Vamos começar relembrando o que realmente significa o termo APT (Advance Persistent Threat, Ameaça Persistente Avançada). Esse termo se tornou parte do nosso vocabulário de cibersegurança, e há o risco de que algumas de suas verdadeiras implicações possam ser negligenciadas. Veja mais detalhadamente:

Avançada: Isso não significa que todas as armas no arsenal da APT sejam avançadas. Assim como a espionagem tradicional e os kits de ferramentas de sabotagem variam desde a espionagem simples até a vigilância por drones, o mesmo acontece com as APTs. Obviamente, as APTs com frequência utilizam ferramentas e técnicas que estão muito avançadas em relação à qualquer coisa que um hacker de porão poderia conseguir ou desenvolver, como os ataques de bandeiras falsas, por exemplo, o Olympic Destroyer. No entanto, é o alcance e a riqueza do kit de ferramentas das APTs que as tornam verdadeiramente avançadas, apresentando a capacidade de alcançar cada obstáculo possível com uma técnica projetada para burlá-lo (ou destruí-lo).

Persistente: Aqui, nós poderíamos fazer a distinção entre um ladrão que entra por uma janela aberta e rouba no ímpeto de momento e um grupo criminoso organizado que tem como objetivo (e talvez consiga) controlar toda uma câmara municipal. O primeiro é um oportunista, mas as APTs são qualquer coisa, menos isso. O segundo nunca tira os olhos de seu objetivo final, mesmo que leve mais tempo para alcançá-lo. Colocando de lado a forte ambição de membros individuais, todas as ações realizadas pelo grupo são ponderadas em relação ao seu valor para obter o controle total da câmara municipal. Todas. De pequenas propinas até o assassinato. E tudo precisa ser feito com muita discrição para evitar ser descoberto. Esse nível de persistência e o nível apresentado pelos grupos que usam APTs não podem ser alcançados por um pequeno e desorganizado bando de delinquentes ou hackers de porão.

Ameaça: As APTs dão um maior destaque à ameaça. Qualquer tipo de malware simples é uma ameaça, mas um mosquito voando ao redor de sua cabeça quando você está tentando se concentrar também é uma ameaça. O mosquito? Você somente o espanta para longe e o elimina. Não é o caso das APTs. O que torna as APTs tão ameaçadoras é a combinação de "avançada" e "persistente". Para usar uma linhagem jurídica, você tem a arma e a intenção. Conhecimento e tenacidade. As APTs podem representar uma ameaça existencial para as organizações que atacam, destruindo empresas (mesmo que temporariamente) e paralisando instituições governamentais, programas ou paraestatais. Quando a espionagem militar é o objetivo principal de um ataque de APT, a ameaça existencial pode ser para os próprios humanos.

A seguir estão algumas das principais tendências às quais as organizações governamentais precisam estar atentas para criar um futuro seguro para seus cidadãos:

1. Mercenários (Hacking-as-a-Service)
2. Ransomware direcionado
3. Diversificação de alvos geográficos
4. O abuso de informações pessoais: de deep fakes a vazamentos de DNA

Qualquer organização que detenha ou controle fundos de qualquer tipo sempre será um alvo importante para os cibercriminosos. Além disso, quanto maior a recompensa, mais longe irão os criminosos para roubá-la.
Principais desafios relacionados às APTs

Persistência

Os invasores que usam APTs são persistentes e pacientes, movendo-se lateralmente na rede por semanas ou meses, fazendo o reconhecimento e definindo vários backdoors antes de tomar uma ação perceptível.

Dissimulação

A dissimulação que caracteriza os ataques de APTs e semelhantes aos de APTs representa um enorme desafio, mesmo para grandes organizações com TI madura. Somente a descoberta não é suficiente, e a busca proativa, informada pela inteligência de ameaças atualizada específica do setor, é essencial, principalmente em alguns sistemas de segurança que produzem bombardeios inúteis de alertas falsos que causam distração e gastam tempo.

Exploração da infraestrutura em silos, da segurança e até da cultura

Os grupos que usam APTs sabem que as grandes organizações são enfraquecidas por silos em suas infraestruturas, suas defesas cibernéticas e até em sua cultura. Os silos podem causar entraves ao pensamento conjunto entre departamentos, fornecedores de TI, bem como bancos de dados e outras ferramentas. Os grupos que usam APTs exploram essa falta de conjunção: a dissimulação é mais fácil quando as vítimas não conseguem definir um panorama claro e visível do que está realmente acontecendo em sua infraestrutura.

Falta de contexto

A inteligência de ameaças precisa, contextual relevante e atualizada é absolutamente crítica para as organizações financeiras que desejam prevenir, descobrir e responder à presença de APTs em suas redes. Em um nível macro, a inteligência de ameaças deve incluir uma ampla compreensão do cenário das APTs em relação ao setor financeiro.

A escassez de talentos de cibersegurança

Para dar um toque positivo a isso, este é um bom momento para incentivar seus filhos a optar por uma carreira na área de cibersegurança. Mas a realidade atual não é tão bonita.

Simplesmente não há suficiente talentos de cibersegurança disponíveis, o que torna o recrutamento e a retenção extremamente desafiadores. Os grupos que usam APTs sabem que seu conhecimento geralmente excede o das equipes internas de cibersegurança, e não é nenhuma surpresa que o ego seja citado com frequência como uma das principais motivações da atividade cibercriminosa.

O que as organizações financeiras podem fazer em relação a isso?

O primeiro passo é compreender que até as organizações com alto nível de maturidade de TI não estão preparadas para enfrentar sozinhas os ataques de APTs e semelhantes aos de APTs. Esse é um problema global, em constante mudança entre regiões e setores, e uma equipe precisa, pelo menos, de talento, inteligência de ameaças relevante e tempo para executar as tarefas de pesquisa e reposta necessárias para defender a organização contra essas ameaças em crescimento e mutação.

As equipes de segurança devem estar:

• Equipadas:
  A cibersegurança é uma área de especialização em que até um profissional qualificado pode culpar legitimamente suas ferramentas. A proteção contra-ataques multivetoriais e APTs exige uma plataforma consolidada unificada que forneça visibilidade total, eliminando silos obstrutivos e evitando o excesso de alertas e outras tarefas de rotina dentro do processo de resposta a incidentes.
• Informadas:
  A especialização avançada existente das organizações com maturidade de TI nunca deve ser considerada como certa. Afinal de contas, o horizonte de crimes cibernéticos está em constante mudança e expansão. A educação contínua e a inteligência de ameaças robusta de um parceiro de cibersegurança confiável são essenciais.
• Reforçadas:
  Quando uma APT é descoberta, até os analistas de segurança de TI mais avançados deveriam ter acesso a suporte externo para obter a opinião de terceiros, avaliação de segurança, busca de ameaças gerenciada e resposta a incidentes. Embora as APTs sejam altamente direcionadas, elas raramente visam apenas uma vítima. Especialistas externos podem lançar uma luz global de vários setores sobre os prováveis caminhos de uma APT e fornecer conselhos práticos sobre a melhor maneira de eliminá-la do sistema.

Saiba como os nossos Especialistas Brasiline podem te ajudar nesse processo.