Parece que casi cada cinco años nos enfrentamos a un nuevo ciclo de amenazas – desde virus y gusanos hasta spyware y rootkits. Hoy nos encontramos luchando contra la última ola: el malware avanzado, ataques selectivos y las amenazas persistentes avanzadas (APT). Mientras que estas amenazas han demostrado ser más perjudiciales que cualquier otra en sus inicios, las tecnologías están disponibles para hacer frente a ellas. Sólo tenemos que seleccionar las más adecuados y aplicarlas correctamente.

En este panorama de amenazas en constante evolución lo que usted necesita preguntarse es: ¿Estoy utilizando los criterios adecuados para determinar cómo proteger mejor a mi organización de ataques avanzados?

El Informe sobre investigaciones de filtración de datos de Verizon del 2013 ofrece varias recomendaciones sobre cómo hacer frente con mayor eficacia a las violaciones. A continuación se presentan algunas de las recomendaciones con las tecnologías y técnicas para tener en cuenta y algunas preguntas específicas para los proveedores para ayudarle a tomar decisiones más informadas para defenderse contra el malware avanzado y ataques dirigidos.

1. Recoger, analizar y compartir datos de incidentes para crear una rica fuente de datos que pueda impulsar la eficacia del programa de seguridad. Las redes modernas incluyen no sólo las redes tradicionales, sino también los puntos finales, sistemas virtuales y dispositivos móviles. Estas redes extendidas constantemente evolucionan y generan nuevos vectores de ataque – por ejemplo, las aplicaciones habilitadas para la web y móviles, hipervisores, redes sociales, navegadores web y dispositivos que se encuentren fuera de la red corporativa. Considere la posibilidad de enfoques de seguridad que utilizan un modelo de telemetría para recopilar datos a través de estas redes extendidas y aprovechar grandes análisis de datos y el poder de la nube para almacenar continuamente y analizar datos de estas redes y sus componentes. Las preguntas clave para hacerle a su proveedor son:

• ¿Cómo se puede reunir información de inteligencia en todos los componentes de las redes extendidas de hoy?

• ¿Cómo es que aprovechan los datos grandes para la determinación de la amenaza persistente?

• ¿Cómo se analiza el malware para determinar exactamente lo que hace?

2. Recoger, analizar y compartir información de amenazas de inteligencia táctica, especialmente los indicadores de compromiso (IOC) que pueden ayudar en gran medida como defensa y detección. Las amenazas pueden pasar actualmente a través de las defensas y convertirse en maliciosamente redirigidos al día siguiente. La detección de punto en el tiempo y el bloqueo ya no es suficiente. Las tecnologías necesitan abordar el continuo ataque completo – antes, durante y después de un ataque, con una capacidad continua. Identificar los enfoques de seguridad que utilizan análisis en la nube para evaluar los archivos sospechosos o desconocidos contra la última inteligencia de amenazas durante un período prolongado de tiempo y compartir esa información a través de la comunidad de usuarios de “inmunidad colectiva”. La capacidad de realizar análisis más profundos para correlacionar eventos, encuentra sistemas que muestren síntomas de compromiso activo y automatizar el análisis y prioridad de los riesgos pueden mitigar los daños y remediar la velocidad. Las preguntas clave para hacerle a su proveedor son:

• Su análisis de malware, ¿cómo actualiza automáticamente la capacidad de detección a través de puntos de control y en todos los clientes?

• ¿Cómo se puede reunir información de inteligencia sobre las amenazas emergentes?

• ¿Cómo eres capaz de confirmar si un dispositivo o sistema se ve comprometida activamente?

3. Sin restar importancia a la prevención, se centran en una mejor y más rápida detección a través de una combinación de personas, procesos y tecnología. Cuando se produce un incidente, ¿se puede responder con rapidez y eficacia? Usted necesita tecnologías que monitoreen continuamente los archivos que se consideren inicialmente seguros o desconocidos, y que le permitan aplicar la seguridad retrospectiva – la capacidad de identificar rápidamente, averiguar el alcance, seguimiento, investigar y remediar si estos archivos se determinaron posteriormente para ser maliciosos. Sin embargo, frustrar los ataques no puede ser sólo acerca de los productos, sino también de procesos y el personal. En el caso de un ataque que necesita procesos documentados de Respuesta a Incidentes y políticas y un equipo designado que puede aprovechar los datos de sus herramientas de seguridad para tomar decisiones informadas y actuar con rapidez. Las preguntas clave para hacerle a su proveedor son:

• ¿Cómo hacer frente a una amenaza si la detección ocurre horas o días más tarde?

• ¿Qué formas de control usted posee para detener un brote e identificar las causas de raíz?

• ¿Cómo está respaldada la respuesta a incidentes con datos que pueden ser utilizados para evaluar un evento y desarrollar e implementar contramedidas?

El informe de Verizon afirma: “2012, quizás más que en cualquier otro año, la gran escala y diversa naturaleza de las violaciones de datos y otros ataques a la red tomó el centro del escenario”. Pero a medida que los atacantes han dejado de innovar, también lo han hecho los defensores. La tecnología y los procesos están aquí para una protección más eficaz de los cada vez más complejos entornos de TI contra ataques sofisticados. Al hacer las preguntas adecuadas se puede tener la confianza de que usted está haciendo las mejores decisiones para proteger su organización.

– Antonio Ramírez

Antonio Ramírez es Systems Engineer de Sourcefire México