Detección y mitigación de ataques dirigidos
Detección y mitigación de ataques dirigidos.
Los ataques dirigidos y las amenazas avanzadas, incluidas las amenazas persistentes avanzadas (APT), se encuentran entre los riesgos más peligrosos a los que se enfrentan los sistemas empresariales. Sin embargo, aunque las amenazas y las técnicas que utilizan los cibercriminales evolucionan constantemente, muchas organizaciones dependen de tecnologías de seguridad anticuadas y aplican planteamientos obsoletos para protegerse de las amenazas actuales y futuras.Las amenazas avanzadas y especialmente dirigidas a las empresas pueden pasar inadvertidas durante semanas, meses o incluso años, mientras que sus actores recopilan lenta y silenciosamente información, y trabajan para explotar las vulnerabilidades específicas de los sistemas que han elegido para sus ataques. Al contrario que el malware común, los autores de las amenazas dirigidas avanzadas pueden controlarlas activamente. El objetivo no se limita a la propagación de malware, sino penetrar en el perímetro empresarial. Estos ataques suelen ser el resultado de una investigación paciente y meticulosa de sus creadores, que saben esperar animados por la expectativa de conseguir sus objetivos.
Factores internos y externos que propician el éxito de los ataques
Entre los principales factores que propician la culminación satisfactoria de los ataques dirigidos a las infraestructuras de IT se incluyen:- IT oculta y en la clandestinidad.
- Conectividad incontrolada de dispositivos de IoT.
- Excesiva dependencia de la digitalización.
- Falta de capacidades preventivas y optimismo excesivo en las garantías de seguridad del perímetro actual.
- Escaso conocimiento de los riesgos para la seguridad de la información por parte de los empleados.
- Falta de visibilidad del entorno de IT y en concreto del enrutamiento de las redes.
- Sistemas operativos, y software desfasados y con tecnología propietaria.
- Falta de cualificación de los miembros del equipo de seguridad en materia de investigación del malware, ciencia forense digital, respuesta a incidentes e inteligencia frente a amenazas
Ataques dirigidos:
El cibercrimen como profesión La mayoría de los ataques dirigidos son supervisados por cibercriminales y hackers avezados que saben cómo adaptar cada fase para sortear las defensas tradicionales, explotar las carencias y maximizar la cantidad de activos valiosos que pueden hurtar, incluido dinero y datos confidenciales. Los hackers del pasado se han metamorfoseado en profesionales para los que el cibercrimen es un negocio. La única motivación de sus ataques a una empresa es sacar el máximo provecho, para lo cual calculan todo antes de lanzarlos y cotejan los costes asociados y las recompensas posibles. Por supuesto, el objetivo es minimizar los costes iniciales abaratando los ataques todo lo posible, con máximos resultados económicos. La mayoría de los ataques dirigidos combinan ingeniería social y una serie de herramientas personalizadas. El coste de lanzar un ataque dirigido eficaz se ha reducido de forma notable, con un aumento proporcional en el número total de ataques globales.Anatomía de un ataque dirigido
En teoría, la cadena de un ataque dirigido parece bastante sencilla y directa: reconocimiento y prueba, penetración, propagación, ejecución, resultados. Esta cadena podría sugerir que si se bloquean automáticamente los primeros pasos de un ataque de varias fases, el ataque en sí quedaría frustrado.Pero la realidad es que los ataques dirigidos son muy sofisticados y no lineales en términos de progresión y ejecución. Por tanto, una estrategia de defensa de varios niveles debe incluir capacidades de detección automatizadas, supervisión continua y búsqueda de amenazas.
Un ataque dirigido es un proceso prolongado que elude la seguridad y permite a un cibercriminal obviar los procedimientos de autorización e interactuar con la infraestructura de IT, para evitar así la detección con los medios tradicionales.
Por tanto y en primer lugar, es un proceso, una actividad continuada en el tiempo, un proyecto, y no una acción maliciosa aislada. Por nuestra experiencia en la supervisión de ataques globales, estos procesos suelen prolongarse al menos 100 días, y en el caso de organismos gubernamentales, grandes actores del mercado e infraestructuras críticas, los tiempos pueden calcularse en años.
En segundo lugar, el proceso se dirige a una infraestructura específica, se diseña para superar determinados mecanismos de seguridad y podría apuntar inicialmente a los empleados a través del correo electrónico o la red social. Esta metodología es muy distinta a la de los correos masivos de los atacantes que emplean software malicioso estándar y que operan con unos objetivos totalmente diferentes. En el caso de los ataques dirigidos, la metodología y las fases de la cadena de ataque se establecen en función de la víctima específica.
En tercer lugar, esta operación suele ser gestionada por un grupo organizado o un equipo de profesionales, a veces de carácter internacional, dotados de sofisticadas herramientas técnicas. Bien podría decirse que sus actividades no se circunscriben solo a un proyecto, sino que se integran en una operación multicombate. Por ejemplo, los atacantes suelen compilar una lista de empleados susceptibles de convertirse en la "vía de acceso" a las redes y organización objetivo, y estudian sus perfiles online y actividad en las redes sociales. Seguidamente, la tarea de hacerse con el control del equipo de trabajo de la víctima queda virtualmente solucionada. El equipo del empleado queda infectado y los intrusos continúan su avance para hacerse con el control de la red, desde donde pueden dirigir sus actividades delictivas.