Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/03/2013
El Señor de los Anillos para combatir las Amenazas Persistentes Avanzadas
En alguna ocasió Trend Micro ja ha parlat sobre com els atacants utilitzen el “programari maliciós d’última generació” o “amenaces persistents avançades” per a atacar destinataris molt concrets. Coneixent els seus punts dèbils i estudiant minuciosament les peculiaritats de les seues víctimes, els ciberdelinqüents dissenyen programari maliciós molt específic amb capacitat de fer quasi qualsevol cosa (extraure informació confidencial, controlar qualsevol tipus de recurs de forma remota…).
Molts són els casos coneguts en estos últims mesos (New York Times denúncia atac d’hackers xinesos, atacs a webs del Govern nord-americà, etc). Què podem fer per a previndre i enfrontar-nos a estes situacions?
Ja som conscients de la situació en què ens trobem, però això no significa que no puguem fer res per a evitar-ho. Hem de reforçar les nostres defenses i previndre en la mesura que siga possible. A continuació, el director d’Investigació d’Amenaces de Trend Micro, Martin Roester, oferix algunes recomanacions:
Controlar el perímetre
Per descomptat, el control és més efectiu com millor ens coneguen. Hem d’emmascarar l’activitat corporativa al màxim, partint del punt d’entrada de possibles atacants: la passarel·la de la xarxa. Una vegada que la xarxa està definida, és crític tindre una ferramenta potent de monitorització d'esta per a controlar i tindre visibilitat de tot el que hi entra i n'ixa. Un bon exemple que pot ajudar els administradors de la xarxa, és crear una zona de DNS Respon-se Policy, ja que proporciona un mitjà escalable per a gestionar les connexions entrants i ixents de la xarxa. Si es complementa amb una llista negra, es crearà un entorn de xarxa prou segur.
Crear una política de seguretat de “dins cap a fora”
Les fórmules de defensa tradicional es basen a configurar en tallafocs que controlen l’accés entre xarxes i a utilitzar llistes negres per a bloquejar l’accés indesitjat. Esta és una tendència de protecció de “fora cap a dins” que funcionava bé en èpoques anteriors en què la naturalesa dels atacs no requeria l’extracció d’informació interna confidencial des de dins de la xarxa. Les formes de defensa del passat estaven dissenyades per a atacs on la forma i l'origen de l’atac eren fàcilment recognoscibles, la qual cosa, no s'aplica per a les noves Amenaces Persistents Avançades.
Les estratègies defensives van anar avançant i arribem a sistemes millors, més evolucionats. Un tipus de defensa millorat és el que es va utilitzar en les Mines de Tirith en El Senyor Dels Anells. El castell estava dissenyat de manera que la ciutadella està en el centre i rodejada per set parets. Cada paret és més alta que l’anterior; sent la més externa, la més baixa però al mateix temps la més forta. Hi havia també portes en cada paret, però estes portes mai estaven una davant de l’altra, sinó que estaven situades en diferents parts del castell. Este tipus d’estratègia, també coneguda com “Defensa en Profunditat”, funciona perquè no sols oferix protecció enfront dels atacants de fora, sinó que protegix també de dins cap a fora. En termes de defensa de xarxes, açò és equivalent a incorporar protecció multinivell i encriptació de dades crítiques.
Defensa en profunditat
Les altes parets també representen una altra important estratègia. A més que es fa més dur per als atacants infiltrar-se en la fortalesa, els arquers situats en la part més alta d’estos murs tenen “vista d'ocell” del que està ocorrent exactament. A més, els arquers no sols seran una defensa enfront dels enemics de fora del mur, sinó també per a evitar que els malfactors interns intenten cometre actes vandàlics. Tornant als termes de la seguretat que ens ocupen, esta visibilitat millorada a través de la monitorització de la xarxa, també permet que els defensors tinguen un major nivell de control tant del trànsit entrant com de l’ixent.
Assumix que hi ha una intrusió i actua conseqüentment
Remarquem que la primera paret en les Mines de Tirith va ser reconeguda en totes les regions com “indestructible”; però va ser finalment violada per l’ariet de Grond i el poder del Rei Bruixot. De la mateixa manera, seguint esta metàfora, de quina forma podem convertir la nostra defensa tradicional de xarxa per a previndre estos atacs tan enfocats i dirigits? La millor actitud és assumir que un atac ha penetrat en la nostra xarxa. Açò ens portarà a pensar que no tenim una seguretat apropiada al panorama del programari maliciós a què hui en dia ens enfrontem.
La seguretat és quelcom “viu” i en constant evolució, no n’hi ha prou amb comptar amb solucions que blinden la nostra xarxa i oblidar-nos-en, sinó que és quelcom que ha de mantindre’s en constant actualització i per a això és crític comptar amb professionals que ens ajuden a mantindre eixes muralles sempre en peu i que, en el cas que es produïsca un atac, siguen capaços de combatre'l”.