PROGRAMA DEFINITIVO

¿Por qué continúa aumentando el número de amenazas persistentes avanzadas (APT, por sus siglas en inglés? ¿Cómo es posible que continúen apareciendo año tras año en las listas de principales preocupaciones de los CIOs y CISOs? ¿Está ofreciendo la industria soluciones ante esta situación?

Una edición más (ya la XVI), ISMS Forum reunirá a los principales expertos en una Jornada Internacional para debatir sobre los asuntos candentes de la Seguridad TIC, entre los que se siguen encontrando las temidas APTs. Darren Thomson, Chief Technology Officer de Symantec para EMEA Loic Guezo, Information Security Evangelist y Director para el Sur de Europa de Trend Micro; y Vicente Díaz, Security Malware Analyst, de Kaspersky Lab, debatirán en torno a estas cuestiones durante la mesa redonda “Strategies for an effective defence against APTs”, que estará moderada por el partner de Deloitte, Fernando Picatoste.

Los portavoces de tres de los proveedores de soluciones de seguridad más importantes a nivel mundial ofrecerán al público asistente las claves de la persistencia de estas amenazas, profundizarán en los principios que continúan haciendo de las APTs un arma efectiva e indicarán cuáles son las recomendaciones más sólidas para protegerse de ellas.

La mayor parte de las organizaciones que se ven obligadas a luchar contra las APTs destacan su gran poder de mutación como una de las principales dificultades que entrañan, un extremo que dificulta la acción de los firewall, a pesar de que han evolucionado mucho tecnológicamente desde que nacieron para proteger el perímetro.

“La estrategia de seguridad unificada es la unica manera de mantener las resiliencia ante ataques de este tipo”, asegura Darren Thomson en los preparativos de esta sesión. Para evitar que las ciberamenazas accedan a sistemas críticos, las empresas deben buscar soluciones de seguridad que impidan los ataques dirigidos, y las amenazas persistentes avanzadas, con seguridad inteligente y una protección en capas que ofrezca más que un antivirus. Según manifestaba Thomson en el Estudio Internet Threat Report de Symantec, más del 56% de los ataques proviene de Hackers. Para luchar de manera más contundente una operación coordinada entre Symantec y otras compañías de seguridad ha dado un importante golpe a Backdoor.Hikit y a otras herramientas de malware utilizadas por el grupo de ciberespionaje llamado Hidden Lynx, basado en China. También cabe recordar el caso “Dragonfly” en la industria energética en Europa y EEUU.

No obstante, si existe un sector especialmente afectado por las APTs es el financiero. Según revelaba Kaspersky Lab el pasado mes de octubre, se descubrió una pieza de malware que iba más allá de los ordenadores o los smartphones para infectar los cajeros automáticos y permitir a los atacantes vaciarlos literalmente. De inmediato, la Interpol alertó a los países afectados y está colaborando en las investigaciones en curso para resolver el robo de miles de millones de dólares en efectivo.

La criatura que generó el desasosiego en la banca era identificada por la firma rusa como Backdoor.MSIL.Tyupkin, una pieza de malware hallada en cajeros automáticos de América, Europa y Asia. Se trata de un ataque directo al estilo de las APTs que aprovecha la debilidad de la infraestructura de los cajeros. Tampoco conviene olvidar una de las APT más dañinas de 2014, también destapada por Kaspersky: Careto, un malware activo desde 2007, con presencia en 31 países y con objetivos tan críticos como instituciones gubernamentales, oficinas diplomáticas y embajadas, compañías de petróleo y gas u organizaciones de investigación. Lo que hace especialmente difícil de combatir a esta APT es su complejidad, ya que cuenta con múltiples componentes (malware, rootkits y bootkits), además de versiones para Mac OS X, Linux y posiblemente Android e iOS. 

Inoperancia de las soluciones tradicionales

Una muestra más de la evolución de esta tipología de ataques fue la reportada recientemente por Trend Micro, compañía que también estará presente en la mesa, que afectaba a las organizaciones usuarias de SCADA, el sistema de seguridad industrial más extendido. La firma descubrió que los equipos que utilizan Microsoft Windows ejecutando la suite de soluciones CIMPLICITY son atacados con un correo electrónico de spear phishing. Este email contiene un archivo adjunto malicioso que intenta aprovechar la vulnerabilidad Sandworm en Windows y si el ataque tiene éxito, intenta descargar el malware Black Energy en el sistema, asociado con ataques dirigidos tipo APT que controla por completo y de forma remota un sistema corporativo.

Según los especialistas involucrados en este análisis, esta vulnerabilidad se habría estado utilizando para infectar equipos tras campañas de spear-phising originadas en Rusia y que contarían entre sus objetivos organizaciones ucranianas, de la OTAN, compañías energéticas (especialmente polacas) y organizaciones en otros países europeos. Ante estas injerencias, solo una defensa personalizada puede combatir eficazmente las APTs, tal y como defiende Trend Micro.

En conclusión, una nueva aproximación es necesaria. Así lo entienden también desde Symantec, que defiende ampliar el enfoque desde la prevención a la detección y la respuesta, según comentaba Brian Dye, vicepresidente senior de la firma, con motivo del lanzamiento de una nueva estrategia contra las amenazas persistentes avanzadas. "La seguridad de la red por sí sola no va a resolver el problema. Los adversarios sitúan en el punto de mira todos los controles, desde el gateway al correo electrónico y el endpoint”, detalló Dye. “Las organizaciones necesitan que la seguridad en estos puntos de control funcione al unísono, con capacidades de respuesta a incidentes e inteligencia global para vencer a los malos".

En este sentido ahonda un estudio global de ISACA publicado recientemente, que revela que una de cada cinco organizaciones (21 por ciento) ha sufrido en sus carnes un ataque tipo Advanced Persistent Threat, mientras que el 66 por ciento cree que solo es cuestión de tiempo convertirse en una nueva víctima. Solamente el 15 por ciento de las empresas consultadas por esta asociación profesional considera que está bien preparada frente a estos ataques y solo una de cada tres que han sido atacadas podría determinar la fuente de la amenaza.

Una vez más, los ciberdelincuentes caminan por delante de los buenos en materia de amenazas avanzadas. Las redes atacantes utilizan firmas de ataque único y novedoso (Zero Day), capaces de evadir los sistemas de defensa tradicionales, usando canales encubiertos y utilizando técnicas de ocultación durante largos periodos de tiempo.

Los ataques de “día cero” hallan vía libre en algunos sistemas o tecnologías tan extendidos como vulnerables: Adobe Reader, Internet Explorer, aplicaciones Java o Flash. En definitiva, las APTs, a día de hoy, continúan constituyendo uno de los peligros de mayor expansión a los que se enfrentan los profesionales de Seguridad TIC y son difícilmente evitables para la mayoría de las organizaciones, ya que el desafío más titánico es detectarlas.

Towards prevention with resilience…

and beyond! 

20 de noviembre de 2014
De 09.00 a 19.00hs
Auditorio Mutua Madrileña
Paseo de la Castellana, 33 Madrid

Noticias Relacionadas