Una APT (Advanced Persistent Threat) tiene como características:
– prevalece en el tiempo.
– tiene capacidad de ocultarse frente a antivirus.
– su principal objetivo generalmente es extraer información, más que generar un daño en los sistemas de información donde se produce (como ransomware o DoS).
¿Cómo defenderse de las APTs? Ojalá hubiera una solución única, pero la mejor forma es contar con una arquitectura multicapa, que permita proteger distintos vectores de ataque y distintas tecnologías.
Por ejemplo, Cisco Talos detectó hace unos meses que la web hiremilitaryheroes.com que ofrecía trabajos para militares veteranos de EEUU. Los usuarios se descargaban una app que realmente era un malware. Este tipo de ataque, se podría haber parado en un primer momento con Cisco Umbrella, que revisa todas las peticiones DNS, y si el sitio es fraudulento, no nos deja acceder. Si no disponemos Cisco Umbrella, y el usuario ya ha pinchado el enlace para descargar e instalar la aplicación, debemos tener instaladas soluciones en el endpoint del tipo a Cisco AMP (Advanced Malware Protection), que sean capaces de analizar ataques avanzados y persistentes. En el concepto multicapa, también es útil disponer de algún tipo de dashboard donde podamos ver cómo se correlan las distintas amenazas detectadas por distintas soluciones, y que permita algo muy interesante como es el análisis retrospectivo, algo imprescindible para analizar ataques «zero day». Un ejemplo de este tipo de herramientas es Cisco Threath Response.
https://www.cisco.com/c/en/us/products/security/advanced-persistent-threat.html