Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
06/09/2011
Les noves amenaces avançades i persistents comprometen la seguretat de les empreses
Les empreses es van topar amb una mitjana de 335 infeccions web mensuals durant la primera meitat de l'any, amb els majors pics registrats al març (455) i abril (453), i sent les companyies de grans mesures –amb una plantilla d'entre 5.000 i 10.000 empleats i les que superen els 25.000– les més afectades. Així es desprén de l'informe de seguretat de Cisco corresponent al segon trimestre de 2011, on es desvela que l'activitat dels codis maliciosos (malwares) en la web va créixer més del doble, passant de les 105.536 infeccions, registrades al març, a les 287.298 del mes de juny.
D'aquesta manera, i com assenyala Pilar Santamaría, directora de Desenrotllament de Negoci i Ciberseguretat per a la regió Mediterrània de Cisco, «durant els sis primers mesos de 2011 s'han confirmat dues tendències: un important creixement d'atacs dirigits a empreses, a fi d'obtindre informació confidencial o d’accedir a propietat intel·lectual i la proliferació d'amenaces avançades i persistents (APTs, Advanced Persistent Threats)». Es denominen APTs les amenaces de tipus troià, dissenyades per a capturar contrasenyes i trànsit de missatges, que no mostren símptomes visibles d'infecció, capaços d'esquivar la detecció de firmes i altres mètodes estàndards de protecció, i que sovint es recolzen en els privilegis d'accés per a creuar la xarxa corporativa. «Tenint en compte que aquestes noves amenaces, avançades i persistents, ben poques vegades es descobreixen de forma passiva per romandre ocultes, mentre els ciberpirates (hackers) manipulen el sistema de forma remota, cal prioritzar tant les anàlisis de seguretat internes com les del trànsit de dades», continua la responsable de Cisco.
Recomanacions
El repte per a les organitzacions consisteix, precisament, a separar les APTs d'un altre codi maliciós (malware) i poder identificar-lo a temps per a prendre mesures. Així, encara que es tracta d'una amenaça poc compresa en l'actualitat, Cisco recomana diverses mesures per a optimitzar la detecció i resposta enfront de les APTs. Entre elles es troben: utilitzar l’eina NetFlow (o serveis semblants), per tal de monitoritzar els fluxos de trànsit o connexions de xarxa, i respondre als incidents identificant amenaces de 'dia zero' que han superat els controls de seguretat tradicionals. Reforçar les anàlisis, incloent: la capacitat per a produir, recopilar i monitoritzar connexions, especialment les més importants (host logs, servidors intermediaris (proxies) i registres (logs) d'autenticació i atribucions); alguna forma d'inspecció de paquets que cobrisca tots els colls de botella importants en la xarxa corporativa; mecanismes d'anàlisi de codi maliciós (malware), i establir relacions de confiança amb altres organitzacions, per tal de compartir coneixements sobre esdeveniments, com ara FIRST (Forum of Incident Response Teams).
Assignar variables d'ubicació IDS (Sistemes de Detecció d'Intrusions), perquè les alertes siguen més "humanes" i que els equips de seguretat puguen identificar un incident sense necessitat desxifrar primer l'alerta. Definir valors de referència comparatius (baselining), per a detectar esdeveniments anòmals. Un exemple és recopilar el nombre d'adreces IP trobades en cada informe de codi maliciós (malware) i buscar desviacions respecte als valors esperats.
«Els cibercriminals s'estan centrant en atacs més dirigits, persistents i difícils de detectar», destaca Santamaría, «Però encara que no hi ha una fórmula màgica, les organitzacions no estan indefenses; perquè combinades, les mesures proposades poden ajudar els departaments de seguretat a detectar, identificar, monitoritzar i respondre als incidents amb major rapidesa per a evitar pèrdues potencials.»
Llegiu notícia completa en La Flecha