Aumenta el número de gobiernos que patrocinan grupos cibercriminales

Categorías relacionadas:
Destacado, Seguridad

robo-datos

De acuerdo con el Informe de Inteligencia de Amenazas más reciente de NETSCOUT SYSTEMS, los grupos de cibercriminales encubiertos de amenazas persistentes avanzadas (APT, por sus siglas en ingles) patrocinados por el Estado están incrementando.

Leer más...



Una laptop, una Raspberry Pi y un USB bastan para cometer un robo cibernético

Categorías relacionadas:
Amenazas, Continuidad, Continuidad de negocios, CSO, Del día, Destacado, Estrategias, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Políticas y normas, Protección, Protección de datos, Seguridad, Seguridad, Tecnologías

laptop-usb-robo-cibernetico

Analistas de Kaspersky Labs descubrieron que, en varios robos cibernéticos a organizaciones financieras en Europa del Este, el acceso a las redes corporativa se realizó mediante un dispositivo desconocido, controlado por ciberdelincuentes escondido en los edificios de las empresas y conectado a la red. Hasta el momento, se han atacado al menos a ocho bancos de la región, con pérdidas estimadas en decenas de millones de euros.

Leer más...



Actores de crimeware diversifican sus métodos de ataque: NETSCOUT

Categorías relacionadas:
CSO, Destacado, Lo más reciente, Lo más reciente, Seguridad, Seguridad, Tendencias, Tendencias

CISO-seguridad

NETSCOUT Systems dio a conocer su Informe de Inteligencia de Amenazas NETSCOUT 2018, el cual cubre las últimas tendencias y actividades de los grupos estado nación de amenazas persistentes avanzadas (APT), las operaciones de crimeware y las campañas de ataque de denegación de servicio distribuido (DDoS).

Leer más...



Corea del norte, una amenaza a las infraestructuras críticas

Categorías relacionadas:
Cómo hacerlo, Del día, Destacado, Estrategia CIO, Lo más reciente, Movilidad, Seguridad, Tendencias

La firma española de seguridad digital de S21sec, lanzó una alerta para advertir del incremento de actividades de ciberespionaje; en especial en grupos conocidos como Lázarus, Scarcruft y Reaper APT, los cuales han mostrado vínculos con el régimen de Corea del Norte, cuyas acciones se reparten entre países de la región y del mundo occidental.

Leer más...



¿Son suficientes los firewalls para nuestra estrategia de seguridad?

Categorías relacionadas:
Administración, Administración del riesgo, Amenazas, Cómo hacerlo, Continuidad, CSO, Destacado, Estrategias, Identidad y Accesos, Lo más reciente, Lo más reciente, Malware y Amenazas, Productos de seguridad, Protección, Protección de datos, Seguridad, Seguridad, Seguridad, Tecnologías, Tendencias, Tips

suficientes-firewalls

Es cierto, la seguridad vive aún bajo el reinado de los firewalls. Son la herramienta principal para la protección de las redes y la forma más simple de defensa, y su concepto es entendido como la barrera que evita que los incendios se propaguen.

Aunque prácticamente todas las compañías cuentan con un firewall, el número y la complejidad de los ciberataques actuales ha aumentado constantemente en los últimos años.

Los principales actores en los ataques de hoy en día son equipos bien organizados con objetivos específicos, además de recursos, tiempo y experiencia para alcanzar sus metas.

Aunque cualquier empresa es susceptible a un ataque, los “malos” apuntan principalmente a los sistemas de información de organizaciones públicas, militares e industriales, y estos ataques, sin lugar a dudas, evolucionan constantemente y son cada vez más sofisticados. Desde hace unos años aparecieron en escena los APTs (Advanced Persistent Threats), que son la ejecución de un ataque sistemático, dividido en varias fases que se realizan en el tiempo, con el principal objetivo de obtener información altamente sensible.

Diferencias entre unos y otros

Las características que diferencian los APT de los ataques tradicionales son:

  1. Las APT hacen uso frecuente de explotaciones de día cero a través de ofuscación de código, siendo capaces de evadir la mayoría de los sistemas basados en firmas que usan los firewalls.
  2. Los APT son muy difíciles de detectar porque utilizan técnicas de bajo perfil que permanecen silenciosos para evitar su detección a largo plazo, con lo que permiten contrarrestar la limitada ventana de detección y correlación de los sistemas de seguridad.
  3. Los APT son selectivos. Solamente un número pequeño y cuidadosamente seleccionado de víctimas es el objetivo, generalmente en departamentos no técnicos de una organización.

Desde que se ha reconocido la existencia de los APT, los firewalls han evolucionado introduciendo cada vez más características para evitarlos, pero siguen sin ser capaces de contener estos ataques. Basándonos en la teoría de la computación, es imposible construir una herramienta perfecta de detección contra intrusos pues, en sus términos, esta tarea es un problema complejo, lo que quiere decir que el tiempo que tomaría detectar una brecha de seguridad producida por una APT es casi exponencial, haciéndose mayor en la medida que aumenta el ancho de banda y el tráfico que el firewall debe inspeccionar.

Teniendo en cuenta las características de los ataques APT y la incapacidad de las soluciones de seguridad actuales para abordarlas de manera efectiva, nace el cuestionamiento de ¿por qué el firewall sigue siendo la herramienta principal de seguridad informática a pesar de que el número de incidentes de seguridad continúa aumentando?

Esto requiere pensar en un cambio esencial en la forma en que se articulan las soluciones de seguridad.

Más allá del online

Se sabe que los atacantes están dispuestos a mantener sus acciones durante un extenso período de tiempo para evadir los sistemas de detección. Por lo tanto, es válido modificar el enfoque de detección y no sólo pensar en herramientas online como única opción. Un enfoque orientado a la captura de paquetes está limitado significativamente por parte de los recursos con que cuente la máquina donde está instalado el firewall.

Por otro lado, una perspectiva donde se use un análisis de datos offline abre la posibilidad del análisis a fondo de gran cantidad de información extraída de los paquetes que circulan en la red, usando técnicas de tratamiento de datos y tecnologías de Data Analytics, que aportan algoritmos significativamente más avanzados para el análisis y la correlación de información.

Esta visión ayuda a complementar la estrategia de seguridad evitando los intentos de evasión que usan las APT y que no logran ser detectados por los firewalls.

Aunque el análisis offline del tráfico capturado inevitablemente da como resultado una detección de ataque tardía, es importante considerar que, en la mayoría de los APT, los atacantes están dispuestos a esperar una cantidad significativa de tiempo intentando alcanzar un objetivo específico.

¿Y por qué duran tanto?

Hay dos razones por la que los ataques APT son prolongados:

  1. Una vez que se ha obtenido una posición inicial, los atacantes deben explorar la red, desplazarse a través de las subredes (movimiento lateral), identificar dónde se encuentra la información que les interesa y tomarla. Como todos estos pasos deben realizarse tan calladamente como sea posible para evitar la detección, se requiere usar un tiempo significativo.
  2. Los atacantes generalmente desean mantener su acceso y continúan extrayendo datos a lo largo del tiempo.

Además, la correlación de eventos de largo tiempo obtenidos de múltiples fuentes es crucial para la detección de ataques que tienen un mayor grado de sofisticación. Incluso cuando los atacantes logran evadir los firewalls tradicionales, inevitablemente estos ataques pueden dejar indicadores o huellas del ataque en el proceso de exploración de la red y explotación de vulnerabilidades.

Los intentos de inicio de sesión fallidos, el aumento inusual del tráfico de la red producido por un determinado PC o servidor, la utilización extraña de recursos y la ejecución de procesos desconocidos pueden correlacionarse e identificarse como prueba de un compromiso de seguridad, incluso si son realizados durante varias horas o días.

La capacidad de análisis y correlación de grandes datos proveniente de una amplia gama de fuentes de información y de períodos de tiempo significativos (horas, días, etc.), se traducirán con gran certeza en una disminución de un porcentaje de falsos positivos y permitirá detectar más fácilmente los movimientos furtivos de un atacante que usa APT, ya que las actividades inusuales hechas por los usuarios autorizados de la red, desafortunadamente son casi siempre ignorados por los firewalls actuales.

Por ello, es necesario entender que en el diseño de una estrategia de seguridad caben perfectamente los dos mundos, el análisis online y offline, donde este enfoque ayudará a realizar el procesamiento y la correlación en dos vías simultaneas perfectamente complementarias, mitigando el riesgo y presencia de los APTs.

_________

Por Carlos Castañeda, M. PhD y experto en Seguridad Digital de Unisys.

Leer más...