De acuerdo

Modulo Contenido de seguridad: La función de Advanced Persistent Threat (APT) para un firewall serie USG6000E.

Última respuesta mzo. 29, 2021 10:50:33 214 1 4 0 0

Hola todos. Continuamos con la serie de publicaciones sobre las funciones que están incluidas en el módulo de contenido de seguridad para un firewall de la serie USG6000E y en esta ocasión platicaremos sobre la función de Advanced Persistent Threat (APT).

 

¿Qué es APT?

La Amenaza persistente avanzada o Advanced Persistent Threat (APT) es un modo de ataque que ataca persistentemente a un objetivo específico. Un APT típico tiene las siguientes características:

 

Persistencia

Un atacante a menudo pasa mucho tiempo en el seguimiento y la recopilación de información sobre los entornos operativos de red del sistema de destino, así como explorar la vulnerabilidad en el sistema de confianza y los programas de aplicación de los atacados. El atacante no puede romper a través del sistema de defensa del objetivo en un corto período de tiempo, pero él o ella puede descubrir vulnerabilidad en el objetivo o encontrar la oportunidad de atacar el objetivo a medida que pasa el tiempo, especialmente cuando los dispositivos se actualizan o las aplicaciones se actualizan en el sistema de defensa.

 

Terminal

El atacante no ataca directamente al objetivo. En su lugar, el atacante primero compromete un dispositivo terminal (como un teléfono inteligente o PAD) relacionado con el sistema de destino para robar la cuenta de usuario y la contraseña. Es decir, el dispositivo terminal sirve como una estación de transferencia para el ataque al sistema de destino.

 

Pertinencia

Basándose en la información recopilada sobre el software utilizado con frecuencia, las políticas y productos de defensa y la implementación de la red interna del sistema de destino, el atacante establece un entorno específico para descubrir la vulnerabilidad y probar si existen métodos para eludir las inspecciones.

 

Desconocido

Los productos de seguridad tradicionales se defienden de los ataques basados únicamente en virus conocidos y vulnerabilidades. Los atacantes de APT pueden explotar la vulnerabilidad de 0 días para lanzar ataques, que pueden pasar fácilmente a través del sistema de defensa.

 

Ocultación

Tras el acceso a un activo importante, el atacante hace uso de un cliente controlado para robar información a través de un canal de datos cifrado válidamente. En este caso, el sistema de auditoría y el sistema de detección de anomalías no pueden detectar el ataque.


Con las características de ataque anteriores, los ataques APT son más avanzados, ocultos y devastadores. Gracias a estas características, se han convertido en una gran amenaza para la seguridad de la red hoy en día.

 

¿Cómo interopera el firewall con el sandbox?

En la actualidad, uno de los métodos más eficaces para la defensa contra ataques APT es la tecnología sandbox, que crea un entorno de inspección de amenazas aislado. El tráfico se entrega al entorno limitado para el análisis de amenazas. Si el entorno limitado detecta tráfico malintencionado, el dispositivo FW actualiza la dirección URL malintencionada almacenada y las entradas de archivos malintencionados en consecuencia. Si el tráfico posterior coincide con el archivo malintencionado o la lista de DIRECCION malintencionadas, se realiza la acción de bloqueo o alerta. El cuadro 1 muestra el intertrabajo entre el FW y el sandbox.

 

Figura 1 FW interoperación con el sandbox


d3


El procedimiento de defensa contra los ataques APT es el siguiente:

 

1. Un atacante externo inicia un ataque APT hacia la red empresarial. El tráfico de ataque que coincide con el perfil de defensa de APT se restaura en un archivo.

2. El FW envía el archivo restaurado al entorno limitado para el análisis de amenazas.

3. El FW obtiene periódicamente el resultado de la detección de archivos del entorno limitado.

Si el entorno limitado detecta tráfico malintencionado, FW actualiza el archivo malintencionado almacenado en caché y las listas de direcciones URL malintencionadas en función del resultado de la detección. Si el tráfico posterior coincide con el archivo malintencionado o la lista de direcciones URL malintencionadas, la acción de bloqueo o alerta se realiza para proteger la intranet de la empresa de ataques.


Diferencias entre las tecnologías sandbox y antivirus

l  El sistema antivirus suele comparar las firmas de archivos con la base de datos de firmas de virus para identificar archivos de virus. La limitación es que este modo de defensa no puede identificar ataques desconocidos.

 

l  La tecnología sandbox es diferente del sistema antivirus. La defensa APT utiliza el entorno limitado, que es un sistema de detección virtual que simula redes reales, para ejecutar archivos desconocidos. Un programa de recopilación en el espacio aislado registra el comportamiento de los archivos. Al hacer coincidir el comportamiento del archivo con una base de datos de firmas de comportamiento exclusiva, el entorno limitado determina si un archivo es malintencionado. El entorno limitado crea la base de datos de firmas de comportamiento mediante el análisis de las firmas de un gran número de virus, vulnerabilidades y amenazas, la extracción de los patrones del comportamiento malintencionado y la formación de un conjunto de reglas de evaluación.

 

En una palabra, el sistema antivirus identifica los ataques basados en firmas, mientras que la tecnología sandbox basada en el comportamiento.

 

Saludos.

 

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


La publicación está sincronizada con: Ciberseguridad: Protegiendo el borde de la red

  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-3-29 10:50:33
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.