Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo ser más creativos con las pruebas de detección de ataques

[01/05/2014] Los profesionales de seguridad han estado desde hace tiempo realizando pruebas de penetración contra sus firewalls y otros sistemas de seguridad para encontrar puntos débiles que deben ser abordados.
El Common Vulnerability Scoring System es un estándar de la industria que ha estado ya por un buen tiempo.
Los chicos malos, sin embargo, ya no están limitándose a ataques perimetrales tradicionales. Los hackers están usando spear phishing, llamadas telefónicas, visitas presenciales y otras técnicas para llegar a los datos corporativos.
"A medida que los criminales cibernéticos evolucionan, nosotros debemos hacerlo también", señala Demetrios Lazarikos, estratega de seguridad y ex jefe de seguridad de la información para Sears Online.
Spear phishing
Todo el mundo ya sabe que no debe hacer clic en correos electrónicos mal redactados o no solicitados y de procedencia desconocida. Los adversarios de hoy son más inteligentes. Sus correos electrónicos utilizan un lenguaje adecuado y no se distinguen de los correos electrónicos de las empresas reales.
"Digamos que hay un comunicado de prensa que se hace público que dice que la empresa XYZ acaba de cambiar de proveedor de salud, a Blue Cross Blue Shield", comenta Bob Walder, fundador y jefe de investigación de NSS Labs con sede en Austin. "Los chicos malos van a mirar y decir, está bien, empresa XYZ, voy a enviar un correo electrónico y falsificarlo para que se vea como si viniera de Blue Cross Blue Shield, y dirá algo así como ¿Necesita ayuda con su inscripción? Será relevante para sus empleados.
La defensa contra este tipo de ataques es más una cuestión de educación de los usuarios que un tema tecnología, agrega el ejecutivo.
Después de la campaña de educación inicial, se recomienda una estrategia de prueba que no sea amenazante, como elaborar tablas de clasificación que muestren a los empleados impermeables a las estafas.
"Usted no va a querer verse como un adversario", agrega Walder. "Puede hacer esto de una forma alegre, dando reconocimiento. De manera que quienes no estén haciendo las cosas bien y estén fuera de la lista se esfuercen por ganar el premio la próxima vez".
Otro de los beneficios de darle un giro positivo a las pruebas de penetración consiste en asegurar que la alta dirección no sea atrapada en alguna de ellas y avergonzada públicamente.
"Es irónico, pero la mayoría de las veces, los ejecutivos de alto nivel y los directores de TI, que no tienen tiempo para leer el correo electrónico, son quienes escanean algo o hacen clic sin pensar".
Una de las empresas que utilizan mensajes de correo electrónico dirigidos en sus pruebas de penetración es Medford, basada en el Century Bank de MA.
"Tratamos hacer phishing e ingeniería social a nuestros usuarios varias veces al año", comenta Adam Glick, oficial de seguridad de la información del banco. "La evaluación incluye la creación de un servidor web interno falso, ajustando el DNS interno y enviando un correo electrónico falso para atraer a los usuarios para que cambien sus contraseñas a punto de expirar o para que reclamen millones de dólares gratis".
Más allá de phishing
El Century Bank no se detiene en los correos electrónicos.
Las pruebas de penetración incluyen empleados que pretenden ser del área TI pidiendo contraseñas, o el ingreso a áreas de seguridad de personas vestidas como empleados o trabajadores externos de mantenimiento.
"Estas pruebas se están convirtiendo en vitales al tiempo que el phishing y la ingeniería social se convierten cada vez más en posibilidades para los jugadores maliciosos", agrega Glick. Entrenar proactivamente a sus usuarios y darles el poder de reconocer las estafas es, definitivamente, su mejor arma de defensa".
Glick señala que su banco utiliza un servicio externo, Framingham, de Towerwall, con sede en Massachusetts, para hacer la prueba.
OneBeacon Insurance Group de Avon, con sede en CT, también utiliza un servicio de pruebas de terceros, NTT Com Security, con sede en Ismaning, Alemania.
"Por lo general pensamos en hacer pruebas de ataques directamente en los sistemas de las computadoras, pero por un tiempo, hemos sabido que es mucho más fácil empezar la vía de ataque centrándonos en los aspectos de ingeniería social", anota el jefe de seguridad de la información de OneBeacon, Joseph Topale. "Hace varios años, nuestra prueba de penetración se amplió y se sigue ampliando para cubrir las piezas de ingeniería social emergentes".
En estos días, esto incluye no solo correos electrónicos de phishing, sino también llamadas telefónicas y sitios web falsos hechos a medida, señala el especialista.
Y puede ser aún más creativo que eso.
Chris Camejo, director de servicios de evaluación de NTT Com Security, recuerda a un cliente con un enfoque particular en la seguridad física de las zonas sensibles al interior de sus instalaciones.
"Lo que han hecho es tener un programa establecido conforme el cual comunican que le darán a alguien un billete de cien dólares y luego los llevan a un área de seguridad sin sus identificaciones puestas, la primera persona que pregunta: '¿Dónde está la identificación?', consigue los cien dólares", anota el experto.
Esta es una parte importante de las pruebas de seguridad que es fácil pasar por alto, ya que a veces puede ser muy fácil ingresar a las áreas de seguridad, añade.
Incluso las empresas que no cuentan con sistemas críticos in situ podrían no entender la cantidad de datos importantes que pueden ser accesibles para alguien que acaba de ingresar al área. "Las empresas no se dan cuenta de la cantidad de información que dejan ver alrededor de la oficina". "Discos de respaldo, laptops, tokens de autenticación. Hay tantas cosas que la gente deje fácilmente visible a su alrededor. He visto cajas de documentos de microfichas con montones de números de Seguro Social en ellos visibles en los escritorios de la gente", agrega Camejo.
Algunas compañías tienen, además, otras vías de acceso que un hacker determinado puede rastrear. "Nos han llamado para asuntos forenses en instituciones financieras que preformaron transferencias electrónicas iniciadas por faxes enviados por los individuos apropiados, firmados aparentemente por la persona adecuada", comenta Mike Weber, vicepresidente de Coalfire Labs un proveedor de seguridad de Louisville, Colorado.
Ataques multi–prong
Cuando un enfoque no funciona por sí mismo, y un objetivo es particularmente atractivo, los hackers profundizarán sus ataques.
Para protegerse frente a ellos, las pruebas de penetración deben también sofisticarse.
Tomemos, por ejemplo a Core Security Consulting Services, un proveedor de pruebas de penetración contratado para hackear el proceso de pago de tarjeta de crédito de una compañía. El equipo fue capaz de llegar hasta los archivos de la base de datos, pero solo tenía un día para averiguar dónde se almacenaban los números de las tarjetas de crédito -y había demasiados archivos para revisarlos todos.
"Necesitábamos un gancho", añade Digeo Manuel Sor, gerente de Core Security. "Así que uno de nosotros fue a un restaurante a comprar unos bocadillos y refrescos, y el otro corrió una búsqueda de texto para encontrar nuestro número de tarjeta de crédito en los archivos -no tuvimos que comprobar todos los archivos, solo los últimos kilobytes".
Una prueba de penetración también puede tener varias capas desde el principio. "Una gran cantidad de empresas solicitan un tipo específico de prueba de ingeniería social, como el phishing o el pretext callig, o la ingeniería social física, donde nos adentramos en una zona segura", señala Weber Coalfire. "Encontramos que las amenazas por sí mismas son fáciles de identificar. Pero cuando las mezclamos entre sí, tenemos mucho más éxito".
Por ejemplo, una infiltración física a una empresa puede ir precedida de un correo electrónico de aspecto oficial anunciando la visita.
"Un ataque de ingeniería social mezclado tiende a ser un punto débil en muchas organizaciones", anota Travis Howe, director de seguridad y cumplimiento en Conga, una compañía de gestión de documentos con sede en Broomfield, Colorado, y un cliente de Coalfire. "Desafortunadamente, si alguien quiere poner en peligro la organización, como un profesional de la seguridad dentro de una organización, no tengo la competencia de elegir la forma en que voy a ser atacado".
Maria Korolov, CSO (EE.UU.)