De acuerdo

Descripción general de la defensa APT dentro de la solución Huawei NIP6000

175 0 0 0 0

Bienvenidos a todos. En esta ocasión iniciare una serie de publicaciones que trata sobre una función muy interesante sobre ataques de ATP y cómo defendernos de ellos. Pasemos a la información para profundizar en el tema.

 

¿Qué es la APT?

La amenaza persistente avanzada o Advanced Persistent Threat (APT) es un nuevo modo de ataque que de forma persistente ataca a un objetivo específico. Un APT típico tiene las siguientes características:

 

Persistencia

Un atacante suele dedicar mucho tiempo a rastrear y recopilar información sobre los entornos operativos de red del sistema de destino, así como a explorar la vulnerabilidad en el sistema de confianza y los programas de aplicación del atacado. El atacante no puede romper el sistema de defensa del objetivo en un corto período de tiempo, pero puede descubrir vulnerabilidad en el objetivo o encontrar la oportunidad de atacar el objetivo a medida que pasa el tiempo, especialmente cuando los dispositivos se actualizan o las aplicaciones se actualizan en el sistema de defensa.


Terminal

El atacante no ataca directamente al objetivo. En cambio, el atacante primero compromete un dispositivo terminal (como un teléfono inteligente o PAD) relacionado con el sistema de destino para robar la cuenta de usuario y la contraseña. Es decir, el dispositivo terminal sirve como estación de transferencia para el ataque al sistema objetivo.


Pertinencia

En base a la información recopilada sobre el software de uso frecuente, las políticas y productos de defensa y la implementación de la red interna del sistema de destino, el atacante establece un entorno específico para descubrir la vulnerabilidad y probar si existen métodos para evitar las inspecciones.

 

Desconocido

Los productos de seguridad tradicionales defienden contra ataques basados solo en virus conocidos y vulnerabilidad. Los atacantes APT pueden explotar la vulnerabilidad de 0 días para lanzar ataques, que pueden pasar fácilmente por el sistema de defensa.

 

Ocultación

Al acceder a un activo importante, el atacante utiliza un cliente controlado para robar información a través de un canal de datos cifrado de forma válida. En este caso, el sistema de auditoría y el sistema de detección de anomalías no pueden detectar el ataque.

 

Con las características de ataque anteriores, los ataques APT son más avanzados, ocultos y devastadores. Gracias a estas características, se han convertido en una gran amenaza para la seguridad de la red hoy en día.


¿Cómo interfiere el NIP con el Sandbox?

En la actualidad, uno de los métodos más efectivos para la defensa contra ataques APT es la tecnología sandbox, que crea un entorno de inspección de amenazas aislado. El tráfico se entrega al sandbox para el análisis de amenazas. Si el entorno limitado detecta tráfico malicioso, el NIP del dispositivo actualiza la URL maliciosa en caché y las entradas de archivos maliciosos en consecuencia. Si el tráfico posterior coincide con el archivo malicioso o la lista de URL maliciosas, se realiza la acción de bloqueo o alerta. La Figura 1 muestra el interfuncionamiento entre el NIP y el sandbox.

 

Figura 1 Interfuncionamiento NIP con la caja de arena


l8


El procedimiento de defensa contra los ataques APT es el siguiente:

 

1. Un atacante externo inicia un ataque APT hacia la red empresarial. El tráfico de ataque que coincide con el perfil de defensa APT se restaura en un archivo.

 

2. El NIP envía el archivo restaurado al sandbox para el análisis de amenazas.

 

3. El NIP obtiene periódicamente el resultado de detección de archivos del entorno limitado.

Si el sandbox detecta tráfico malicioso, NIP actualiza el archivo malicioso en caché y las listas de URL maliciosas según el resultado de la detección. Si el tráfico posterior coincide con el archivo malicioso o la lista de URL maliciosas, la acción de bloqueo o alerta se realiza para proteger la intranet de la empresa de los ataques.

 

Diferencias entre las tecnologías Sandbox y Antivirus

El sistema antivirus generalmente compara las firmas de archivos con la base de datos de firmas de virus para identificar los archivos de virus. La limitación es que este modo de defensa no puede identificar ataques desconocidos.


La tecnología sandbox es diferente del sistema antivirus. APT Defense utiliza el sandbox, que es un sistema de detección virtual que simula redes reales, para ejecutar archivos desconocidos. Un programa de recopilación en el sandbox registra el comportamiento de los archivos. Al hacer coincidir el comportamiento del archivo con una base de datos exclusiva de firmas de comportamiento, el sandbox determina si un archivo es malicioso. El sandbox construye la base de datos de firmas de comportamiento analizando las firmas de una gran cantidad de virus, vulnerabilidades y amenazas, extrayendo los patrones del comportamiento malicioso y formando un conjunto de reglas de evaluación.

 

En una palabra, el sistema antivirus identifica ataques basados en firmas, mientras que la tecnología sandbox se basa en el comportamiento.

 

Saludos.

 

FIN

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

 


  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.