SóProvas


ID
1782688
Banca
CESPE / CEBRASPE
Órgão
TJ-DFT
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

O termo APT (advanced persistent threat) é utilizado em segurança da informação para descrever ameaças cibernéticas através de técnicas de coleta de informações que tenham valor para o atacante.
Acerca desse assunto, julgue o item subsequente.

Em geral, uma APT não é detectada por antivírus ou por softwares IDS firmados em assinaturas.

Alternativas
Comentários
  • Se alguém puder contribuir com uma explicação para esta questão...

    Se o "firmados" estiver referindo-se ao antivírus e ao IDS, tudo bem. Caso contrário, quer dizer que nenhum antivírus existente é capaz de detectar uma APT?

  • É que na verdade a APT é um tipo de ataque muito mais voltado para a engenharia social (diga-se de passagem extremamente complexa e bem coordenada) do que para atifícios tecnológicos. Uma APT é um ataque conjunto, que pode utilzar (e uma hora irá utilzar, provavelmente) malwares, mas que em geral explora as vulnerabilidades "humanas" sobre a informação que se quer obter.

     

    Respondendo ao seu questionamento quanto a parte "softwares IDS firmados em assinaturas", quando se utiliza de meios tecnológicos em uma APT, isso é feito por meio de muito planejamento e estudo da estrutura que se deseja atacar (o alvo) e se dá através de vulnerabilidades desconhecidas do sistema (que até mesmo o desenvolvedor desconhece!) que são as chamadas 0-day exploits e de malwares criados especialmente para atacar essas vulnerabilidades, ou seja, que ainda não possuem qualquer tipo de assinatura de identificação, que por consequencia não podem ser identificadas por IDS ou antivírus. Isso que, no meu entendimento, a questão pediu.

     

    Resumindo, em geral, o uso de um IDS em um ataque APT só fará sentido se este for feito com uso massivo de malwares conhecidos e principalmente com um mal planejamento da APT, o que a desconfigura justamente por ser esta altamente planejada e organizada.

     

    Espero ter contribuído e se alguém tiver alguma correção ou observação, favor contribuir!

     

    Obs.: O texto da Wikipedia sobre o assunto não está ruim e ajuda a responder essa questão:

    https://pt.wikipedia.org/wiki/Amea%C3%A7a_persistente_avan%C3%A7ada

  • Na verdade a resposta para essa questão é muito simples. As APT não são identificadas por antivírus ou softwares IDS firmados por assinaturas pois são ataques bastante únicos, específicos e direcionados, por exemplo o Worm Stuxnet que foi desenvolvido para sabotar as usinas nucleares iranianas e que utilizava 0-day exploits. Os antivírus e IDS apenas são capazes de detectar ameaças mais genéricas.

  • É que na verdade a APT é um tipo de ataque muito mais voltado para a engenharia social (diga-se de passagem extremamente complexa e bem coordenada) do que para atifícios tecnológicos. Uma APT é um ataque conjunto, que pode utilizar (e uma hora irá utilizar, provavelmente) Malwares, mas que em geral explora as vulnerabilidades "humanas" sobre a informação que se quer obter.

  • Certo.

    O indicado é o NGAV - Next Generation Antivirus.

    Considerado a melhor defesa contra esses ataques.

    Ataques APT's: vários ataques concentrados em uma máquina (malwares, phishing, spam, spoofing...)

  • APT: Uma ameaça persistente avançada (APT) é um processo de hacking avançado a uma rede por razões políticas ou econômicas. O APT também inclui hacks avançados em instituições financeiras, empreiteiros de defesa e empresas de software como Twitter ou Facebook, que conteriam uma grande quantidade de informações confidenciais que o hacker gostaria de coletar.

    Fonte:

    [1] CompTIA PenTest+ Certificação Para Retardados Mentais, Glen E. Clarke · 2020

  • Certo.

    Em ataques APT (Advanced Persistent Threat), são aplicadas técnicas de engenharia social para que se invadam, de forma discreta, os sistemas organizacionais.(CESPE)

    • Podem utilizar diversos protocolos de rede para transmitir ou receber informações do ponto de comando e controle do malware. 
    • Normalmente esse tráfego é construído pelo atacante para parecer um tráfego de rede legítimo.
  • CERTO

    APT são técnicas, não é worm ou vírus em si, logo, não será identificador por antivírus ou firewall