Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/09/2011
Las nuevas amenazas avanzadas y persistentes comprometen la seguridad de las empresas
Las empresas se toparon con una media de 335 infecciones web mensuales durante la primera mitad año, con los mayores picos registrados en marzo (455) y abril (453) y siendo las compañías de gran tamaño -con una plantilla de entre 5.000 y 10.000 empleados y las que superan los 25.000- las más afectadas. Así se desprende del informe de seguridad de Cisco correspondiente al segundo trimestre de 2011, donde se desvela que la actividad de malware (códigos maliciosos) en la web creció más del doble, pasando de las 105.536 infecciones registradas en marzo a las 287.298 del mes de junio.
De esta forma y como señala Pilar Santamaría, directora de Desarrollo de Negocio y Ciberseguridad para la Región Mediterránea de Cisco, "durante los seis primeros meses de 2011 se han confirmado dos tendencias: un importante crecimiento de ataques dirigidos a empresas con el fin de obtener información confidencial o acceder a propiedad intelectual y la proliferación de amenazas avanzadas y persistentes (APTs, Advanced Persistent Threats)". Se denomina APTs a las amenazas de tipo troyano diseñadas para capturar contraseñas y tráfico de mensajes que no muestran síntomas visibles de infección, capaces de esquivar la detección de firmas y otros métodos estándares de protección, y que a menudo se apoyan en los privilegios de acceso para cruzar la red corporativa. "Teniendo en cuenta que estas nuevas amenazas avanzadas y persistentes rara vez se descubren de forma pasiva al permanecer ocultas mientras los hackers manipulan el sistema de forma remota, es necesario priorizar tanto los análisis de seguridad internos como del tráfico de datos", continúa la responsable de Cisco. Recomendaciones
El reto para las organizaciones consiste precisamente en separar las APTs de otro malware y poder identificarlo a tiempo para tomar medidas. Así, aunque se trata de una amenaza poco comprendida en la actualidad, Cisco recomienda diversas medidas para optimizar la detección y respuesta frente a las APTs. Entre ellas se encuentran: Utilizar la herramienta NetFlow (o servicios similares) para monitorizar los flujos de tráfico o conexiones de red y responder a los incidentes identificando amenazas de 'día cero' que han superado los controles de seguridad tradicionales. Reforzar los análisis, incluyendo: la capacidad para producir, recopilar y monitorizar conexiones, especialmente las más importantes (host logs, proxies y logs de autenticación y atribuciones); alguna forma de inspección de paquetes que cubra todos los cuellos de botella importantes en la red corporativa; mecanismos de análisis de malware. Establecer relaciones de confianza con otras organizaciones para compartir inteligencia sobre eventos (como FIRST, Forum of Incident Response Teams).
Asignar variables de ubicación IDS (Sistemas de Detección de Intrusiones) para que las alertas sean más "humanas" y que los equipos de seguridad puedan identificar un incidente sin necesidad de descifrar primero la alerta. Definir valores de referencia comparativos (baselining) para detectar eventos anómalos. Un ejemplo es recopilar el número de direcciones IP encontradas en cada informe de malware y buscar desviaciones con respecto a los valores esperados.
"Los cibercriminales se están centrando en ataques más dirigidos, persistentes y difíciles de detectar", destaca Santamaría. "Pero aunque no existe una fórmula mágica, las organizaciones no están indefensas; combinadas, las medidas propuestas pueden ayudar al departamento de seguridad a detectar, identificar, monitorizar y responder a los incidentes con mayor rapidez para evitar pérdidas potenciales".
Leer noticia completa en La Flecha