodos como documentos que contienen código malicioso embebido y hasta comandos de telefonía.

Las Técnicas de Evasión Avanzada o AET son las que más sofisticación ha desarrollado en los últimos años ya que su propósito no es realizar un ataque directo, sino burlar las distintas capas de protección existentes como un firewall o un IPS (Intrusion Prevention System). Esto lo hacen al enmascarar ataques conocidos como el gusano Conficker para evitar que sea detectado durante su camino al objetivo de infección final.

Desde el 2014 la organización de investigación de mercado tecnológico Vanson Bourne, ha realizado encuestas a grupos representativos de CIOs y de gerentes de seguridad sobre las Técnicas de Evasión Avanzada o AET. Los resultados dejan claro que hay una confusión en el uso de los términos. El 70% de los encuestados cree saber qué es un AET pero menos del 50% definen incorrectamente el término.

Tradicionalmente las Técnicas de Evasión Avanzada (AET) son utilizadas en las soluciones de frontera o perímetro y no solo en la obvia ubicación que es Internet, ya que esas áreas son la puerta de entrada a la red. Se olvida que las AET son parte de un conjunto de procesos informáticos, utilizados a su vez, por un proceso de Amenaza Persistente Avanzada (APT).

Existe una cantidad inimaginable de posibles combinaciones que un criminal informático o hacker puede utilizar para enmascarar un ataque y burlar la seguridad de las tareas de inspección profunda de una solución de FW (Firewall) o IPS (Intrusion Prevention System) en cualquiera de sus tendencias, ya sea tradicional o de nueva generación. Esto incluye a los equipos UTM (Unified Threat Management).

Por estas razones se ha vuelto muy importante para las empresas volver a analizar la estrategia de seguridad para garantizar que los dispositivos que utilizan tengan lo necesario para protegerse contra las Técnicas de Evasión Avanzada (AET). Es fundamental aprender a defenderse de una Amenaza Persistente Avanzada analizando los procesos que utiliza para infectar, modificar o robar la información.