Llegamos a ustedes gracias a:



Reportajes y análisis

6 consejos para combatir las APT

[08/04/2014] El éxito de las amenazas persistentes avanzadas (APT o advanced persistent threats) es, según se informa, tan generalizado que detectarlas y derrotarlas consistentemente puede parecer una batalla perdida.
De acuerdo a informes de noticias y múltiples declaraciones de funcionarios estadounidenses, los hackers de China pueden quebrar los sistemas de todo tipo de empresas, desde los principales periódicos hasta los contratistas de defensa y empresas de tecnología de punta, y permanecen el suficiente tiempo sin ser detectados como para ganar miles de millones con la propiedad intelectual y los diseños de armas sofisticadas.
El secretario de Defensa Chuck Hagel y los funcionarios de la Agencia Nacional de Seguridad y del Departamento de Seguridad Nacional han denominado al poder de las APT como el reto a la seguridad de la era moderna.
Cyber es una de esas silenciosas y mortales incógnitas que no puedes ver, señaló Hagel a las tropas estadounidenses en Hawái. Está en todas partes, no es una gran embarcación en un puerto, un gran ejército cruzando una frontera o un grupo de aviones de combate... Se trata de una amenaza real, muy complicada y peligrosa. No hay mayor prioridad para nuestro país que este tema.
Las APT también ya no son dominio exclusivo de los estados-nación de grandes recursos, ni están enfocadas solo en el espionaje o en los ataques contra la milicia y otras entidades gubernamentales. Ellas viven en las redes de TI, electricidad, noticias, telecomunicaciones, industria manufacturera y otros sectores de la economía.
Pero de acuerdo a una serie de expertos en seguridad, aunque es probable que nunca sea posible eliminarlas por completo, es posible detectar las APT y minimizar el daño que causan.
Hay soluciones, el cielo no se está cayendo, señala Wade Williamson, analista senior de seguridad de Palo Alto Networks. Muchas veces la gente de seguridad utiliza las APT como excusa para el fracaso, pero no debe ser así. Existen tecnologías que pueden ayudar.
Williamson es uno de los que también argumenta que la detección y la defensa contra las APT, necesitará más que tecnología. En general, señala, el mayor cambio que necesitamos no es en las tácticas, sino la estrategia. La seguridad debe evolucionar para convertirse en una disciplina muy creativa.
Históricamente, la seguridad mantuvo la visión de decir no a las solicitudes y bloquear el 100% de las amenazas. Ninguna de estas máximas es práctica hoy. Necesitamos profesionales de seguridad que sean inquisitivos, que busquen las cosas que al parecer no tienen sentido, y que se pregunten lo que eso podría significar, y cómo deberían profundizar en el tema.
Siempre necesitaremos de seguridad automática que bloquee las cosas malas, afirma Williamson, pero también necesitamos expertos creativos y comprometidos con la seguridad que busquen a los chicos malos creativos y comprometidos en el otro extremo de la conexión.
Dicho esto, hay una serie de prácticas que los expertos en seguridad recomiendan para las organizaciones que toman con seriedad la batalla contra las APT. En ningún orden particular de clasificación, estas son:
1. Utilice big data para el análisis y detección
Las palabras del presidente ejecutivo de RSA, Art Coviello, durante su discurso de apertura en la conferencia RSA 2013 fueron: Todo se trata de alejarse de un régimen de prevención; big data le permitirá detectar y responder con mayor rapidez.
Esto está avalado por personas como Aviv Raff, cofundador y director de tecnología de Seculert, quien señala que la prevención desde el perímetro es imposible; por lo tanto, la detección debe basarse en la capacidad de analizar los datos, que deben ser obtenidos durante largos períodos. Y es ahí donde el análisis de big data entra en escena.
Por supuesto, eso requiere una inversión en herramientas de análisis. TI no tiene las herramientas automatizadas necesarias para identificar las infecciones en el momento oportuno, anota Brian Foster, director de tecnología de Damballa. En lugar de eso, solo tienen un montón de datos. La industria necesita proporcionar estrategias de big data a TI para la detección de infecciones en su red.
Williamson está de acuerdo en parte, calificando a big data como una herramienta útil en la detección. Pero añade: El punto más importante es que el ataque en sí mismo se ha extendido a través de múltiples pasos y tecnologías, y nuestro punto de vista de la seguridad debe salir de su silo para también ser total.
2. Comparta información con las personas adecuadas
Según escribió Anton Chuvakin, en el blog de Gartner del año pasado, los chicos malos comparten datos, trucos [y] métodos mucho mejor que los buenos. Se considera aceptable guardarse el conocimiento que tanto esfuerzo costó sobre las formas en las que usted detectó a ese atacante avanzado, mientras sus pares en otras organizaciones están siendo atacados por la misma amenaza, escribe. Y el ciclo de sufrimiento continúa.
Para obtener una ventaja sobre las APT, escribe Chuvakin, las organizaciones deben compartir información de una manera que les ayude a ellas, pero que no beneficie a los atacantes y no viole las leyes o reglamentos que rigen el intercambio de información sensible.
Sin embargo, más allá de las consideraciones legales, también existen limitaciones económicas para el intercambio de información. Brian Krebs, experiodista de The Washington Post y autor del blog Krebs Sobre Seguridad, afirma que ha visto el progreso en el intercambio de información, pero también esfuerzos para acapararla y explotarla económicamente.
En los últimos años se ha visto el surgimiento de varias empresas que obtienen beneficios decentes vendiendo y explotando esta inteligencia, por lo que sigue permaneciendo una buena cantidad de tensión entre compartir y acaparar información sobre los actores e indicadores de amenazas", señala.
3. Entienda la cadena mortal
Este es un modelo al que se le conoce como basado en fase que describe las etapas de un ataque APT. Esas etapas incluyen el reconocimiento, armamentización, entrega, explotación, instalación, comando y control, y acciones. Como Lysa Myers, cazadora de virus de Intego, escribió en un artículo del InfoSec Institute: En esencia, se parece mucho a un robo típico: El ladrón realizará el reconocimiento del edificio antes de intentar infiltrarse en el mismo, y luego seguirá varios pasos más antes de hacerse del botín.
Obviamente, mientras más cerca uno esté del principio de la cadena para detectar y detener un ataque, mejor. Foster, de Damballa, afirma que los atacantes dejan un rastro de migas de pan que puede llevar directo al sistema infectado. Comprender y analizar esta cadena mortal puede ser la clave para la implementación de controles de defensa apropiados en la etapa necesaria.
4. Busque indicadores de compromiso (IOC - indicators of compromise)
Esto está conectado con el entendimiento de la cadena mortal. Ninguna organización puede detener todos los ataques, por lo que el equipo de TI tiene que saber detectar los síntomas -las migas de pan. Esto incluye buscar las maneras en que una APT podría comunicarse hacia fuera de la red. Cualquier consulta de DNS extraña o sitios web que contacte son por lo general IOCs, sostiene Williamson.
Las APT suelen personalizar sus herramientas a sus propias necesidades, lo cual a menudo proporciona las anomalías suficientes como para distinguir una APT del tráfico normal, señala. Asimismo, usarán aplicaciones comunes, como las aplicaciones de escritorio remoto, proxies o túneles cifrados, para comunicarse.
El uso poco usual de estas y otras aplicaciones puede ser clave para la búsqueda de una verdadera APT. Esto, por supuesto, obliga a TI a tener una base muy sólida de lo que es normal en sus redes, sostiene.
Williamson señala que rastrear las anomalías en los usuarios también puede ayudar. Por ejemplo, puede ser normal que haya usuarios que conversen con un servidor SQL, pero puede no serlo para un usuario en particular.
5. Ponga a prueba su red
Esto puede incluir un análisis activo o sandboxing. Una de las mejores maneras de determinar si algo está mal es ejecutarlo y ver si se comporta mal, afirma Williamson.
El bloguero Krebs agrega que si bien existen herramientas de gestión de la vulnerabilidad para ayudar a cerrar los agujeros que sean obvios, no hay algo que sustituya a hacer periódicamente un hacking a las propias redes (o pagar a alguien más para que lo haga) y así averiguar dónde son vulnerables. Como dice el refrán, todos tendrán una prueba de intrusión, ya sea que pague por ella o no.
Krebs dice que se inclina hacia la contratación de alguien externo. Para usar una antigua pero oportuna analogía, a menudo es muy difícil ver el bosque por los árboles cuando está parado en el suelo del bosque. A menudo, se necesita alguien externo que tenga un enfoque más completo -y que quizá tenga una visión imparcial y entrenada en APT- para detectar un problema más sistémico.
6. Brinde más soporte a los cazadores de APT
Edwin Covert, analista de seguridad cibernética y experto en la materia de Booz Allen Hamilton, argumentó recientemente en un post en InfoSec Island que la industria necesita un nuevo modelo de formación para los cazadores de APT, ya que las habilidades propias de un especialista en seguridad de la información no son suficientes.
La mitigación de las APT requiere de la capacidad de ver cosas que no son evidentes, escribe. El CISSP [Certificado de Sistemas de Información de Seguridad Profesional] fue diseñado para directores técnicos, no para cazadores de APT.
Covert no está restando importancia a la designación CISSP, ya que el mismo la tiene, pero señala que aquellos que cuentan con un entrenamiento en APT podrán darse cuenta de archivos anómalos que la mayoría de los administradores, e incluso personal de seguridad, no percibirán.
Y la necesidad de contar con especialistas es crítica. Covert cita al director del Instituto SANS, Alan Paller, cuando dice que hay necesidad de más de 30 mil especialistas en APT, pero que sólo alrededor de mil a dos mil tienen las habilidades necesarias para combatir los numerosos escenarios de la vida real que ocurren en las organizaciones de hoy en día.
Taylor Armerding, CSO (EE.UU.)