Luis López Responsable del área de Ciberseguridad de Trend Micro Iberia.

Reconocer que la victoria total contra el malware es imposible es solo cuestión de tiempo. Gobiernos y organizaciones privadas han tardado demasiado en descubrirlo, o quizá sería más apropiado decir en asumirlo. Ahí fuera hay un enemigo que es más coordinado, más ágil y cauteloso, y está mejor financiado que nunca. Pude tratarse de personas que actúan individualmente, pueden formar parte de bandas criminales, o podrían estar patrocinados por Estados, pero todos tienen las herramientas para llevar a cabo ataques combinados y organizados con un alto nivel de sofisticación como las amenazas persistentes avanzadas (APT) o ataques dirigidos. Los ataques dirigidos serán una norma en el futuro y veremos cómo los atacantes utilizarán nuevas técnicas y medios para conseguir objetivos de alto valor.  En definitiva, estamos bajo la sombra de un ataque constante. Entones ¿qué hacer? ¿Cómo debemos combatir esta nueva corriente de malware que es capaz de eludir las medidas de seguridad tradicionales? ¿Por qué son tan difíciles de detectar?

Una respuesta que podría servir para responder de forma general a estas y a otras preguntas del estilo sería “por su alto grado de personalización, pues están cuidadosamente diseñadas para tu organización”. La explicación de que los ataques dirigidos tengan tanto éxito y sean tan complicados de detectar es la siguiente:

• Tienen un conocimiento en profundidad de los empleados.
• Es un malware desarrollado y probado para atravesar los sistemas de seguridad estándar de la empresa.
• Cuentan con métodos creados para aprovechar los posibles problemas que pudiese haber en el entorno y en las aplicaciones.
• Existen interacciones humanas que guían el ataque y lo despliegan de forma inconsciente en las redes dentro de la organización.
• Son un objetivo dirigido de forma específica a tus datos y propiedad intelectual.

¿Cómo luchar contra los ataques dirigidos?  

Los CISO de las empresas, al igual que otros perfiles ejecutivos, reconocen los peligros asociados a los ataques dirigidos y están reforzando sus defensas como respuesta. Desafortunadamente, esta única acción no es suficiente. En realidad, estas amenazas se diseñan para frustrar una arquitectura de seguridad en profundidad como se describe a continuación. Fortaleciendo las defensas de seguridad existentes, añadiendo capas tácticas de seguridad, o mejorando los procesos de seguridad se puede tener un riesgo más bajo sobre todo, pero esto no será suficiente para tratar con la sofisticación y perseverancia de las APT y otros tipos similares de ataques dirigidos.

Para controlar estos ataques, las organizaciones necesitan nuevas contramedidas de seguridad especialmente diseñadas para controlar las tácticas únicas empleadas por estas amenazas. Así, las tecnologías de seguridad de los ataques dirigidos deberían:

• Detectar las sutilezas de las APT sobre la red. Las APT operan a través de una combinación de propagación de malware, comunicaciones Command-and-Control (C&C), las descargas de software y, por último, la extracción de datos. Para controlar esta serie de tácticas, las tecnologías de seguridad de las APT deben ser desplegadas sobre redes corporativas para examinar todo el tráfico entrante/saliente de la compañía. Por lo general, los sistemas de seguridad contra las APT actúan como un proxy para los clientes a la hora de inspeccionar los adjuntos de e-mail, enlaces URL y contenidos web para detectar y bloquear ejecutables maliciosos. De esta forma las soluciones de seguridad contra APT pueden incluso detectar malware de día cero basado en la reputación de su origen o de sus características de su comportamiento. Al poder ser infectados los sistemas cuando son usados de forma remota, las pasarelas de APT deben ser capaces de responder a el tráfico del tráfico C&C basado en reputación de URL, comportamiento de DNS o contenido específico dentro de los propios paquetes IP de C&C.
• Integrarse con la inteligencia de seguridad en la nube en tiempo real. Quienes están detrás de los ataques dirigidos son muy inteligentes, ambiciosos y creativos, suelen cambiar sus tácticas regularmente para burlar todas las defensas de seguridad. Para mantenerlos con patrones de cambio, los sistemas de seguridad de APT deben estar ayudados en tiempo real con inteligencia de sistemas basados en cloud e investigadores. Esa inteligencia debería incluir detalles sobre la dirección IP/Puntuación de reputación de URL, ficheros conocidos basados en web, huellas de comunicaciones, etc. Todas las tecnologías de seguridad en ataques dirigidos ofrecidas por los fabricantes ofrecen algún tipo de inteligencia como parte de sus productos. En este punto lo más importante es el alcance de la inteligencia basada en nube (por ejemplo,  que tipo de amenazas y vulnerabilidades se trazan, cobertura geográfica, etc.), análisis actualizados (análisis automatizado basado en máquinas, análisis humano, etc.), y el grado de integración entre la inteligencia de seguridad y la actual detección/prevención llevada a cabo por productos basados en red.
• Proporcionar herramientas que permitan análisis y control. Mientras la mayoría de las organizaciones será contenida con detección y bloqueo de los ataques, las empresas preocupadas por la seguridad podrán querer complementar la gestión de amenazas con capacidades analíticas para explotar la detección, trazar el comportamiento del malware, grabar las URL y direcciones IP de servidores de C&C, etc. El mejor sistema de seguridad para APT ofrecerá captura de datos autónoma y analítica, así como la integración con las plataformas SIEM líderes de la industria.
• Integrar elementos de la arquitectura de seguridad. Dada la urgencia de control de los ataques dirigidos, las investigaciones del ESG indican que las organizaciones más grandes compran y despliegan tecnologías de seguridad específicas para estos ataques en sus redes. Mientras ésta es la estrategia más eficiente a corto plazo, los sistemas de seguridad contra ataques dirigidos necesitarán ser parte de una arquitectura de seguridad más amplia, a lo largo del tiempo. Por ejemplo, muchas APT se inician con un adjunto en el email que contiene código malicioso que explota una aplicación o una vulnerabilidad a nivel de sistema. Las tecnologías de seguridad para APT deben bloquear estos ataques mientras, de forma simultánea, trabajan con la seguridad de los endpoints, firewalls, IDS/IPS, SIEM y los sistemas de seguridad del email para ajustar la política de seguridad, forzado y monitorización continua.

En definitiva, se trata de tener un mayor conocimiento y claridad de la situación a través de herramientas que ayuden a monitorizar la integridad de los archivos y la información para luego actuar sobre esa inteligencia desbaratando los planes de los atacantes.

Al final todo se reduce a ponérselo tan difícil como sea posible a los ciberdelincuentes cuando quieran extraer datos de una empresa, elevando el malestar a un nivel donde ellos tengan que reconsiderar el ataque, y esto requiere un cambio de mentalidad en la mayoría de las organizaciones para lograrlo. 

Noticias Relacionadas