Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/03/2013
El Senyor dels Anells per a combatre les Amenaces Persistents Avançades
En alguna ocasión Trend Micro ya ha hablado acerca de cómo los atacantes utilizan el “malware de última generación” o “amenazas persistentes avanzadas” para atacar a destinatarios muy concretos. Conociendo sus puntos débiles y estudiando minuciosamente las peculiaridades de sus víctimas, los ciberdelincuentes diseñan malware muy específico con capacidad de hacer casi cualquier cosa (extraer información confidencial, controlar cualquier tipo de recurso de forma remota…).
Muchos son los casos conocidos en estos últimos meses (New York Times denuncia ataque de hackers chinos, ataques a webs del Gobierno estadounidense, etc). ¿Qué podemos hacer para prevenir y enfrentarnos a estas situaciones?
Ya somos conscientes de la situación en la que nos encontramos, pero eso no significa que no podamos hacer nada para evitarlo. Tenemos que reforzar nuestras defensas y prevenir en la medida de lo posible. A continuación, el director de Investigación de Amenazas de Trend Micro, Martin Roester, ofrece algunas recomendaciones:
Controlar el perímetro
Por supuesto, el control es más efectivo cuanto mejor nos conozcan. Tenemos que enmascarar la actividad corporativa al máximo, partiendo del punto de entrada de posibles atacantes: el gateway de la red. Una vez que la red está definida, es crítico tener una herramienta potente de monitorización de la misma para controlar y tener visibilidad de todo lo que entra y sale de la misma. Un buen ejemplo que puede ayudar a los administradores de la red, es crear una zona de DNS Response Policy, ya que proporciona un medio escalable para gestionar las conexiones entrantes y salientes de la red. Si se complementa con una lista negra, se creará un entorno de red suficientemente seguro.
Crear una política de seguridad de “dentro hacia afuera”
Las fórmulas de defensa tradicional se basan en configurar en firewalls que controlen el acceso entre redes y en utilizar listas negras para bloquear el acceso indeseado. Ésta es una tendencia de protección de “fuera hacia adentro” que funcionaba bien en épocas anteriores en las que la naturaleza de los ataques no requería la extracción de información interna confidencial desde dentro de la red. Las formas de defensa del pasado estaban diseñadas para ataques donde la forma y origen del ataque eran fácilmente reconocibles, lo cual, no aplica par a las nuevas Amenazas Persistentes Avanzadas.
Las estrategias defensivas fueron avanzando y llegamos a sistemas mejores, más evolucionados. Un tipo de defensa mejorado es el que se utilizó en las Minas de Tirith en El Señor de Los Anillos. El castillo estaba diseñado de manera que la ciudadela está en el centro y rodeada por siete paredes. Cada pared es más alta que la anterior; siendo la más externa, la más baja pero a la vez la más fuerte. Había también puertas en cada pared, pero estas puertas nunca estaban una delante de la otra, sino que estaban situadas en diferentes partes del castillo. Este tipo de estrategia, también conocida como “Defensa en Profundidad”, funciona porque no sólo ofrece protección frente a los atacantes de fuera, sino que proteger también de dentro hacia afuera. En términos de defensa de redes, esto es equivalente a incorporar protección multi-nivel y encriptación de datos críticos.
Defensa en profundidad
Las altas paredes también representan otra importante estrategia. Además de que se hace más duro para los atacantes el infiltrarse en la fortaleza, los arqueros situados en lo más alto de estos muros tienen “vista de pájaro” de lo que está ocurriendo exactamente. Además, los arqueros no sólo serán una defensa frente a los enemigos de fuera del muro, sino también para evitar que los malhechores internos intenten cometer actos vandálicos. Volviendo a los términos de la seguridad que nos ocupan, esta visibilidad mejorada a través de la monitorización de la red, también permite que los defensores tengan un mayor nivel de control tanto del tráfico entrante como del saliente.
Asume que hay una intrusión y actúa consecuentemente
Remarcamos que la primera pared en las Minas de Tirith fue reconocida en todas las regiones como “indestructible”; pero fue finalmente violada por el ariete de Grond y el poder del Rey Brujo. De la misma manera, siguiendo esta metáfora, ¿de qué forma podemos convertir nuestra defensa tradicional de red para prevenir estos ataques tan enfocados y dirigidos? La mejor actitud es asumir que un ataque ha penetrado en nuestra red. Esto nos llevará a pensar que no tenemos una seguridad apropiada al panorama del malware al que hoy en día nos enfrentamos.
La seguridad es algo “vivo” y en constante evolución, no basta con contar con soluciones que blinden nuestra red y olvidarnos, sino que es algo que debe mantenerse en constante actualización y para ello es crítico contar con profesionales que nos ayuden a mantener esas murallas siempre en pie y que, en caso de que se produzca un ataque, se capaces de combatirlo”.