Temas Relacionados
Un ataque de Amenaza Persistente Avanzada (APT) es un tipo de ataque de red que usa malware avanzados y vulnerabilidades de día cero para conseguir acceso a redes y a datos confidenciales durante períodos extendidos de tiempo. Los ataques APT son altamente sofisticados y a menudo se enfocan en instituciones específicas y de alto perfil tales como organismos de gobierno o compañías del sector financiero. El uso de este malware avanzado también se ha ampliado para atacar redes y organizaciones más pequeñas y de menor perfil.
Como los ataques APT utilizan las técnicas más recientes de malware y vulnerabilidades de día cero (defectos que los vendedores del software todavía no han descubierto o arreglado) para infectar y difundirse dentro de una red, las técnicas de escaneo tradicionales y basadas en firmas no proporcionan la protección adecuada contra estas amenazas. El malware de APT está diseñado para residir dentro de una red durante un período de tiempo extendido. La comunicación desde el malware está oculta, y toda la evidencia de la presencia del malware es eliminada, lo que permite que se evada la detección.
El APT Blocker es un servicio de suscripción que utiliza el análisis de emulación de sistema completo para identificar las características y comportamiento del malware de APT en los archivos y adjuntos de correo electrónico que ingresan a su red. APT Blocker no utiliza firmas como otros escaneadores tradicionales, tales como programas antivirus. Los archivos que ingresan a su red se escanean y se genera un archivo hash MD5. Este hash MD5 se envía al centro de datos en la nube de APT Blocker por HTTPS. APT Blocker compara el archivo con una base de datos de archivos analizados y devuelve inmediatamente los resultados del escaneo. Si el análisis encuentra una coincidencia con una amenaza de malware conocida, puede tomar una acción inmediata con respecto al archivo, como bloquear, descartar o poner en cuarentena el archivo. Los resultados del análisis del archivo se almacenan en una caché local de modo que, si ese mismo archivo se procesa otra vez, los resultados se conocen inmediatamente sin necesidad de enviar el hash MD5 del archivo al centro de datos otra vez.
Puede enviar solicitudes a un servidor local APT Blocker en las instalaciones si tiene uno en su red. En redes empresariales grandes, algunas organizaciones utilizan un servidor APT Blocker para fines de seguridad y de privacidad de datos. Para obtener más información, consulte Configurar los Ajustes del Servidor de APT Blocker.
Si no hay una coincidencia con los resultados disponibles de un archivo previamente analizado, ese archivo específico no ha sido visto o analizado anteriormente. El archivo entonces se envía al centro de datos donde recibe un análisis profundo para la detectar actividad APT en un entorno tipo sandbox de última generación. El análisis se produce al mismo tiempo que la transferencia de archivos. Para proxies que no sean SMTP e IMAP, la conexión se permite mientras el dispositivo espera el resultado del análisis. Cuando se devuelve el resultado, si hay evidencia de actividad de malware en el archivo, su Firebox puede generar una notificación del alarma. Para obtener más información sobre cómo monitorear la actividad APT Blocker, y usar informes de WatchGuard Dimension para rastrear las acciones de APT Blocker, vea Monitorear la Actividad de APT Blocker.
Acerca de APT Blocker y los Límites de Escaneo
El tamaño máximo de los archivos que APT Blocker envía para su análisis se basa en el límite de escaneo de Gateway AntiVirus. El límite de escaneo predeterminado es de 1 MB para la mayoría de los dispositivos Firebox. Firebox T10, T15 y XTM 2 Series tienen un ajuste predeterminado de 512 KB. Aunque APT Blocker no puede escanear ni analizar archivos parciales, la mayoría del malware se entrega en archivos más pequeños de 1 MB de tamaño. Es menos probable que los archivos más grandes se propaguen rápidamente de forma viral. Para obtener información detallada sobre los límites de escaneo, consulte Acerca de los Límites de Escaneo del Gateway AntiVirus. Para obtener información acerca de cómo configurar el límite de escaneo, consulte Configurar Acciones del Gateway AntiVirus.
APT Blocker acepta archivos de hasta 10 MB de tamaño para su análisis. Si establece un límite de escaneo de Gateway AntiVirus superior a 10 MB, APT Blocker no envía el archivo para su análisis, y genera el mensaje de registro “el tamaño de archivo supera el tamaño límite de envío”.
Políticas de Proxy Admitidas
APT Blocker puede escanear archivos para estas políticas de proxy:
- Proxy HTTP
- Proxy HTTPS, si APT Blocker está habilitado en la acción de proxy HTTP usada para la Inspección de Contenido
- Proxy FTP
- Proxy SMTP
- Proxy IMAP
- Proxy POP3
Para obtener información acerca de APT Blocker en los proxies SMTP e IMAP, consulte APT Blocker en Proxies SMTP e IMAP.
Tipos de Archivo Admitidos
APT Blocker puede escanear estos tipos de archivo:
- Archivos Windows PE (Ejecutables Portátiles)
Esto incluye archivos con extensiones .cpl, .exe, .dll, .ocx, .sys, .scr, .drv y .efi usados en versiones de 32 y 64 bits de los sistemas operativos Windows. - Documentos de Adobe PDF
- Documentos de Microsoft Office
- Documentos de Formato de Texto Enriquecido (RTF)
- Archivos ejecutables de Android (.apk)
- Archivos de aplicación de Apple Mac (.app)
- Archivos JavaScript (.js) solo en archivos adjuntos de correo electrónico
APT Blocker también puede examinar archivos dentro de ficheros comprimidos. APT Blocker admite estos tipos de archivos de fichero:
- gzip
- tar
- zip
- rar
- 7z
APT Blocker no escanea archivos que se han agregado a la lista de Excepciones de Archivos. Para obtener más información, consulte Configurar Excepciones de Archivo.
Niveles de Amenaza de APT
APT Blocker categoriza la actividad APT en base a la gravedad de la amenaza:
- Alto
- Media
- Bajo
- Limpio
Los niveles de amenaza Alto, Medio y Bajo indican la gravedad del malware. Esta clasificación se determina en base a una puntuación asignada al archivo cuando es analizado por APT Blocker. El nivel Alto indica un puntaje más alto debido a que se identificaron un mayor número de características de malware en el análisis. Le recomendamos que considere todos estos niveles de amenaza como malware y que utilice la acción predeterminada Descartar.
Para los niveles de amenaza Alto, Medio y Bajo, puede asignar una acción (Permitir, Descartar, Bloquear y Poner en Cuarentena), y habilitar la alarma, notificación y la configuración de generación de registros.
El nivel de amenaza Limpio indica que el archivo fue escaneado por la comprobación hash inicial del archivo o mediante carga al centro de datos en la nube APT Blocker, y se determinó que no contenía malware. La acción para el nivel de amenaza Limpio se establece por defecto como Permitir y no puede modificarse. El nivel de amenaza Limpio le ayuda a rastrear el estado de sus archivos analizados por APT Blocker que están definidos como limpios y no contienen malware. Asegúrese de marcar la casilla Registro para registrar el estado de los archivos limpios.
WatchGuard le recomienda seleccionar las opciones de Alarma y Registro para todos los niveles de amenaza en su configuración para monitorear la actividad de APT Blocker.
Habilitar y Configurar APT Blocker
Para habilitar APT Blocker en su Firebox, debe:
- Obtener una Llave de Licencias de Firebox
- Agregar o Eliminar Manualmente una llave de licencias
- Habilitar el Gateway AntiVirus en una Política de Proxy
- Configurar APT Blocker
APT Blocker forma parte del mismo proceso de escaneo que Gateway AntiVirus. Cuando habilita APT Blocker en una acción de proxy, APT Blocker escanea el contenido solo cuando éste coincide con una regla de acción de proxy configurada con la acción AV Scan.