Este tipo de ataques tiene características primordiales, no cualquier ataque se considerará APT, esta tiene que ser:
Perdurar en el tiempo, como por ejemplo, la infección de un equipo y así poder aprovechar las vulnerabilidades de una maquina desconocidas oficialmente. Debe de ser un ataque dirigido, no puede ser aleatorio para hablar de APT, como por ejemplo, ataques gubernamentales o militares, con el objetivo de obtener información sensible de la compañía o empresa.
Características:
Estas tienden a permanecer ocultas en un sistema, por lo tanto, por lo general pasan desapercibidas. El atacante por lo general es una persona mas paciente que el resto y tiene todo planificado, con un objetivo en concreto. Muchas veces los fines de realizar estos ataques son económicos.
Un ataque a una plataforma mal configurada o con información sensible al acceso de todos no es un APT, es solo una irresponsabilidad del administrador de sistemas.
Si se toma literalmente el significado del APT, podemos segmentar esto en tres partes.
Amenazas: Se perciben cuando se lleva un objetivo en concreto, como por ejemplo espionaje industrial.
Persistente: Se debe prolongar en el tiempo, posee un tiempo de estudio, puede tener ingeniería social, y por lo general se realiza un estudio de la plataforma objetivo dejando al descubierto posibles vulnerabilidades de sistemas. Para que sea persistente el ataque debe ser estudiado analizado y ejecutado, por lo tanto se toma el tiempo empleado en su ejecución y no el tiempo propio del ataque.
Avanzado: Por lo general son ataques de Día Cero, y tienen cierta complejidad o son novedosos cuando se realiza el ataque al objetivo atacado.
Los metodos mas comunes para la infección de una red serian: Ingeniería social, llevar dispositivos externos a la compañía fuera del compliance de seguridad interno, por lo general estamos detras de un BYOD, Vulnerabilidades propias del sistema, phishing dirigido, o netamente la distracción de una persona que tiene acceso al sistema.
