Un ataque de Amenaza Persistente Avanzada (APT) es un tipo de ataque de red que usa malware avanzado y vulnerabilidades de día cero para conseguir acceso a redes y a datos confidenciales durante periodos extendidos de tiempo. Los ataques APT son altamente sofisticados y a menudo se enfocan en instituciones específicas y de alto perfil tales como organismos de gobierno o compañías del sector financiero. El uso de este malware avanzado también se ha ampliado para atacar redes y organizaciones más pequeñas y de menor perfil.
Como los ataques APT utilizan las técnicas más recientes de malware y vulnerabilidades de día cero (defectos que los vendedores del software todavía no han descubierto o arreglado) para infectar y difundirse dentro de una red, las técnicas de escaneo tradicionales y basadas en firmas no proporcionan la protección adecuada contra estas amenazas. El malware de APT está diseñado para residir dentro de una red durante un periodo de tiempo extendido. La comunicación desde el malware está oculta, y toda la evidencia de la presencia del malware es eliminada, lo que permite que se evada la detección.
El APT Blocker es un servicio de suscripción que utiliza el análisis de emulación de sistema completo para identificar las características y comportamiento del malware de APT en los archivos y adjuntos de correo electrónico que ingresan a su red. APT Blocker no utiliza firmas como otros escaneadores tradicionales, tales como programas antivirus. Los archivos que ingresan a su red se escanean y se genera un archivo hash MD5. Este hash MD5 se envía al centro de datos en la nube de APT Blocker por HTTPS. APT Blocker compara el archivo con una base de datos de archivos analizados y devuelve inmediatamente los resultados del escaneo. Si el análisis encuentra una coincidencia con una amenaza de malware conocida, puede tomar una acción inmediata con respecto al archivo, como bloquear, descartar o poner en cuarentena el archivo. Los resultados del análisis del archivo se almacenan en una caché local de modo que, si ese mismo archivo se procesa otra vez, los resultados se conocen inmediatamente sin necesidad de enviar el hash MD5 del archivo al centro de datos otra vez.
Puede enviar solicitudes a un servidor local APT Blocker en las instalaciones si tiene uno en su red. En redes empresariales grandes, algunas organizaciones utilizan un servidor APT Blocker para fines de seguridad y de privacidad de datos. Para más información, consulte Configurar los Ajustes Avanzados de APT Blocker.
Si no hay una coincidencia con los resultados disponibles de un archivo previamente analizado, ese archivo específico no ha sido visto o analizado anteriormente. El archivo entonces se envía al centro de datos donde recibe un análisis profundo para la detectar actividad APT en un entorno tipo sandbox de última generación. El análisis se produce al mismo tiempo que la transferencia de archivos. Los datos que APT Blocker envía al centro de datos se eliminan automáticamente cuando se completa el análisis. Para servidores proxy que no sean SMTP e IMAP, la conexión se permite mientras el dispositivo espera el resultado del análisis. Cuando se devuelve el resultado, si hay evidencia de actividad de malware en el archivo, su Firebox puede generar una notificación de alarma. Para obtener más información sobre cómo monitorizar la actividad APT Blocker y cómo usar informes para rastrear las acciones de APT Blocker, consulte Monitorizar la Actividad de APT Blocker.
Acerca de APT Blocker y los Límites de Escaneo
Para usar APT Blocker, debe tener una llave de licencia que habilite APT Blocker y Gateway AntiVirus. El límite de tamaño de escaneo de Gateway AntiVirus también limita el tamaño máximo de los archivos que APT Blocker envía para su análisis. Los límites predeterminados de escaneo varían entre modelos del dispositivo. Para obtener información sobre los límites de escaneo por modelo, consulte Acerca de los Límites de Escaneo del Gateway AntiVirus. Para obtener información acerca de cómo configurar el límite de escaneo, consulte Configurar Acciones de Gateway AntiVirus.
Aunque APT Blocker no puede escanear ni analizar archivos parciales, la mayoría del malware se entrega en archivos más pequeños de 1 MB de tamaño. Es menos probable que los archivos más grandes se propaguen rápidamente de forma viral.
APT Blocker puede analizar archivos de hasta 10 MB de tamaño. Si establece el límite de análisis de Gateway AntiVirus a más de 10 MB, APT Blocker no analiza archivos de más de 10 MB y genera el mensaje de registro “El tamaño del archivo supera el límite de tamaño de envío”. En Fireware 12.3 Actualización 1 o superior, APT Blocker puede enviar los valores hash MD5 de archivos de más de 10 MB al centro de datos basado en la nube.
Políticas de Proxy Admitidas
APT Blocker puede escanear archivos para estas políticas de proxy:
- Proxy HTTP
- Proxy HTTPS, si APT Blocker está habilitado en la acción de proxy HTTP usada para la Inspección de Contenido
- Proxy FTP
- Proxy SMTP
- Proxy IMAP
- Proxy POP3
Para obtener información acerca de APT Blocker en los servidores proxy SMTP e IMAP, consulte APT Blocker en Proxies SMTP e IMAP.
Tipos de Archivos Admitidos
APT Blocker puede escanear estos tipos de archivo:
- Archivos de Windows PE (Portable Executable)
Esto incluye archivos con extensiones .cpl, .exe, .dll, .ocx, .sys, .scr, .drv y .efi usados en versiones de 32 y 64 bits de los sistemas operativos Windows. - Documentos de Adobe PDF
En Fireware v12.7 y superior, APT Blocker no envía archivos PDF no reconocidos para su análisis a menos que la casilla de selección Enviar archivos PDF al centro de datos para análisis esté seleccionada en los Ajustes Avanzados.
- Documentos de Microsoft Office
- Documentos de Formato de Texto Enriquecido (RTF)
- Archivos ejecutables de Android (.apk)
- Archivos de aplicación de Apple Mac (.app)
- Archivos JavaScript (.js) solo en archivos adjuntos de correo electrónico
- Documentos de Hanword (.hwp) (Corea)
- Archivos ISO (.iso)
APT Blocker también puede examinar archivos dentro de ficheros comprimidos. APT Blocker admite estos tipos de archivos de fichero:
- gzip
- tar
- zip
- rar
- 7z
APT Blocker no escanea archivos que se han agregado a la lista de Excepciones de Archivos. Para más información, consulte Configurar Excepciones de Archivo.
Niveles de Amenaza de APT
APT Blocker categoriza la actividad APT en base a la gravedad de la amenaza:
- Alto
- Medio
- Bajo
- Limpio
Los niveles de amenaza Alto, Medio y Bajo indican la gravedad del malware. Esta clasificación se determina en base a una puntuación asignada al archivo cuando es analizado por APT Blocker. El nivel Alto indica un puntaje más alto debido a que se identificaron un mayor número de características de malware en el análisis. Le recomendamos que considere todos estos niveles de amenaza como malware y que utilice la acción predeterminada Descartar.
Para los niveles de amenaza Alto, Medio y Bajo, puede asignar una acción (Permitir, Descartar, Bloquear y Poner en Cuarentena), y habilitar la alarma, notificación y la configuración de generación de registros.
El nivel de amenaza Limpio indica que el archivo fue escaneado por la comprobación hash inicial del archivo o mediante carga al centro de datos en la nube APT Blocker, y se determinó que no contenía malware. La acción para el nivel de amenaza Limpio se establece por defecto como Permitir y no puede modificarse. El nivel de amenaza Limpio le ayuda a rastrear el estado de sus archivos analizados por APT Blocker que están definidos como limpios y no contienen malware. Asegúrese de marcar la casilla Registro para registrar el estado de los archivos limpios.
WatchGuard le recomienda seleccionar las opciones de Alarma y Registro para todos los niveles de amenaza en su configuración para monitorizar la actividad de APT Blocker.
Habilitar y Configurar APT Blocker
Para habilitar APT Blocker en su Firebox, debe:
- Obtener una Llave de Licencia del Firebox
- Agregar o Eliminar Manualmente una Llave de Licencia
- Habilitar el Gateway AntiVirus en una Política de Proxy
- Configurar APT Blocker
APT Blocker forma parte del mismo proceso de escaneo que Gateway AntiVirus. Cuando habilita APT Blocker en una acción de proxy, APT Blocker escanea el contenido solo cuando éste coincide con una regla de acción de proxy configurada con la acción AV Scan.