El reciente aumento en el número y la gravedad de los ataques cibernéticos en todo el mundo demuestran que estamos frente a una era conocida como la “industrialización de la piratería”, que ha creado un sector más rápido, más eficaz y más eficiente aprovechando los ataques a nuestro infraestructura de TI. Impulsados por el deseo de obtener beneficios o la atención económica o política a su causa, los hackers están ejecutando ataques más sofisticados y dañinos que al mismo tiempo son cada vez más fáciles de poner en marcha con herramientas ampliamente disponibles.
Para entender la serie actual de amenazas y poder defender eficazmente contra ellas, los profesionales de seguridad de TI necesitan empezar a pensar como atacantes. Con una comprensión más profunda del enfoque metódico que los atacantes utilizan para ejecutar su misión, como lo demuestra la “cadena de ataque”, se puede identificar formas de fortalecer las defensas. La cadena de ataque, una versión simplificada de la “cadena de matanza cibernética”, describe los acontecimientos que conducen a través de las fases de un ataque. Echemos un vistazo:
Encuesta. Los atacantes primero entran a su infraestructura e implementan programas maliciosos de vigilancia para ver la imagen completa de su entorno, sin importar donde existe – ya sea en red, puntos finales, móvil y virtual, para entender los tipos de ataque que están disponibles, las herramientas de seguridad que se implementan y las cuentas que pueden ser capaces de capturar y utilizar permisos elevados. Este malware utiliza los canales habituales de comunicación y pasa desapercibido, ya que lleva a cabo el reconocimiento.
Escribir. Saber que están en contra de los atacantes, luego crear malware dirigido y sensible al contexto. Los ejemplos que hemos visto incluyen un malware que detecta si está en aislamiento de procesos y actúa de forma diferente que en un sistema de usuario, otro malware que comprueba la instalación del paquete del idioma (como en el caso de Flame) antes de la ejecución y finalmente un malware que toma diferentes acciones si es en una corporativa o frente a una red doméstica. Los atacantes extenderán las actividades de vigilancia para capturar detalles importantes de donde están los activos y cómo llegar a ellos. Se dirigen a su organización específica, aplicaciones, usuarios, socios, procesos y procedimientos.
Test. A continuación, se aseguran de que el malware funciona. Los creadores del malware tienen mucho dinero y redes de intercambio de información bien desarrolladas. Ellos recrean el entorno y prueban el malware contra su tecnología y herramientas de seguridad para asegurarse de que pasa a través de las defensas sin ser detectados, en efecto, después de los procesos de desarrollo de software como las pruebas de control de calidad o banco de pruebas. Este enfoque es tan fácil de manejar que los creadores de malware ahora ofrecen garantías de que su malware no sea detectado durante seis a nueve meses. Esto es verdadera industrialización de hacking.
Ejecutar. Recordemos que no estamos hablando de los viejos tiempos en que los atacantes estaban en ella para la publicidad. Los incentivos financieros para la reserva son mucho mayores que la gloria. Los atacantes, navegan a través de la red extendida, consciente del medio ambiente, evadiendo la detección y moviéndose lateralmente hasta llegar a la meta.
Cumplir la misión. A veces, el final del juego es reunir datos, en otros casos se trata simplemente de perturbar o destruir. Sea lo que sea, tienen más información y un plan de ataque encaminado a maximizar el éxito de su misión. Una vez que la misión se ha completado se eliminan pruebas, pero hay que mantener una ‘cabeza de playa’ para futuros ataques.
Teniendo en cuenta la cadena de ataque, ¿qué pueden hacer los defensores de reforzar las defensas? Está bastante claro que los atacantes están aprovechando tres capacidades clave para afinar sus misiones. Los defensores deben utilizar estas mismas capacidades para una mejor protección contra los ataques, como:
1. Visibilidad: Los atacantes tienen una visibilidad completa de su entorno de TI, lo que usted también deberá tener. Para proteger más eficazmente su organización necesita una base de información a través de su extensa red (que incluye los puntos finales, dispositivos móviles y entornos virtuales) con la visibilidad de todos los activos, sistemas operativos, aplicaciones, servicios, protocolos, usuarios, el comportamiento de la red, así como posibles amenazas y vulnerabilidades. Busque tecnologías que no sólo proporcionen la visibilidad, pero que también ofrecen la conciencia contextual mediante la correlación de grandes cantidades de datos relacionados con su entorno específico para permitir decisiones de seguridad más informadas.
2. Automatización: Es necesario trabajar con más inteligencia que con más rigidez. Los hackers están utilizando métodos automatizados para simplificar y agilizar los ataques. Utilizando procesos manuales para defenderse contra este tipo de ataques es inadecuado. Usted necesita tomar ventaja de las tecnologías que combinan conocimiento contextual con automatización para optimizar las defensas y resolver incidentes de seguridad más rápidamente. Cambios de políticas y normas, la aplicación y afinación son sólo algunos ejemplos de procesos que se pueden automatizar de forma inteligente para ofrecer protección en tiempo real de amenazas dinámicas y entornos de TI.
3. Inteligencia: En una época en que los hackers están llevando a cabo un extenso reconocimiento antes de lanzar ataques, la inteligencia de seguridad es fundamental para derrotar los ataques. Las tecnologías que aprovechan el poder de la nube y los análisis de datos grandes otorgan la inteligencia de seguridad que necesita, continuamente dando seguimiento y almacenando la información sobre los archivos desconocidos y sospechosos a través de una amplia comunidad y la aplicación de análisis de grandes volúmenes de datos para identificar, entender y detener las últimas amenazas. No sólo se puede aplicar esta información para asegurar retrospectivamente su entorno, mitigar los daños de las amenazas que escapan a la detección inicial, pero también puede actualizar las protecciones de seguridad más eficaces.
En un mundo en el que los atacantes parecen estar ganando una ventaja, los defensores tienen que combatir el fuego con fuego. Las tecnologías de seguridad que permiten la visibilidad, la automatización y la inteligencia pueden ayudar a romper la cadena de ataque y frustrar los ataques.
– Josué Hernández
Josúe Hernández es Security Architect de Sourcefire México.