Llegamos a ustedes gracias a:



Reportajes y análisis

Las amenazas según FireEye

[17/06/2016] Hace unos días pudimos asistir a una reunión en la cual FireEye presentaba su perspectiva de las nuevas amenazas que tienen que enfrentar las empresas. Su mensaje fue claro, las amenazas a pesar de ser avanzadas no son más que un instrumento, una herramienta, usada por la verdadera amenaza: La persona que la está utilizando.

Igualmente, la empresa hizo énfasis en el hecho de que este tipo de amenazas no se puede enfrentar con medidas reactivas, hay que ser proactivos, estar siempre listos -como el dicho de los boy scouts- porque las amenazas siempre van a atacar sigilosamente, sin que nos demos cuenta.

La presentación del evento estuvo a cargo de Robert Freeman, presidente de FireEye para América Latina, con quien luego tuvimos una breve charla para ampliar algunos puntos que se trataron en las exposiciones.

La verdad sobre las APT

La primera presentación fue de Federico Castañeda, senior security engineer SOLA de FireEye, quien sostuvo durante su exposición que hay algunas cosas que hemos estado escuchando sobre las amenazas persistentes avanzadas (APT, por sus siglas en inglés) que no son del todo ciertas. Se nos ha dicho, por ejemplo, que las APT son malware avanzado y que, por tanto, se le combate con protección antimalware avanzada.

La dura realidad es que el malware es simplemente otra herramienta. La verdadera amenaza es la persona que la utiliza. Y esta persona sigue un patrón que es identificable.

Primero, se pasa por una fase de reconocimiento en donde el atacante investiga, identifica y selecciona los objetivos. Luego se pasa a una fase de weaponization en donde el atacante usa un exploit y crea un payload malicioso para enviar a la víctima. A continuación, viene la fase de entrega, en ella se entrega a la víctima un paquete en donde se encuentra el arma que va a utilizar el atacante, ello se realiza a través de un adjunto de correo electrónico, sitio web, UBS, etcétera.

La cuarta fase es la explotación en sí misma. En ella se explota una vulnerabilidad para ejecutar código en el sistema y las aplicaciones de la víctima. La instalación es el siguiente paso, aquí se instala malware en el sistema de la víctima. Lo siguiente es una fase denominada C2 en la que se establece un canal de comando para el control remoto del sistema de la víctima.

Finalmente, se llega a la fase de acciones sobre los objetivos. En esta fase, gracias al acceso libre, el intruso consigue sus objetivos de exfiltración de datos.

Castañeda ofreció un ejemplo sobre lo que estos tipos de ataque pueden lograr en la vida real. Mencionó el caso de los bancos cuyo sistema SWIFT -el encargado de las transferencias bancarias- fue utilizado para un ataque exitoso. El atacante, siguiendo las fases mencionadas antes, no solo pudo robar su dinero, sino que también se dio el lujo de borrar la evidencia.

Ante este tipo de ataques es necesario defenderse analizando en qué etapa se encuentra la institución. De acuerdo a un cuadro creado por Gartner, se pueden establecer "estilos de defensa, dependiendo de la combinación de dos variables: En dónde buscar y el tiempo en que ocurre.

En el primer caso se puede tener tres lugares: la red, el payload y el punto final. En el segundo existen dos momentos: el tiempo real o casi tiempo real, y luego de que ya se ha producido un compromiso.

El estilo 1 es el análisis del tráfico de la red y se usó obviamente en la red en tiempo real o casi real. El estilo dos también se produce en la red, pero luego del compromiso, ese estilo es el análisis forense de la red.

Un tercer estilo se produce sobre el payload y obviamente solo se puede hacer en tiempo real o casi real, y se denomina Análisis del payload.

El cuarto estilo es el análisis del comportamiento de los puntos finales, y se realiza sobre estos puntos en tiempo real o casi real. Finalmente, el análisis forense de los puntos finales y se realiza sobre estos puntos luego del compromiso.

Por supuesto, FireEye tiene productos para todos estos estilos, aunque Castañeda indicó que para aquellos que se encuentran luego del compromiso la que se encarga de los productos es la marca Mandiant, marca de FireEye.

Luego del ataque

Ya que Castañeda habló sobre Mandiant lo lógico era esperar un desarrollo mayor sobre el tema de qué hacer luego de ataque. Eso fue precisamente el tema de Rusell Teague, regional managing director de Mandiant. Teague explicó lo que se puede hacer luego que se detectan los ataques, aunque también sostuvo que lo mejor es estar preparado para ellos.

El ejecutivo sostuvo que en el cambiante panorama actual es necesario contar con métodos proactivos y adaptativos para detectar, responder, contener y remediar las amenazas actuales.

Para ello es necesario tener en consideración ciertos elementos proactivos.

Uno de ellos es la visibilidad. Se debe tener visibilidad de toda la organización; es decir, personas, procesos y tecnología. Otro de los elementos es la inteligencia, de ella dijo que es necesaria una inteligencia de seguridad integrada en tiempo real. También se requiere de capacidades adaptativas para manejar los potenciales vectores de amenazas. Igualmente necesarias son las herramientas avanzadas de monitoreo para eliminar las brechas en la cobertura. Finalmente, sostuvo que es necesario contar con personal capacitado y evaluado que pueda detectar, responder, contener y remediar las amenazas antes de que se conviertan en ataques exitosos.

Las recomendaciones se producen porque en el entorno actual es evidente que falta una mayor preparación ante los ataques. Una prueba de ello es el hecho de que el 53% de las brechas de seguridad no son detectadas por las propias firmas comprometidas, sino que son puestas en evidencias gracias a notificaciones externas.

Lo peor de todo es que cuando se produce este último caso pasan 320 días, en promedio, antes de que alguien le avise a la afirma que ha sido comprometida. El descubrimiento interno de las brechas de seguridad es menos prolongado (56 días).

¿Cómo se puede estar listo para esto? Con algo que Teague denominó next generation of incident preparedness (la siguiente generación de preparación para incidentes).

Estar preparado implica que la empresa se haga a sí misma algunas preguntas: ¿Estoy en riesgo? ¿Estoy preparada? ¿Estoy comprometida? ¿Tengo una fuga? ¿Estoy lista para las fugas?

Para que la organización esté lista, el ejecutivo dio algunas recomendaciones. La primera de ellas es establecer un socio confiable a quien llamar "cuando lo inevitable ocurra, también se debe ser proactivo para reducir el tiempo de respuesta y la velocidad de la contención [de la amenaza]. También es necesario establecer los cambios necesarios para reducir el impacto y el costo sobre el negocio de un incidente, cuando éste ocurra. Finalmente, sugirió el establecimiento de servicios proactivos anuales que eduquen, evalúen y confirmen las capacidades de la organización para hacer frente a las amenazas.

Por supuesto, para cada una de las preguntas que se hicieron líneas arriba Mandiant tiene un conjunto de servicios que ofrece a las organizaciones para que estas se encuentren preparadas para cuando ocurra lo inevitable.

Robert Freeman, presidente de FireEye para América Latina.
La conversación

Además de escuchar algunas de las exposiciones tuvimos una breve conversación con Robert Freeman, presidente de FireEye para América Latina, con quien charlamos para adentrarnos en algunos puntos expuestos en las presentaciones y conocer algo más de la seguridad.

De las exposiciones veo que toda empresa puede ser atacada, pero aquellas que se encuentran haciendo comercio electrónico ¿tienen alguna característica que las haga más objetos de ataque?

No creo que haya mucha diferencia, todos están expuestos, lo que atrae los ataques es la información de las empresas, la información sensible. Puede ser también el dinero como en el caso de los bancos, recientemente 12 bancos han sido atacados usando el sistema SWIFT, aunque SWIFT no ha sido atacado, sino que es la autopista que usan los bancos [para comunicarse].

Entonces los atacantes van hacia el dinero, hacia la información confidencial, muchas veces se trata de realizar ciberespionaje corporativo; es decir, una empresa que quiere sacar ventaja a otra puede intentar robar sus secretos. Entonces, simplemente estar haciendo comercio electrónico para estos ataques avanzados no es una ventaja ni una desventaja.

También señalaron que un ataque avanzado no es simplemente un ataque más sofisticado, como se podría pensar.

El concepto de ataque avanzado es que es sofisticado, peligroso y muy dañino. Por ejemplo, al Banco de Bangladesh que le robaron 80 millones de dólares, y si no fuera por un dígito que escribieron mal hubieran podido robar mil millones.

Entonces el malware es una herramienta usada por el ataque avanzado y básicamente funciona a través del spear phishing que te envía un enlace a una página web infectada o enviarte un documento infectado. La idea es hacer el truco de convencer a la persona de que haga clic sobre esa URL o documento, porque el código malicioso está escondido ahí dentro, en el momento en el que haces clic, el código malicioso se instala con el propósito de robarte las credenciales.

Y hay mucho malware que al momento de robarte desaparece, por eso decimos que es simplemente un vehículo utilizado por el ataque avanzado con el propósito de conseguir las credenciales; o sea, el usuario y la contraseña. Si tienen estos datos ya ingresa a la empresa y puede comenzar a moverse lateralmente.

Cuando se habla de seguridad generalmente se habla de blindar a las empresas, pero ¿se tiene que tomar en cuenta a las personas que se encuentran fuera de ellas, como los clientes?

Lo que quieren hacer es tener las credenciales de las personas que tienen acceso a la información confidencial, que puede ser una base de datos o un file server. Los clientes que se encuentran fuera, como no tienen acceso a esa información, no representan un riesgo para esa empresa, el riesgo es para esa persona. Y en términos de ataques avanzados lo que están buscando es robar dinero.

Por ejemplo, tuvimos un caso en Brasil con una empresa brasileña que estaba buscando expandirse a China y tenía una tecnología propia y única, nadie más tenía esa tecnología. Comenzaron a hacer todos los procesos burocráticos durante unos ocho meses, y en ese periodo, de repente, apareció una empresa china con esa misma tecnología. ¿Cómo lo hicieron? Entraron a la empresa brasileña a través de spear phishing, mediante un movimiento lateral lograron encontrar a alguien que tenía acceso a esa tecnología y cómo funciona y la exfiltraron. La llevaron a la china y desarrollaron esas máquinas.

Ese es el verdadero peligro, no tanto el cliente.