Definitive Guide para la Protección contra amenazas de próxima ...

para la

Ganando la guerra a la nueva variedad de ciberataques

Protección contra amenazas de próxima generación

¿Todas las de perder en la lucha contra la nueva variedad de ciberataques actuales? Aprenda cómo derrotar a sus ciberenemigos con protección contra amenazas de próxima generación (NGTP).A pesar de gastar más de 20 000 millones de dólares en sistemas de seguridad tradicionales, las organizaciones se enfrentan a una nueva variedad de ciberataques, con exploits zero-day, malware polimórfico y amenazas avanzadas persistentes (APT) a la cabeza. Nuestra única opción de vencer a estos adversarios hoy día, dada su sobrada financiación y su alta motivación, pasa por cambiar de forma de pensar. Si se ocupa de la seguridad de la red de su empresa, no debe perderse esta guía.

• Definición de las amenazas de próxima generación: comparación de los ciberataques tradicionales con una nueva variedad de amenazas de próxima generación.

• Conocer al enemigo: examen de tres tipos de ciberenemigos y sus métodos para derrotar los sistemas de seguridad tradicionales.

• Anatomía de los ciberataques avanzados: descripción de las cinco fases del ciclo de vida de los ataques avanzados y señales que permiten detectar las amenazas avanzadas persistentes (APT).

• Introducción a la protección contra amenazas de próxima generación: revisión de los componentes clave de las soluciones de NGTP y comparación con las defensas de seguridad tradicionales.

• Análisis de la protección contra amenazas de próxima generación: información sobre cómo mitigar las amenazas de próxima generación en los mensajes de correo electrónico, las comunicaciones a través de la Web y los archivos en reposo.

• Selección de la solución de NGTP adecuada: descripción exacta sobre qué buscar (y, lo que es más importante, qué evitar) a la hora de evaluar una solución de NGTP.

Steve Piper, CISSP

PRÓLOGO DE:David DeWalt

Cortesía de:

Acerca del autorSteve Piper es un experto en seguridad de la información con más de 20 años de experiencia en el sector de las tecnologías. Como escritor y consultor freelance, Steve es autor de numerosos libros sobre seguridad de la información, infraestructuras de red y gestión de grandes volúmenes de datos (Big Data). Cuenta con un certificado en seguridad CISSP del ISC2 y una licenciatura en ciencias y un MBA de la George Mason University. Encontrará más información en www.stevepiper.com.

Prohibida la venta

Definitive GuideTM

Acerca de FireEye

FireEye es el líder en la lucha contra la nueva variedad de ciberataques actuales, como los ataques desconocidos (zero‑day) y APT, que sortean las defensas tradicionales y afectan a más del 95 % de las redes. La plataforma de FireEye complementa los firewalls, sistemas IPS, antivirus y puertas de enlace basados en firmas, y proporciona el único sistema de protección del mundo eficaz para distintas empresas y que prescinde del uso de firmas, contra vectores de ataque a través de la Web y el correo electrónico, así como malware residente en recursos compartidos. Es la única plataforma integrada de la industria que detiene los ataques en todas las fases de su ciclo de vida, desde el exploit a la filtración. Gracias a su tecnología Virtual Execution patentada, la plataforma de FireEye está especialmente capacitada para proteger contra la nueva variedad de ciberataques. Las soluciones de FireEye se han desplegado en más de 40 países y en más del 25 % de las empresas del índice Fortune 100.

• Puesto 4 en el programa de premios Deloitte 2012 Technology Fast 500™ de Norteamérica

• Premio Wall Street Journal 2012 Technology Innovation• Investido como JPMorgan Chase Hall of Innovation

LA NUEVA GENERACIÓN DE CIBERATAQUES

HAN PENETRADO EN EL 95 % DE LAS REDES.

¿CREE QUE ESTÁ ENTRE EL 5 % RESTANTE?

© 2013 FireEye, Inc. Todos los derechos reservados.

Es posible que crea que sus defensas de seguridad

actuales impiden a los nuevos ciberataques entrar en su

red y apoderarse de sus datos. Pero no es así.

Los ciberataques actuales sortean los firewalls, IPS, antivirus

y puertas de enlace tradicionales y de nueva generación.

FireEye es su mejor medio de defensa. Ponga fin a la nueva

variedad de ciberataques con protección contra

amenazas de próxima generación. Visítenos hoy en

www.FireEye.com y permítanos cerrar las brechas en la

protección de su red.

Steve Piper, CISSPPrólogo de David DeWalt

para laprotección contra amenazas

de próxima generación

Definitive GuideTM


Definitive Guide™ para la protección contra amenazas de próxima generaciónPublicada por:CyberEdge Group, LLC1997 Annapolis Exchange ParkwaySuite 300Annapolis, MD 21401(800) 327-8711www.cyber-edge.com

Copyright © 2013, CyberEdge Group, LLC. Reservados todos los derechos. Definitive Guide™ y el logotipo de CyberEdge Press son marcas comerciales de CyberEdge Group, LLC en los Estados Unidos y otros países. Todas las demás marcas comerciales y marcas comerciales registradas son propiedad de sus respectivos propietarios.

Sin perjuicio de lo dispuesto por la Ley de propiedad intelectual de los Estados Unidos de 1976, ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación o transmitida, de ninguna forma ni por ningún medio, sea electrónico, mecánico, por fotocopia, grabación, escaneado u otros, sin la autorización previa por escrito del editor. Las solicitudes de autorización del editor deben remitirse a Permissions Department, CyberEdge Group, 1997 Annapolis Exchange Parkway, Suite 300, Annapolis, MD, 21401 (Estados Unidos) o enviarse por correo electrónico a [email protected].

LÍMITE DE RESPONSABILIDAD/EXENCIÓN DE RESPONSABILIDAD: EL EDITOR Y EL AUTOR NO OFRECEN DECLARACIONES NI GARANTÍAS CON RESPECTO A LA EXACTITUD O INTEGRIDAD DEL CONTENIDO DE ESTA OBRA Y RENUNCIAN ESPECÍFICAMENTE A TODAS LAS GARANTÍAS, INCLUIDAS, SIN LIMITACIÓN, LAS GARANTÍAS DE ADECUACIÓN PARA UN FIN PARTICULAR. LOS CONSEJOS Y LAS ESTRATEGIAS CONTENIDOS EN LA PRESENTE OBRA PUEDEN NO SER CONVENIENTES PARA TODAS LAS SITUACIONES. NI EL EDITOR NI EL AUTOR ACEPTAN RESPONSABILIDADES POR LOS DAÑOS QUE PUDIERAN DERIVARSE DE LOS MISMOS. EL QUE UNA EMPRESA O SITIO WEB SEA MENCIONADO EN ESTA OBRA A MODO DE CITACIÓN Y/O POSIBLE FUENTE DE INFORMACIÓN ADICIONAL NO SIGNIFICA QUE EL AUTOR O EL EDITOR SUSCRIBAN LA INFORMACIÓN QUE LA EMPRESA O EL SITIO WEB PUEDAN PROPORCIONAR O LAS RECOMENDACIONES QUE PUEDAN FORMULAR. ASIMISMO, LOS LECTORES DEBEN TENER PRESENTE QUE LOS SITIOS WEB MENCIONADOS EN ESTA OBRA PUEDEN HABER CAMBIADO O DESAPARECIDO ENTRE EL MOMENTO DE PUBLICACIÓN DE ESTA OBRA Y SU LECTURA.

Para obtener información general sobre los servicios de investigación y consultoría de marketing o para crear un libro Definitive Guide (Guía definitiva) personalizado para su empresa, póngase en contacto con nuestro departamento de ventas en el 800-327-8711 o en [email protected].

ISBN: 978-0-9888233-0-3 (libro en rústica); ISBN: 978-0-9888233-1-0 (libro electrónico)Impreso en los Estados Unidos de América.

10 9 8 7 6 5 4 3 2 1

Agradecimientos del editor

CyberEdge Group agradece a las siguientes personas sus contribuciones:

Editor: Susan ShuttleworthDiseño gráfico: Debbi Stocco, Christian BrennanCoordinadora de producción: Valerie LoweryAyuda especial de FireEye: Phil Lin, Lisa Matichak, Brent Remai, David DeWalt

http://www.cyber-edge.com

mailto:info%40cyber-edge.com?subject=

mailto:info%40cyber-edge.com?subject=

http://debbistocco.com

ContenidoPrólogo ......................................................................................... vIntroducción ............................................................................... vii

Resumen de los capítulos ........................................................................vii

Iconos prácticos ......................................................................................viii

Definición de las amenazas de próxima generación ................1Estadísticas estremecedoras ......................................................................2

Víctimas recientes ......................................................................................3Ataques contra empresas .............................................................3Ataques contra la Administración ...............................................3

El costo del fracaso ....................................................................................4

Panorama de amenazas actual ..................................................................5Amenazas tradicionales ...............................................................5Amenazas de próxima generación ............................................... 7

Conocer al enemigo ...................................................................11¿Quién es el enemigo? ..............................................................................11

Ciberdelincuentes ...................................................................... 12Ejecutores de amenazas de Estado ............................................ 12Hacktivistas ................................................................................ 13

Cómo se impone el enemigo .................................................................... 15Sortear las defensas basadas en firmas ..................................... 15Elusión de las defensas basadas en anomalías .......................... 15

Anatomía de los ciberataques avanzados ...............................17Las APT en profundidad ...........................................................................17

Lo que una APT no es ................................................................ 18Las APT en las noticias ............................................................................ 19

Flame (2012) ..............................................................................20Ataque a RSA SecurID (2011) ....................................................20Stuxnet (2010) ........................................................................... 21Operación Aurora (2009) ..........................................................22

La reacción en cadena de un ataque APT nacional .................................22

Ciclo de vida de los ataques APT .............................................................23Fase 1: intrusión inicial aprovechando las vulnerabilidades del sistema ..................................................................................24Fase 2: se instala malware en el sistema afectado ....................25Fase 3: se inicia la conexión de salida .......................................25Fase 4: el atacante se propaga lateralmente ..............................25Fase 5: se extraen los datos comprometidos .............................26El atacante oculta sus huellas y pasa inadvertido ..................... 27

Indicadores de un ataque APT ................................................................29

iv | Guía definitiva sobre la protección contra amenazas de próxima generación

Introducción a la protección contra amenazas de próxima generación .. 31Qué se necesita realmente .......................................................................32

Defensas sin el uso de firmas .....................................................32Protección además de detección ................................................32Arquitectura de protección multinivel ......................................33Motor de detección de gran precisión ......................................33Con el respaldo de información sobre amenazas globales ........33

Definición de la protección contra amenazas de próxima generación ...34Comparación con las defensas basadas en firmas tradicionales .. 35Comparación con las tecnologías de prueba (sandbox) ............36

Componentes fundamentales ..................................................................38Malware Protection System .......................................................39Motor Virtual Execution ............................................................39Central Management System .....................................................40Red de información sobre amenazas en la nube .......................40

Análisis de la protección contra amenazas de próxima generación ........ 41Cómo funciona ......................................................................................... 41

Despliegues en línea y fuera de banda .......................................44Características fundamentales ................................................................44

Ejecución virtual de objetos sospechosos ..................................45Bloqueo fast-path .......................................................................45Archivos maliciosos en cuarentena ...........................................46Administración centralizada ...................................................... 47Reglas personalizadas ................................................................48Integración con la suite antivirus ..............................................48Controles de acceso basados en funciones ................................49Panel ...........................................................................................49Informes .....................................................................................50Alertas ........................................................................................ 51

Integración de NGTP en la infraestructura de TI existente .................... 51SIEM ...........................................................................................52Security Intelligence and Analytics ...........................................52Administración de incidentes ....................................................53

Selección de la solución de NGTP adecuada ..........................55Qué evitar .................................................................................................55

Criterios importantes para la compra .....................................................56Plataforma de NGTP integrada para inspección de la Web, el correo electrónico y los archivos ............................................ 57Supervisión del tráfico entrante y saliente ................................ 57Inspección de una gran variedad de tipos de archivo ............... 57Solución con análisis manual de malware .................................58Sin falsos positivos ni falsos negativos ......................................59Posibilidad de reglas personalizadas .........................................59Interfaz de usuario intuitiva ......................................................59Asistencia al cliente que responda .............................................60

Glosario.......................................................................................61

Prólogo

Tras mis reuniones con líderes nacionales y con clientes de todo el mundo, he descubierto que existe una enorme

disparidad entre el nivel de seguridad que demandan ellos para sus redes y el disponible cuando usan herramientas de seguridad tradicionales. La razón es que la nueva generación de ciberataques ya forma parte de sus vidas diarias, pero ellos siguen trabajando con herramientas basadas en modelos tecnológicos con décadas de antigüedad.

Todo el sector de la seguridad debe cambiar de mentalidad porque a base de mejoras graduales no pueden llenarse los vacíos que crea la amenaza de los sofisticados ciberdelincuentes de la actualidad. Ya he dicho en público que el modelo actual de ciberseguridad no puede alargarse más y requiere un planteamiento totalmente nuevo.

Por eso me siento tan animado después de leer esta guía definitiva. Estoy más convencido que nunca de que necesitamos educarnos unos a otros y actuar en función de la realidad de los ciberataques de hoy día. Nos encontramos en una “carrera armamentística” que sostienen organizaciones delictivas y estados nacionales con intereses lucrativos y agendas geopolíticas interdependientes. El panorama no pinta bien.

Tengo el honor de pertenecer al Comité Asesor en Telecomunicaciones para la Seguridad Nacional del Presidente de los Estados Unidos, Barack Obama, y a los consejos de administración de Delta Airlines, Mandiant y Polycom. Desde esta perspectiva, contamos con una oportunidad única para unir el sector público y el privado en una causa común. Juntos, confío en que encontraremos soluciones innovadoras para proteger la infraestructura crítica que compartimos.

Sigue causándome asombro que, a pesar de los más de 20 000 millones de dólares que se invirtieron en tecnologías de seguridad informática el año pasado, los ciberdelincuentes y los responsables de las amenazas persistentes avanzadas (APT) puedan entrar de forma ilegal en prácticamente cualquier red y robar datos y perturbar la marcha de los negocios.

Esta guía trata sobre cómo paliar estas carencias en la defensa de nuestras redes para plantar cara a la “nueva generación de ciberataques”, tal como Steve lo describe en

vi | Definitive Guide™ para la protección contra amenazas de próxima generación

este libro. El espectacular aumento de incidentes relacionados con la ciberseguridad en todo el mundo demuestra hasta qué punto se han intensificado las amenazas y se han sofisticado e intrincado estos ciberataques. Le recomiendo encarecidamente la lectura de esta guía, así como que comparta lo aprendido con sus compañeros y con sus contactos profesionales. Sin tecnologías más avanzadas, una mejor cooperación entre todos los sectores y unos lazos más fuertes entre el sector público y el privado, no podemos detener esta próxima generación de ciberataques.

Por mi parte, incorporándome a FireEye, ratifico mi empeño en producir plataformas de vanguardia para afrontar los problemas de ciberseguridad más difíciles de estos tiempos. Desde mi salida de McAfee se me han presentado numerosas oportunidades de dirigir otras empresas, pero llevo años siguiendo a FireEye a la distancia. Es con mucha ilusión que me incorporo a una empresa con una tecnología tan revolucionaria. Respecto a esta guía, espero que ofrezca una base para desplegar una plataforma de protección frente a las amenazas de próxima generación y que sirva para configurar una red más segura y más resistente a los ataques.

David DeWaltConsejero Delegado de FireEye

Introducción

En los últimos años, empresas y organismos públicos han sido víctimas de un sinfín de ciberataques consumados

de una sofisticación y un alcance sin precedentes. A pesar de los 20 000 millones de dólares gastados al año en defensas de seguridad tradicionales, las empresas se encuentran luchando contra una nueva generación de ciberataques, como malware avanzado y amenazas persistentes avanzadas (APT, Advanced Persistent Threats), que son dinámicos, sigilosos y que comprometen con gran éxito las redes actuales.

Si existe alguna posibilidad de impedir que estos adversarios motivados ataquen nuestros sistemas, roben nuestros datos y dañen nuestra infraestructura crítica, pasa por que cambiemos de forma de pensar. Debemos ser conscientes de las limitaciones de las defensas tradicionales basadas en firmas y aprovechar la nueva tecnología para detectar y detener la nueva generación de ciberataques.

Afortunadamente, hay una solución: introducir protección contra amenazas de próxima generación (NGTP, Next-Generation Threat Protection), una nueva e innovadora plataforma de seguridad para redes que ha demostrado ser de ayuda para ganar la batalla contra las amenazas de próxima generación. Si es el responsable de la seguridad de la red de su empresa, no debe perderse esta guía.

Resumen de los capítulosCapítulo 1, "Definición de las amenazas de próxima generación": analiza asombrosas estadísticas sobre las fugas de datos más importantes, describe los ciberataques contra empresas y organismos públicos recientes más sonados, expone los costos típicos asociados a ataques consumados y compara los ciberataques tradicionales con los de próxima generación.

Capítulo 2, "Conocer al enemigo": define tres tipos de ciberenemigos (ciberdelincuentes, ejecutores de amenazas de Estado y hacktivistas) y describe por qué consiguen sortear las defensas de seguridad tradicionales.

Capítulo 3, "Anatomía de los ciberataques avanzados": define las APT y examina los ejemplos más notorios de los titulares de la prensa internacional. El capítulo profundiza después en la posible "reacción en cadena" de una APT

viii | Definitive Guide™ para la protección contra amenazas de próxima generación

consumada en una infraestructura crítica, analiza en detalle cada una de las cinco fases del ciclo de vida de las APT y enumera los indicadores para detectar APT en su empresa.

Capítulo 4, "Introducción a la protección contra amenazas de próxima generación": llega al fondo de la cuestión y define la NGTP, describe las características de una solución de NGTP ideal y compara la NGTP con las defensas tradicionales basadas en firmas y las tecnologías de entorno de prueba (sandbox).

Capítulo 5, "La protección contra amenazas de próxima generación al detalle": amplía el capítulo 4 con detalles precisos sobre la forma en que la NGTP mitiga la nueva generación de ciberataques en mensajes de correo electrónico, comunicaciones web y archivos en reposo. Explora las características clave de las principales soluciones de NGTP y describe formas habituales de integrarlas en una infraestructura de red existente.

Capítulo 6, "Selección de la solución de NGTP adecuada": proporciona una descripción exacta sobre qué buscar (y, lo que es más importante, qué evitar) a la hora de comprar una solución de NGTP.

Glosario proporciona definiciones prácticas de terminología clave (que aparece en cursiva) utilizada en este libro.

Iconos prácticosSUGERENCIA

Las sugerencias proporcionan consejos prácticos que puede aplicar en su empresa.

NO OLVIDECuando vea este icono, tome nota ya que el contenido relacionado contiene información clave que conviene recordar.

ATENCIÓNActúe con cautela porque, de lo contrario, puede salirle caro a usted y a su empresa.

INFO TÉCNICAEl contenido asociado a este icono es de naturaleza más técnica y está destinado a profesionales de TI.

EN LA WEB¿Desea obtener más información? Visite la URL correspondiente para acceder a contenido adicional disponible en la Web.

Capítulo 1

Definición de las amenazas de próxima generación

En este capítulo • Revisión de estadísticas recientes sobre fugas de datos • Análisis de ciberataques tradicionales • Descripción del malware avanzado, las amenazas zero-day

y las amenazas persistentes avanzadas

Los ciberataques actuales son más sofisticados que nunca. En el último año, hemos presenciado fugas de

datos alarmantes de una complejidad y una magnitud sin precedentes. Como consecuencia, todos los CISO se han visto obligados a reconsiderar la seguridad de la red de sus empresas.

Al mismo tiempo, el sector de la ciberdelincuencia se ha transformado completamente, pasando desde la piratería por pura diversión a los ciberataques con ánimo de lucro o, en algunos casos, con fines políticos. Los ciberdelincuentes actuales están bien formados e incorporan técnicas de ataque sofisticadas que no pueden ser combatidas con las defensas tradicionales basadas en firmas, que son insuficientes.

Actualmente, las empresas se enfrentan a una nueva generación de ciberataques. Estas amenazas multivectoriales y multifase eluden fácilmente las defensas de seguridad tradicionales, como firewalls, sistemas de prevención de intrusiones (IPS, Intrusion Prevention Systems), puertas de enlace seguras de la Web y del correo electrónico, y plataformas antivirus.

Entonces, ¿cuál es la gravedad del problema? Veamos algunas estadísticas y referencias recientes a algunos de los ciberataques más nefastos de nuestra época.

2 | Definitive Guide™ para la protección contra amenazas de próxima generación

Estadísticas estremecedorasVarios reputados organismos de investigación de ciberseguridad supervisan las tendencias de los ciberataques contra empresas. Entre estos se encuentra el equipo Verizon RISK (Response, Intelligence, Solutions and Knowledge), que publica un informe anual de investigaciones de fugas de datos ampliamente reconocido.

En 2012, Verizon analizó 855 incidentes de seguridad de datos que tuvieron lugar el año anterior y que dieron lugar a 174 millones de registros afectados. El análisis de Verizon generó algunas estadísticas estremecedoras:

; El 98 % de los incidentes fue originado por agentes externos (aumento del 6 % respecto del año anterior)

; El 85 % tardó semanas en descubrirse (aumento del 6 %)

; El 81 % estaba asociado a algún tipo de piratería (aumento del 31 %)

; El 69 % incorporaba malware (aumento del 20 %)

EN LA WEBPara descargar una copia gratuita del informe de Verizon, visite www.verizonbusiness.com.

También en 2012, FireEye, líder en protección contra amenazas de próxima generación, publicó su informe de amenazas avanzadas (primera mitad de 2012). Según este informe, las empresas sufren cada semana un promedio de 643 eventos maliciosos basados en la Web, que consiguen superar las defensas de seguridad tradicionales, como firewalls, sistemas de prevención de intrusiones y software antivirus. En comparación con el mismo periodo en 2011, el número de infecciones por empresa aumentó en un 225 %.

EN LA WEBPara descargar una copia gratuita del informe de FireEye, visite www.fireeye.com/info-center/.

Pese a los aumentos globales en gastos de seguridad de la información (lo que equivale a más de 20 000 millones anuales en servicios y productos de seguridad de la información), está creciendo el porcentaje de fugas de datos como resultado de la piratería externa y los ataques que incorporan malware, y todavía se tarda varias semanas en descubrir los principales ataques a la seguridad de los datos.

www.verizonbusiness.com

www.fireeye.com/info

Capítulo 1 : Definición de las amenazas de próxima generación | 3

Víctimas recientesA menos que las empresas y los organismos públicos adopten un nuevo enfoque más sofisticado para mitigar las amenazas de próxima generación, continuarán copando los titulares de las noticias de maneras que jamás hubieran deseado. A continuación se incluye una muestra de los últimos ataques más relevantes dirigidos a empresas y a Administraciones, que emplean técnicas de piratería avanzadas:

Ataques contra empresas ; Global Payments (marzo de 2012): ataque ocurrido

en enero de 2011, en el que un hacker filtró datos de más de 7 millones de tarjetas de crédito. El incidente le costó a este procesador de tarjetas de crédito cerca de 85 millones de dólares y su exclusión temporal de la lista de Visa y MasterCard.

; Citigroup (junio de 2011): la empresa reveló que un ciberataque dio lugar al robo de más de 360 000 números de tarjetas de crédito, 3400 de los cuales fueron utilizados para robar más de 2,7 millones de dólares.

; RSA Security (marzo de 2011): los ciberatacantes robaron datos relacionados con tokens SecurID comprometiendo así su seguridad.

SUGERENCIAVaya al recuadro “RSA Security describe el ataque APT” del capítulo 3 para obtener más información sobre este ataque.

Ataques contra la Administración ; Departamento de Hacienda de Carolina del

Sur (octubre de 2012): un hacker filtró cerca de 3,6 millones de números de la Seguridad Social y 387 000 números de tarjetas de crédito y débito a través de un ciberataque externo.

; Agencia de Protección Ambiental de los Estados Unidos (EPA) (agosto de 2012): los números de la Seguridad Social, las claves bancarias y las direcciones postales de más de 5000 empleados de la EPA quedaron expuestos al público después de que un empleado hiciera clic en un adjunto de correo electrónico malicioso.

; Irán (mayo de 2012): se desplegó el malware Flame supuestamente desarrollado por los Estados Unidos e Israel para frenar el programa nuclear de Irán.


El costo del fracasoNO OLVIDE Con el fin de mitigar las amenazas tradicionales y de próxima

generación, las empresas de seguridad de TI deben implementar una estrategia de defensa en profundidad (capas de defensas de seguridad de redes y endpoints). No hacerlo les podría salir caro. De hecho, podría llevar a una empresa a la bancarrota.

En 2012, el Ponemon Institute (www.ponemon.org) publicó su tercer informe anual titulado "2012 Cost of Cyber Crime Study: United States" (Estudio sobre el costo de la ciberdelincuencia en 2012: Estados Unidos). Tras analizar el costo de las fugas de datos de 56 empresas establecidas en los Estados Unidos, Ponemon puso de manifiesto que el costo medio anualizado del ciberdelito para cada empresa era de 8,9 millones de dólares, en un rango de 1,4 a 46 millones de dólares. Esto supone 8,4 millones de dólares más que en 2011 (aumento del 6 %). Ponemon también calculó que el promedio de ciberataques consumados por semana para cada empresa era de 102, 72 más por semana que en 2011 (aumento del 42 %).

EN LA WEBPara descargar una copia gratuita del informe de Ponemon, visite www.ponemon.org/library.

Las empresas víctimas de fugas de datos a gran escala se enfrentan a enormes costos, incluidos:

; Costos de investigaciones y análisis forenses

; Costos de comunicaciones con clientes y socios

; Costos de relaciones públicas

; Pérdidas de ingresos debido a daños en la reputación

; Sanciones por el incumplimiento de normativas oficiales

; Demandas civiles y honorarios de representación

En lo que respecta a la protección contra los ciberataques, se aplica el viejo dicho de "más vale prevenir que curar". Las empresas deben incorporar protección contra amenazas de próxima generación en su arquitectura de defensa en profundidad para mantenerse a la vanguardia de la nueva generación de ciberataques, por su propio bien y por el bien de sus clientes y accionistas.

www.ponemon.org

www.ponemon.org/library


Panorama de amenazas actualLas empresas y los organismos públicos actuales se enfrentan a decenas de ciberataques. Voy a simplificar el panorama de las amenazas agrupando los ciberataques en dos grandes categorías: amenazas tradicionales y amenazas de próxima generación.

Amenazas tradicionalesLos ciberataques tradicionales descritos en esta sección son antiguos, pero todavía cumplen su objetivo. Así que, no hay que subestimarlos. Pese a que, por lo general, pueden ser detectados por dispositivos IPS, firewalls de próxima generación (NGFW, Next-Generation FireWalls) y software antivirus, a veces las nuevas variantes pueden pasar inadvertidas.

Gusanos, troyanos y virusUn gusano informático es un programa de malware independiente que se autorreplica —normalmente gracias a las vulnerabilidades de los sistemas operativos— en una red para propagarse. Los gusanos causan problemas en la redes consumiendo ancho de banda, pero también proporcionan un vector de ataque "lateral" que puede infectar sistemas internos supuestamente protegidos o extraer datos. A diferencia de un virus informático, un gusano no se anexa a otros programas o archivos.

Un troyano (o caballo troyano) suele hacerse pasar por una aplicación de software útil, con el propósito final de persuadir a un usuario para que proporcione acceso a una computadora. Los troyanos pueden autorreplicarse en el sistema infectado, pero no pueden propagarse a otras computadoras vulnerables por sí solos; suelen incorporarse a redes de equipos infectados (denominadas "redes de bots"; consulte la sección siguiente) donde esperan para recibir más instrucciones y en las que envían información robada. Los troyanos pueden descargarse a través de spam o de redes sociales, o pueden camuflarse como el programa de instalación pirateado de un juego o una aplicación conocidos.

Un virus informático es un código malicioso que puede ser más o menos grave, desde ser una ligera molestia hasta tener consecuencias devastadoras. Se adjunta a un programa o archivo para poder propagarse de una computadora a otra y dejar así infecciones a su paso. Sin embargo, a diferencia de un gusano, un virus no puede distribuirse sin intervención humana.


Spyware y redes de botsEl spyware es software que recopila encubiertamente información del usuario a través de una conexión a Internet sin que el usuario se dé cuenta, normalmente con fines publicitarios (adware, software que muestra anuncios emergentes), pero a veces para robar datos confidenciales como nombres de usuario, contraseñas y números de tarjetas de crédito. Las aplicaciones de spyware suelen agruparse como un componente oculto de programas shareware o freeware descargados de Internet. Una vez instalado, el spyware supervisa la actividad del usuario y luego transmite encubiertamente esa información en segundo plano a otra persona.

INFO TÉCNICA Una red de bots es un grupo de computadoras conectadas por Internet en las que se ejecuta el malware. Cada dispositivo afectado se denomina bot (o zombi) y el humano que controla una red de bots recibe el nombre de dueño de la red de bots (o botmaster). El comando y control de una red de bots suele requerir servidores web (denominados servidores de comando y control o CnC, por sus siglas en inglés) utilizados con el fin específico de controlar bots, aunque algunas redes de bots más antiguas son gestionadas por el dueño de la red de bots mediante Internet Relay Chat (IRC). Los bots se utilizan con frecuencia para cometer ataques de denegación de servicio, transmitir spam, almacenar datos robados y/o descargar malware adicional en la computadora host infectada.

Ataques de ingeniería socialLos ataques de ingeniería social —como phishing y baiting— son extremadamente comunes. Como mencionaré en el capítulo 3, estos ataques, cuando tienen éxito, pueden dar lugar a ciberataques mucho más amplios y sofisticados.

El phishing es un intento de adquirir información (y, de forma indirecta, dinero), como nombres de usuarios, contraseñas, información de tarjetas de crédito y números de documentos de identidad, haciéndose pasar por una entidad de confianza en una comunicación por correo electrónico. Tras hacer clic en un hipervínculo (aparentemente inocente), el usuario recibe instrucciones para introducir sus datos personales en un sitio web falso que tiene un diseño casi idéntico al legítimo.

El phishing puede tener un propósito en particular, como en los siguientes casos:

; Phishing selectivo: se dirige a una o varias personas concretas de una empresa. Los agresores suelen recabar con antelación información personal sobre su objetivo con el fin de aumentar sus probabilidades de éxito.


; Whaling: phishing dirigido específicamente a altos ejecutivos y otros objetivos de peso de una empresa.

Baiting: tiene lugar cuando un delincuente deja a propósito una memoria USB o un CD-ROM en un parking o un cibercafé. La unidad o disco suele tener escritas palabras como "sueldos de los ejecutivos" o "confidencial de la empresa" con el fin de despertar el interés de quienquiera que lo encuentre. Cuando la víctima accede al soporte, instala el malware en su computadora.

Desbordamientos de búfer e inyecciones SQLLos desbordamientos de búfer y los ataques de inyección SQL son dos técnicas de uso frecuente que aprovechan vulnerabilidades.

Un desbordamiento de búfer es un ciberataque en el que el hacker escribe más datos en un búfer de memoria de los que admite el búfer, según su diseño original. Algunos de estos datos invaden la memoria adyacente y hacen que la aplicación de escritorio o basada en la Web ejecute arbitrariamente código con privilegios superiores o que incluso se bloquee. Por lo general, los desbordamientos se activan mediante entradas de hackers o archivos/objetos web maliciosos diseñados para ejecutar código o alterar el funcionamiento del programa.

Una inyección SQL ataca bases de datos a través de un sitio web o una aplicación basada en la Web. El atacante envía instrucciones SQL en un formulario web en un intento de lograr que la aplicación web transmita el comando SQL malicioso a la base de datos. Un ataque de inyección SQL consumado puede revelar contenido de la base de datos (como números de tarjetas de crédito y de documentos de identidad, entre otros) al atacante.

Amenazas de próxima generaciónLas defensas de seguridad tradicionales basadas en firmas — incluidas las soluciones IPS, NGFW y antivirus— están diseñadas principalmente para detectar amenazas conocidas. Pero en la actualidad, los principales titulares están protagonizados por amenazas desconocidas.

SUGERENCIA Esta sección analiza en detalle los ciberataques más peligrosos a los que se enfrentan las empresas y los organismos públicos en la actualidad. En el capítulo 2, explicaré por qué las defensas de seguridad tradicionales son inadecuadas para detectarlos y prevenirlos.


Amenazas zero-dayUna amenaza zero-day es un ciberataque que aprovecha una vulnerabilidad desconocida de una aplicación o de un sistema operativo. Se llama así porque el ataque se lanza el mismo día (día cero) que se hace pública la vulnerabilidad o, cada vez con más frecuencia, incluso antes y, en muchos casos, antes de que el proveedor la conociera. (En ocasiones, el proveedor ya tiene constancia de la vulnerabilidad, pero no la ha hecho pública porque todavía no se ha creado un parche).

NO OLVIDE Los ataques zero-day son extremadamente eficaces porque pueden pasar inadvertidos durante largos periodos (normalmente, varios meses, pero a veces durante años) y cuando finalmente son identificados en circulación, la creación de un parche para la vulnerabilidad todavía tarda días o incluso semanas.

Amenazas persistentes avanzadasLas amenazas persistentes avanzadas (APT) (también conocidas como ataques selectivos avanzados o ATA) son sofisticados ataques en los que una persona no autorizada obtiene acceso a una red y permanece en ella durante un largo periodo sin ser detectada. El propósito de una APT es robar datos más que causar daños en la red. Las APT van dirigidas a empresas de sectores con información muy valiosa, como procesadores de tarjetas de crédito, organismos públicos e instituciones financieras.

Las APT suelen recurrir al phishing selectivo (consulte la sección "Ataques de phishing y baiting" anterior) para obtener acceso inicial a la red. Una vez que se ha infectado un host inicial, la APT utiliza una estrategia lenta y discreta para eludir la detección.

SUGERENCIA El capítulo 3 está dedicado al tema de las APT y describe cómo algunos ciberdelincuentes sofisticados han utilizado tácticas lentas y discretas en algunas de las fugas de datos más importantes hasta la fecha.

Aunque yo he propuesto una definición para las APT en esta guía, existen distintas definiciones en el sector de seguridad de la información. Algunos afirman que las ATP solo las cometen las naciones (como China y Rusia) por intereses políticos y reservan el término ATA para ataques con intereses económicos. Otros utilizan el término para definir cualquier ciberataque "sofisticado", independientemente de la metodología empleada. Sin embargo, creo que mi definición refleja la opinión mayoritaria de los profesionales de seguridad de la información.


Amenazas polimórficasUna amenaza polimórfica es un ciberataque —como un virus, gusano, spyware o troyano— que cambia constantemente (se transforma), por lo que es prácticamente imposible de detectar con defensas basadas en firmas. Las amenazas polimórficas pueden evolucionar de varias formas, como con cambios de nombre del archivo y nivel de compresión (tamaño del archivo).

Aunque el aspecto del código de una amenaza polimórfica cambia con cada "mutación", la función esencial sigue siendo, por lo general, la misma. Por ejemplo, un programa de spyware concebido para actuar como un keylogger (malware no autorizado que registra las pulsaciones de las teclas) continuará ejecutando esa función aunque su firma haya cambiado.

La evolución de las amenazas polimórficas ha dificultado con creces el trabajo de los profesionales de seguridad de TI. Los proveedores que fabrican productos de seguridad basados en firmas se ven abocados a crear y distribuir constantemente nuevas firmas de detección de amenazas (una opción muy lenta y costosa, cabe añadir), mientras que las empresas y los organismos públicos —a menudo con miles de hosts que proteger (especialmente hosts de Microsoft Windows; consulte el recuadro "Por qué Windows es tan propenso a los ciberataques")— despliegan continuamente las firmas que producen sus proveedores de seguridad. Es un círculo vicioso, siempre a la zaga de los ciberdelincuentes, que parece no tener fin.

Amenazas combinadasUna amenaza combinada es un ciberataque que combina elementos de varios tipos de malware y que, normalmente, emplea varios vectores de ataque (con distintas rutas y objetivos de ataque) para aumentar la gravedad del daño y la velocidad del contagio. Nimda, CodeRed y Conficker son solo unos pocos ejemplos conocidos de amenazas combinadas.

Una amenaza combinada generalmente presupone:

; Varios medios de propagación

; El aprovechamiento de vulnerabilidades de sistemas operativos y/o aplicaciones

; El intento de causar daño a hosts de redes


ATENCIÓN En general, las amenazas combinadas están consideradas por los profesionales de seguridad de la información como el peor riesgo para la seguridad de una red desde la aparición de los virus, ya que la mayoría de ellas no requieren intervención humana para propagarse.

Por qué Windows es tan propenso a los ciberataques

Prácticamente todas las fugas de datos sonadas que encontramos en la prensa especializada —cuando menos las originadas por amenazas procedentes de Internet, más que las relacionadas con el robo físico de portátiles o unidades de memoria USB— son fruto de un ciberataque contra un host Microsoft Windows.

¿Significa esto que los hosts con Windows son más propensos a los ciberataques? Los expertos en seguridad de TI creen que es así y, en términos generales, ofrecen dos explicaciones —que yo considero perfectamente válidas.

La primera explicación está meramente relacionada con la cuota de mercado de los sistemas operativos de sistemas de escritorio de cuasimonopolio que posee Microsoft, especialmente en entornos empresariales. Si bien las estimaciones de los analistas varían, la mayoría ponen de manifiesto que aproximadamente 9 de cada 10 dispositivos informáticos de usuarios finales utilizan un sistema operativo Windows. Por lo tanto, cuando los hackers más sofisticados desarrol lan gusanos, troyanos, redes de bots y ataques de phishing selectivo complejos, Windows es claramente el objetivo elegido.

La segunda explicación tiene un carácter más "técnico". Windows, así como su antecesor Microsoft DOS, fue diseñado para ser un sistema operativo de un solo usuario —

claramente, con la seguridad como un aspecto secundario. En otras palabras, Windows fue diseñado para que el usuario tuviera acceso completo a todo el sistema operativo. Sin embargo, años después —a partir de Windows NT— Windows se modificó para que admitiera varios usuarios. Pero, en lugar de rediseñar Windows desde cero como un sistema operativo multiusuario, Microsoft prefirió mantener la compatibilidad con programas creados para versiones de Windows más antiguas.

De esta forma, Microsoft dejó W i n d o w s l l e n ó d e a g u j e r o s (vulnerabilidades) para uso y disfrute de los hackers. Tantos, de hecho, que el segundo martes de cada mes ha pasado a conocerse como "Patch Tuesday" (martes de parches): cuando Microsoft publica nuevos parches (a través de sus boletines de seguridad) para hacer frente a las vulnerabilidades en los sistemas operativos Windows. Aunque los martes de parches se remontan a 2004, todavía se hallan en pleno funcionamiento en la actualidad.

¿Significa esto que los sistemas operativos que no están basados en Windows están completamente a salvo de virus, malware y otros ciberataques? Obviamente, no. Pero como Mac OS X y Linux fueron diseñados desde cero con la seguridad como prioridad, estas plataformas son mucho menos susceptibles.

Capítulo 2

Conocer al enemigo En este capítulo

• Clasificación de los ciberenemigos en tres clases • Cómo sortean los atacantes la defensas de seguridad tradicionales

"Si conoces al enemigo y te conoces a ti mismo, ni en cien batallas correrás peligro. Si te conoces a ti mismo pero no conoces al enemigo, perderás una batalla y ganarás otra".

— Sun Tzu, El arte de la guerra

“Conocer al enemigo” es un tema crucial del manuscrito El arte de la guerra de Sun Tzu que, sin lugar a dudas,

está estrechamente relacionado con la guerra contra los ciberataques actuales (y ahora, contra el ciberterrorismo). Antes de pasar a explicar en profundidad la anatomía de las amenazas persistentes avanzadas (capítulo 3) y cómo protegernos de ellas (capítulo 4), vamos a dedicar algo de tiempo a conocer a nuestros enemigos, así como a entender sus motivaciones y el porqué de su éxito.

¿Quién es el enemigo?La imagen de los ciberatacantes ha cambiado considerablemente con el paso de cada década. En los años 70 y 80, estaba en boga el phone phreaking (manipulación no autorizada de equipos de conmutación telefónica, principalmente, para hacer llamadas de larga distancia gratuitas). En 1983, la película "Juegos de guerra", protagonizada por un joven Matthew Broderick, dio a conocer al público en general la piratería mediante el uso de un módem, y nació la leyenda de los hackers como ciberhéroes.


La década de los 90 trajo consigo la adopción generalizada de Internet, incluida la aparición de la World Wide Web. En aquel entonces, los hackers manipulaban los sitios web públicos con el objetivo principal de presumir sobre sus habilidades —hasta el cambio de siglo.

NO OLVIDE La piratería se ha transformado ahora en una industria que mueve miles de millones de dólares. Atrás quedaron los días de la piratería por pura diversión. En la actualidad los autores de los ciberataques a los que deben enfrentarse las empresas y los organismos públicos se pueden dividir en tres categorías: ciberdelincuentes, ejecutores de amenazas auspiciadas por Estados y hacktivistas.

CiberdelincuentesDicho de manera simple, los ciberdelincuentes son personas que cometen acciones de piratería informática para obtener un beneficio económico. En la mayoría de los casos, penetran en las redes de las empresas con el fin de robar números de tarjetas de crédito (a veces, decenas o incluso cientos de miles) y venderlos en el mercado libre. Aunque no son tan rentables, las credenciales de cuentas de Facebook, Twitter y correo electrónico también se venden por una buena suma.

Uno de los ciberdelincuentes más famosos jamás condenado es Albert Gonzalez. En 2010, Gonzalez fue acusado de piratear las bases de datos de una empresa regional de procesamiento de pagos con tarjeta de crédito y robar más de 170 millones de números de tarjetas de crédito a lo largo de dos años. Fue condenado a 20 años de cárcel, la condena más dura impuesta a un ciberdelincuente hasta la fecha.

Ejecutores de amenazas de EstadoPodría decirse que el cambio más notable en la comunidad de hackers en la última década ha sido la aparición de personas que llevan a cabo amenazas auspiciadas por un país. Se trata de personas contratadas por un gobierno (no necesariamente su propio gobierno) para introducirse en sistemas informáticos de empresas y/o Administraciones públicas de otros países con el propósito de comprometer datos, sabotear sistemas informáticos o, incluso, entablar una guerra cibernética.

China y Rusia se cuentan entre los países más frecuentemente citados por reclutar personal para llevar a cabo este tipo de amenazas. Pero no son los únicos. A continuación, se enumeran ejemplos conocidos de ciberataques supuestamente perpetrados por naciones, incluidos los Estados Unidos:

Capítulo 2 : Conocer al enemigo | 13

; Se acusa a Irán de ciberataques contra bancos estadounidenses y compañías petroleras en Arabia Saudí y Qatar (2012).

; Se acusa a los Estados Unidos e Israel de crear el malware Flame contra Irán, Siria y otros países (2012).

; China decodifica tokens SecurID de RSA (2011).

; Se acusa a los Estados Unidos e Israel de lanzar el gusano Stuxnet contra unas instalaciones de enriquecimiento de uranio en Irán (2010).

; China ataca a Google (la llamada "Operación Aurora") para acceder a las cuentas de Gmail de activistas chinos de los derechos humanos; el mismo ataque se dirige a Adobe, Juniper, Dow Chemical y Northop Grumman, entre otros (2009).

; China roba planos de nuevos cazabombarderos de ataque conjunto norteamericanos, el F-35 y F-22 (2009).

; Rusia ataca los sitios web del parlamento, ministerios, bancos y periódicos estonios durante el traslado del Soldado de bronce de Tallinn (2007).

Irán lanzó recientemente un ambicioso programa gubernamental de 1000 millones de dólares para potenciar las capacidades cibernéticas nacionales. Los expertos consideran que aunque la capacidad de guerra cibernética de China y Rusia es muy superior a la de Irán, en términos políticos, es mucho más probable que Irán ataque la infraestructura cibernética de los Estados Unidos a la vista del actual estancamiento internacional respecto del programa nuclear iraní.

HacktivistasEl hacktivismo consiste en utilizar herramientas digitales con fines políticos. A diferencia de los ciberdelincuentes que tienen una motivación económica, los hacktivistas obedecen a una motivación política. Entre los ciberataques típicos realizados por hacktivistas se incluyen la manipulación de sitios web, redireccionamientos, robo de información y sentadas virtuales mediante ataques de denegación de servicio distribuidos (DDoS) (colapsar sitios web con cientos o miles de conexiones simultáneas y reiterativas).

Algunos hacktivistas han unido sus fuerzas contra un objetivo común. En 2011, LulzSec reivindicó la autoría de varios


ciberataques sonados, incluidos numerosos ataques contra Sony y el colapso del sitio web de la Agencia Central de Inteligencia (CIA) de los Estados Unidos. En 2012, Anonymous se atribuyó la responsabilidad de colapsar varios sitios web públicos israelíes tras los ataques aéreos de Israel en Gaza.

Cibermercenarios a sueldoEn el informe "Defense Dossier" (Expediente de defensa) de agosto de 2012, el Consejo Americano de Política Exterior (AFCP, American Foreign Policy Council: www.afpc.org) alegaba que, presuntamente, Rus ia subcontrata a lgunos de s u s c i b e r a t a q u e s d e E s t a d o a c iberdel incuentes, inc luidos miembros de la otrora famosa Red de Negocios Rusa (RBN, Russian Business Network). Hasta su supuesta desaparición en 2008, RBN participó en casi todos los planes ciberdelictivos imaginables —phishing, malware y ataques DDoS, entre otros.

Según el informe de la AFPC, hay dos mot ivos por los que Rusia subcontrata trabajo a los ciberdelincuentes o, como yo los llamo, cibermercenarios. En primer lugar, es extremadamente rentable, ya que estos cibermercenarios se sacan un dinero extra cuando no trabajan para el Estado. Y en segundo lugar, incluso después de investigaciones forenses cibernéticas exhaustivas, sus ciberataques no pueden atribuirse a computadoras de organismos públicos. Esto puede

resultar especialmente abrumador para muchos occidentales que no pueden imaginar cómo un gobierno puede estar tan ligado a un elemento delictivo.

Rusia no es la única nación que colabora con ciberdelincuentes. Los expertos en seguridad de la red F i reEye (www.f i reeye.com), líder en protección contra amenazas de próxima generación, hallaron pruebas que respaldan la idea tan extendida de que China colabora con ciberdelincuentes para comprar el acceso a equipos previamente infectados como una forma más eficaz de infiltrarse en las organizaciones elegidas.

En 2011, los investigadores de F i re Eye d e te c ta ro n u n a A P T d e t i p o m a l wa re a s o c i a d a a G h o st n et , u n a o p e ra c i ó n d e ciberespionaje a gran escala con una infraestructura de comando y control con base en China, en un equipo que también llevaba malware tradicional asociado a operaciones ciberdelictivas.

¿Una coincidencia? No lo creo.

www.afpc.org

www.afpc.org

www.fireeye.com

www.fireeye.com

Capítulo 2 : Conocer al enemigo | 15

Cómo se impone el enemigoAhora que tiene un sólido conocimiento de los tres principales tipos de ciberatacantes —ciberdelincuentes, ejecutores de amenazas de Estado y hacktivistas—, explicaré por qué sus ataques tienen tanto éxito.

Sortear las defensas basadas en firmasLos productos de seguridad tradicionales para redes y endpoints —como sistemas de prevención de intrusiones (IPS), firewalls de próxima generación (NGFW), puertas de enlace de la Web seguras y soluciones antivirus— se basan en firmas que emplean la correspondencia con patrones (a veces denominados reglas o filtros) para detectar ciberataques conocidos y, en algunos casos, desconocidos contra vulnerabilidades conocidas.

Estas defensas de seguridad son sumamente eficaces para detectar ciberataques tradicionales conocidos, como gusanos, troyanos, spyware, redes de bots y virus informáticos básicos. Pero como ya apunté en el capítulo 1, resultan tremendamente ineficaces para detectar la nueva generación de ciberataques, como ataques selectivos, zero-day, malware polimórfico, ataques combinados y APT. De hecho, en la mayoría de los casos, la nueva generación de ciberataques atraviesa las defensas de seguridad tradicionales como si ni siquiera estuvieran allí. Esto se debe simplemente a que no existen firmas para detectar las tácticas avanzadas utilizadas en la primera fase de un ataque general que acaba dando rienda suelta a los ciberatacantes en la red.

ATENCIÓN No me malinterprete. Las defensas tradicionales basadas en firmas son elementos decisivos de una estrategia de defensa en profundidad equilibrada. Simplemente mantengo que no son suficientes para protegerse contra la nueva generación de ciberataques que trascienden los canales de comunicación (por ejemplo, la Web y el correo electrónico) y tienen lugar en varias fases.

Elusión de las defensas basadas en anomalíasLas mejores soluciones de IPS y análisis del comportamiento de la red (NBA, Network Behavior Analysis) incorporan métodos de detección basados en anomalías para ayudar a identificar ciberataques sofisticados. Agregan registros


de flujo (por ejemplo, NetFlow, sFlow, cFlow) de routers y conmutadores de red, y analizan el tráfico "normal" de la red durante algunos días o incluso semanas. Una vez que se han establecido los valores de referencia, es posible detectar anomalías de la red, como un host que envía cantidades desorbitadas de datos fuera de la empresa o un dispositivo informático de un usuario final que se comunica directamente con otros dispositivos de usuarios finales.

Si bien las defensas de seguridad basadas en anomalías pueden detectar ciertos eventos causados por amenazas de próxima generación, tienen escaso éxito porque son bastante proclives a falsos positivos (clasificación errónea del tráfico bueno como malo). Asimismo, también son proclives a falsos negativos (clasificación errónea del tráfico malo como bueno) debido a la naturaleza "lenta y discreta" de las amenazas persistentes avanzadas.

Capítulo 3

Anatomía de los ciberataques avanzados

En este capítulo • Definición detallada de una amenaza persistente avanzada

(APT, Advanced Persistent Threat) • Examen de las APT más notorias de los titulares de la

prensa internacional • Descripción del ciclo de vida de los ataques APT

En el capítulo 1 he explicado las diferencias entre los ciberataques tradicionales y los de nueva generación.

En el capítulo 2 hemos visto por qué las amenazas de próxima generación están tan bien equipadas que son capaces de sortear las defensas de seguridad tradicionales. Ahora me gustaría analizar la categoría de ciberataques avanzados que acapara con diferencia el mayor número de titulares en la prensa. Me refiero, por supuesto, a las amenazas persistentes avanzadas, o APT por sus siglas en inglés.

En este capítulo ampliaré la definición de APT que proporcioné en el capítulo 1. Expondré algunos de los titulares más destacados que han suscitado las APT en los últimos años y después analizaré su efecto perjudicial en las empresas y organismos públicos afectados. El capítulo concluye con la descripción del ciclo de vida de los ataques APT y con una lista de indicadores que ayudan a determinar si una red ha sido víctima de uno de estos ataques.

Las APT en profundidadEn el capítulo 1, definíamos una APT, o amenaza persistente avanzada, como "un ataque sofisticado en el que una persona no autorizada obtiene acceso a una red y permanece en ella durante un largo periodo de tiempo sin ser detectada". Aunque es una


definición perfectamente cierta, solo revela parte de la realidad. Las APT no se parecen a ningún ciberataque conocido hasta ahora.

En realidad, la expresión "amenaza persistente avanzada" fue acuñada en 2006 por los analistas de seguridad de la información de las Fuerzas Aéreas estadounidenses. Describe tres aspectos de los atacantes, a saber, su perfil, su intención y su estructura:

; Avanzados: el atacante es un experto en métodos de ciberintrusión y sabe diseñar herramientas y exploits personalizados.

; Persistentes: el atacante tiene un objetivo a largo plazo y trabaja con persistencia para alcanzarlo sin ser detectado y sin preocuparse del factor tiempo.

; Amenazas: el atacante está organizado, financiado, bien formado y sumamente motivado.

NO OLVIDE En general las APT están consideradas como el tipo de ciberataque más peligroso de nuestros días. Los ciberdelincuentes que emplean ataques APT son de una especie distinta. Son expertos en "volar por debajo del radar" para evitar ser detectados mientras extraen datos altamente confidenciales de empresas y organismos gubernamentales.

Por desgracia, la mayoría de las organizaciones no saben que son víctimas de un ataque APT hasta que es demasiado tarde. Según el mismo informe de Verizon que mencionaba en el capítulo 1, el 2012 Data Breach Investigations Report, el 59 % de las organizaciones encuestadas que experimentaron fugas de datos importantes en 2011 tuvieron conocimiento del ataque ¡al recibir una notificación de las fuerzas de seguridad!

Lo que una APT no esAunque es importante comprender qué es una APT, es igualmente importante comprender lo que no es. Una APT no es una muestra aislada de malware, ni siquiera varias juntas. No es una actividad independiente y nunca se inicia sin tener pensado un blanco u objetivo específico.

Ya se originen por beneficios económicos, opiniones políticas personales o intereses nacionales, las APT son campañas prolongadas y bien coordinadas cuya intención es conseguir un objetivo contra un blanco específico. Como descubrirá muy pronto (consulte el apartado "Ciclo de vida de los ataques APT" más adelante en este capítulo), las APT incorporan múltiples técnicas de ciberataque y tienen lugar en varias fases que forman un único ataque coordinado.

Capítulo 3: Anatomía de los ciberataques avanzados | 19

Tres mitos sobre los ataques APTLas APT figuran entre los temas más candentes de debate en el mundo actual de la seguridad de la información. Lamentablemente, sobre las APT circula casi tanta desinformación como información precisa. Dediquemos un momento a reflexionar sobre los tres mitos más comunes que rodean las amenazas persistentes avanzadas.

Mito n.º 1: solo determinados sectores son blanco de las APT.

Una de las ideas equivocadas es que solo las grandes empresas de determinados sectores son blanco de las APT. Sabemos que es falsa simplemente por los titulares (lea el apartado "Las APT en las noticias"). Se han denunciado APT en una gran variedad de sectores, como el sector público, los servicios financieros, las telecomunicaciones, la energía, el transporte e incluso la seguridad de la información, como demuestra el ataque contra RSA Security en 2011.

Mito n.º 2: las APT solo se dirigen a endpoints importantes.

El segundo mito sobre las APT es que su objetivo son únicamente los sistemas de importancia crucial y que los usuarios finales (equipos

portátiles y de escritorio) rara vez se ven afectados. Esta idea es una completa falacia y en realidad ocurre todo lo contrario. En casi todos los casos, el punto inicial de entrada de una APT es el dispositivo informático de un usuario final comprometido por un ataque de phishing selectivo, un troyano u otra forma de malware.

M i to n . º 3 : l a s A P T p u e d e n detenerse con las defensas de seguridad tradicionales.

Casi todos los proveedores de seguridad de la información se atribuyen al menos cierta capacidad para detectar y, en algunos casos impedir, ataques APT. Lo cierto es que muy pocos pueden. Las defensas de seguridad tradicionales a base de firmas de detección de amenazas (como las soluciones de prevención de intrusiones, los firewalls de próxima generación y los antivirus) son prácticamente incapaces de detectar los ataques desconocidos y las amenazas polimórficas. Contar únicamente con las defensas de seguridad tradicionales es como presentarse en un tiroteo con una navaja de bolsillo. Directamente no tienes nada que hacer.

Las APT en las noticiasÚltimamente parece que ninguna semana termina sin que salga a la luz una gran fuga de datos en una empresa, universidad u organismo público. A continuación describo algunos de los ataques APT que más interés periodístico han despertado en los últimos cuatro años.


EN LA WEB Para mantenerse al corriente de las fugas de datos más importantes que afectan a organismos públicos y privados, recomiendo encarecidamente The Data Breach Blog de la revista SC Magazine, en www.scmagazine.com/the-data-breach-blog/section/1263/.

Flame (2012)Flame, también conocido como Flamer, sKyWiper y Skywiper, es una APT que identificaron en mayo de 2012 el centro MAHER (equipo de respuesta ante emergencias informáticas de Irán), Kaspersky Lab y la Universidad de Tecnología y Economía de Budapest. Kaspersky Lab recibió de la Unión Internacional de Telecomunicaciones de las Naciones Unidas el encargo de investigar las denuncias de un virus que estaba afectando a las computadoras del Ministerio de Petróleo iraní.

Los expertos informáticos consideran que Flame es el proyectil de un ataque que en abril de 2012 obligó a los funcionarios iraníes a desconectar Internet en sus instalaciones petrolíferas. Ahora la opinión generalizada es que Estados Unidos e Israel desarrollaron el malware Flame para reunir información y preparar un cibersabotaje que debía ralentizar la capacidad de Irán para desarrollar un arma nuclear.

Tras la primera fase del exploit, Flame pone en marcha un complejo conjunto de operaciones, entre ellas contactar con sus servidores de comando y control para descargar otros módulos de malware. Completamente desplegado, Flame es un programa inusitadamente grande para ser malware, ya que suma 20 megabytes, un tamaño entre 20 y 30 veces superior al de los típicos virus informáticos. Está ampliamente reconocido como el malware más sofisticado creado jamás. Los expertos creen que Flame, diseñado para hacerse pasar por una actualización rutinaria de software de Microsoft, se creó para cartografiar y vigilar en secreto las redes informáticas iraníes y enviar constantemente datos en preparación para una campaña de guerra cibernética.

Ataque a RSA SecurID (2011)En marzo de 2011, RSA Security (una división de EMC) reveló que había sido víctima de una APT. Como consecuencia, tuvo que informar a sus clientes del sistema de autenticación de dos factores SecurID y aconsejarles que cambiaran las llaves electrónicas (o tokens) infectadas. Durante los meses siguientes, empezaron a recibirse noticias de fugas de datos causadas, en parte, por tokens SecurID comprometidos. En particular, Lockheed Martin hizo pública una declaración

www.scmagazine.com/the


admitiendo que "sofisticados adversarios" habían causado una brecha de seguridad en su red, aunque la empresa aseguró que ninguno de sus activos se había visto afectado. No obstante, algunos expertos en seguridad sospechan que el mayor contratista de defensa del país no fue del todo sincero sobre un fallo de seguridad del que al parecer se informó personalmente al presidente Obama.

EN LA WEB Poco después de que RSA Security difundiera la noticia del ataque, un directivo de la compañía publicó un blog con intrincados detalles sobre cómo se perpetró la APT en varias fases. Para obtener más información, consulte el recuadro "RSA Security describe el ataque APT" más adelante en este capítulo.

En el informe trimestral 10-Q de EMC se dio a conocer que el ataque APT contra RSA Security había generado un costo de 81.3 millones de dólares entre la sustitución de los tokens SecurID, la supervisión de los clientes, el refuerzo de los sistemas internos y la resolución de las consecuencias de la vulneración de seguridad.

Stuxnet (2010)Stuxnet es un gusano informático muy sofisticado descubierto en junio de 2010 que supuestamente llevaba implantado más de un año y que se estaba utilizando junto con un ataque APT contra la infraestructura de enriquecimiento de uranio de Irán. En la primera fase, Stuxnet se propagó atacando una vulnerabilidad de Microsoft Windows y después se extendió lateralmente en la red hasta infectar selectivamente equipos y software industrial de Siemens e impedir su buen funcionamiento. Aunque no es la primera vez que los hackers atacan sistemas industriales, sí es el primer caso documentado de malware que incluye un rootkit para controladores lógicos programables (PLC).

Siemens afirmó que el gusano no había causado ningún daño a sus clientes, pero las instalaciones nucleares iraníes adquireron de manera clandestina material de Siemens embargado, que había resultado dañado por Stuxnet durante el ataque. Curiosamente, debido a sus múltiples mecanismos de propagación, Stuxnet salió de las instalaciones iraníes e infectó Chevron, el gigante del petróleo. Sin embargo, según los directivos de esta compañía, Stuxnet se percató de que Chevron no era el blanco previsto y, al estar programado para contener su carga perjudicial en tales casos, puso fin al ciclo de vida del ataque. Como resultado, no dañó los sistemas de Chevron y la empresa pudo eliminar el gusano.


Los expertos han hallado evidencias en el código fuente de Stuxnet que relacionan el ataque APT con Estados Unidos e Israel, aunque los representantes de ambos países niegan esta acusación.

Operación Aurora (2009)La Operación Aurora fue un sonado ataque APT que se inició a mediados de 2009 y se prolongó hasta diciembre del mismo año. Google hizo pública su existencia por primera vez en enero de 2010, en una entrada de un blog donde se indicaba que el ataque se había originado en China y que estaba dirigido contra las cuentas de Gmail de los defensores chinos de los derechos humanos. También fueron víctimas docenas de empresas, incluidas Yahoo, Symantec, Northrop Grumman, Morgan Stanley y Dow Chemical.

Dos días después del ataque, McAfee declaró que los atacantes habían aprovechado una vulnerabilidad desconocida en Microsoft Internet Explorer y denominó el ataque "Operación Aurora". Una vez infectado el sistema de una víctima, la etapa siguiente del ataque consistía en establecer una conexión clandestina, disfrazada de conexión SSL, con servidores de comando y control basados en Illinois, Texas y Taiwán, algunos de los cuales eran sistemas que funcionaban con ID de cuentas de clientes robadas a Rackspace. A partir de ahí el equipo de la víctima iniciaba una búsqueda lateral de fuentes de propiedad intelectual, en concreto del contenido de los repositorios de código fuente.

La reacción en cadena de un ataque APT nacional

En el capítulo 1 (en el apartado "El costo del fracaso"), enumeraba los costos más frecuentes a los que se enfrentan las empresas cuando son víctimas de una fuga de datos a gran escala, incluidos los de análisis forenses, sanciones oficiales y pérdidas de ingresos. Pero, ¿qué ocurriría si los responsables de una APT decidieran atacar algo un poco más estratégico que los datos de una empresa?

Imaginemos, por ejemplo, un ataque APT coordinado contra las compañías eléctricas de una región extensa de Estados Unidos, como el Nordeste. Imaginemos ahora que los delincuentes lograran infectar los sistemas SCADA (supervisión de control y adquisición de datos) que controlan la red eléctrica de varios Estados y que desactivaran el servicio durante días o incluso semanas. ¿Puede imaginar la reacción en cadena de un ataque como este?


; Fallan las redes eléctricas

; Las gasolineras no pueden servir combustible

; Los cajeros automáticos no pueden dispensar efectivo

; Las tiendas de comestibles se vacían

; Los hospitales y los servicios de emergencia no pueden trabajar

¿Piensa que un ataque de esta naturaleza es imposible? Piénselo otra vez. Según un informe de 2012 titulado "Terrorism and the Electric Power Delivery System" (El terrorismo y el sistema de suministro eléctrico) del National Research Council, el huracán Sandy se quedaría en nada frente a un ciberataque consumado a una red eléctrica regional. El malware que se distribuye por Internet diseñado para destruir sistemas de control podría provocar un apagón durante semanas o meses en grandes regiones del país y generalizar disturbios entre la población. De acuerdo con este informe, los perjuicios de un ataque de este tipo costarían miles de millones de dólares más que la destrucción causada en 2012 por el huracán Sandy en la costa este.

EN LA WEBPara acceder al informe del National Research Council, visite www.nap.edu/catalog.php?record_id=12050.

Ciclo de vida de los ataques APTLa anatomía de las amenazas persistentes avanzadas varía tanto como las víctimas a las que se dirigen. Sin embargo, los expertos en ciberseguridad que han investigado las APT durante los últimos cinco años han descubierto en ellas un ciclo de vida bastante sistemático compuesto por varias fases diferenciadas:

; Fase 1: intrusión inicial aprovechando las vulnerabilidades del sistema

; Fase 2: se instala malware en el sistema afectado

; Fase 3: se inicia la conexión de salida

; Fase 4: el atacante se propaga lateralmente

; Fase 5: se extraen los datos comprometidos

www.nap.edu/catalog.php


Analicemos ahora en detalle cada una de las fases del ciclo de vida de las APT.

Fase 1: intrusión inicial aprovechando las vulnerabilidades del sistemaLa primera fase de un ataque APT consiste en irrumpir en un sistema de la organización seleccionada para infectarlo. Si se logra detectar un intento de aprovechar la vulnerabilidad de un sistema para irrumpir en él, resulta mucho más sencillo identificar y contener el ataque APT. Pero si las defensas no pueden detectar esta tentativa inicial, contener el ataque APT es bastante más complicado, porque el atacante ha logrado infectar el endpoint, puede alterar sus medidas de seguridad y ocultar sus acciones a medida que el malware se propaga por la red y extrae información.

Este tipo de ataques suelen realizarse a través de la Web (exploit remoto) o de los archivos adjuntos a un mensaje de correo electrónico (exploit local). El código del exploit está integrado en un objeto web (por ejemplo, JavaScript, JPG) o un archivo (por ejemplo, XLS, PDF) que infecta el sistema operativo o la aplicación vulnerable, y permite al atacante ejecutar código, como código shell, para conectar con los servidores de comando y control y descargar más malware.

En el ataque contra RSA Security en 2011, un mensaje de correo electrónico con el asunto “2011 Recruitment plan.xls” (“Plan de contratación 2011.xls”) persuadió a un empleado para que abriera una hoja de cálculo Microsoft Excel adjunta cuya carga maliciosa logró infectar el sistema a través de una vulnerabilidad desconocida en Adobe Flash. (Para obtener más información, consulte el recuadro "RSA Security describe el ataque APT" más adelante en este capítulo).

INFO TÉCNICA El código del exploit del sistema que desarrollan los atacantes tiene como fin dañar la memoria o causar un desbordamiento del búfer en el sistema operativo o la aplicación vulnerable, lo que permite la ejecución de código arbitrario. En el caso de los exploits locales, suelen utilizarse técnicas de ingeniería social para iniciar con el usuario la interacción necesaria para culminar la infección. En el caso de los exploits remotos, como las descargas desapercibidas de Internet, la única interacción necesaria es que el usuario visite la página web.


Fase 2: se instala malware en el sistema afectado Una vez dentro del sistema de la víctima, se ejecuta código arbitrario para instalar el malware. Basta con visitar una página web o simplemente hacer doble clic con el ratón para que el sistema del usuario se infecte con la carga útil del malware.

INFO TÉCNICA No todos los correos electrónicos de phishing selectivo que envía el autor de una amenaza APT contienen datos adjuntos. Muchos contienen hipervínculos que, cuando el usuario hace clic en ellos, abren un navegador web (o a veces otra aplicación, como Adobe Reader, Microsoft Word o Microsoft Excel). Cada vínculo se redirige a su vez a una dirección oculta con una clave de codificación en base64. La dirección oculta conduce a un dropsite, un sitio depósito que examina el navegador en busca de vulnerabilidades y devuelve un descargador de troyanos. Al ejecutarse, el descargador transmite una instrucción codificada en base64 a otro dropsite distinto del que se descarga un troyano (malware).

Fase 3: se inicia la conexión de salidaEl malware instalado durante la fase anterior a menudo contiene una herramienta de administración remota o RAT, por sus siglas en inglés. En cuanto está configurada y activa, la RAT "llama a casa", para lo cual establece una conexión de salida, con frecuencia un canal cifrado con SSL, entre la computadora infectada y un servidor de comando y control que manejan los autores de la amenaza APT. Estos se toman tantas molestias porque necesitan establecer comunicaciones salientes que eludan los firewalls tradicionales y de próxima generación, que permiten que el tráfico de la sesión fluya de forma bidireccional si se inicia desde la red de confianza.

En cuanto la RAT logra conectar con el servidor de comando y control, el atacante tiene pleno control sobre el host infectado. Las instrucciones que envía a partir de ese momento se transmiten a la RAT a través de dos vías: o bien el servidor de comando y control conecta con la RAT o viceversa. Esta última es la vía preferida, ya que es mucho menos sospechoso que un host inicie una conexión externa desde dentro de la red.

Fase 4: el atacante se propaga lateralmenteEs muy improbable que el dispositivo informático del usuario final vulnerado en un principio contenga datos estratégicos.


Por lo tanto, el atacante de la APT debe propagarse lateralmente a través de la red en busca de los hosts que manejan los administradores de TI (con objeto de robar credenciales administrativas) y de servidores y bases de datos de gran valor que contengan datos confidenciales: el objetivo último del ataque APT. Así es como funcionaba Flame.

INFO TÉCNICA El movimiento lateral no implica necesariamente el uso de malware o de herramientas distintas de las que incluye el sistema operativo del host comprometido, como shells de comandos, comandos de NetBIOS, VNC, Windows Terminal Services u otras herramientas similares que utilizan los administradores de red para dar servicio a hosts remotos. Una vez identificado el blanco final y reunidas las credenciales adecuadas de inicio de sesión, el duro trabajo y la determinación del atacante empiezan a dar sus frutos.

Fase 5: se extraen los datos comprometidosEn esta etapa de la intrusión en la red, el responsable de la APT tiene tres obstáculos que vencer. En primer lugar, si transfiere todos los datos seleccionados de una sola vez (los datos suelen cuantificarse en gigabytes), podría activar una alerta de anomalía de flujo (si se utiliza tecnología NBA; consulte el capítulo 2) por el volumen inusualmente elevado de tráfico iniciado por el servidor o la base de datos atacada. En segundo lugar, el atacante debe asegurarse de que nadie pueda relacionarle con el host que recibe los datos. Y, por último, si transfiere los datos como texto normal, podría activar una alerta del sistema de prevención de fugas de datos (DLP). Veamos cómo superan los tres obstáculos los experimentados perpetradores de amenazas APT.

Para vencer el primer obstáculo, el astuto atacante extrae los datos que le interesan del servidor o la base de datos en "bloques", quizá en incrementos de 50-100 megabytes. Una estrategia es agrupar archivos o registros en archivos RAR comprimidos y protegidos con contraseña.

INFO TÉCNICA Algunos archivos RAR pueden formar parte de secuencias de varios volúmenes, lo que permite al atacante dividir una gran cantidad de datos en volúmenes. Cada archivo RAR tendría una extensión que describiría el número del volumen, como parte1.rar (primer volumen), parte2.rar, parte3.rar, y así sucesivamente.

El segundo obstáculo es un poco más difícil. El atacante necesita extraer los datos lo antes posible, pero no puede arriesgarse


a enviarlos a un host cuyo rastro permita localizarle. Para resolver esta dificultad, puede seleccionar un host virtual alojado en un proveedor de servicios en la nube como zona de almacenamiento temporal. De este modo, el host puede destruirse inmediatamente una vez que se han extraído los datos.

El tercer y último obstáculo de esta fase puede solucionarse cifrando los archivos RAR antes de transferirlos (normalmente por FTP) al host provisional. La mayoría de los archivos RAR admiten el fuerte cifrado AES de 128 bits, que es más que suficiente.

El atacante oculta sus huellas y pasa inadvertido

NO OLVIDE Si una empresa u organismo público abriga alguna esperanza de detectar una APT, es mucho más probable que lo logre cuando el ataque está en marcha. El motivo es que la mayoría de los atacantes de APT son extremadamente buenos a la hora de borrar sus huellas.

He aquí algunas de las tácticas que utilizan los responsables de ataques APT durante y después del ataque para reducir al mínimo el riesgo de detección:

; Implantan malware para distraer al personal de seguridad de TI y mantenerlo ocupado en otras cosas.

; Lo propagan a los recursos compartidos de archivos de red, que están relativamente desprotegidos y solo se borran por completo en circunstancias extremas.

; Borran los archivos comprimidos una vez extraídos del servidor de almacenamiento provisional.

; Borran el servidor provisional si está alojado en la nube o lo desconectan si está bajo su control.

; Desinstalan el malware en el punto de entrada inicial.


RSA Security describe el ataque APTDespués de la fuga de datos de RSA Security en marzo de 2011 (descrita anteriormente en este capítulo en el apartado "Las APT en las noticias"), la empresa publicó en su blog corporativo la descripción exacta de cómo sucedió el ataque.

Según un directivo de la empresa, comenzó con un ataque de phishing selectivo dirigido a determinados e m p l e a d o s , p o s i b l e m e n t e identificados a través de redes sociales. En este caso, el atacante envió dos correos electrónicos diferentes con phishing selectivo a dos grupos pequeños de empleados en un periodo de dos días; los mensajes llevaban el asunto "Plan de contratación 2011.xls" y una hoja de cálculo Microsoft Excel adjunta.

L o s c o r r e o s e s t a b a n l o suficientemente bien diseñados p a ra p e rs u a d i r a u n o d e l o s empleados para que recuperara el mensaje de su carpeta de correo basura (spam) e hiciera doble clic en el archivo Excel adjunto. Sin él saberlo, la hoja de cálculo contenía un exploit desconocido que instaló una herramienta RAT a través de una vulnerabilidad de Adobe Flash. Una vez instalada, la RAT inició una conexión saliente con la que el atacante obtuvo pleno control del sistema del usuario.

C o m o e l P C c o m p r o m e t i d o inic ialmente no era un act ivo estratégico, la siguiente táctica del atacante consistió en desplazarse lateralmente por la red infectando hosts adicionales. En primer lugar se hizo con las credenciales de acceso del primer PC afectado, incluidas las necesarias para acceder a una cuenta de administrador de dominio. A continuación realizó una escalada

de privilegios con las cuentas de los usuarios no administrativos de otros sistemas. Repitió este proceso hasta dar con un blanco valioso: la computadora de un administrador de servidores de TI.

Poco después, el atacante localizó u n o s s e r v i d o r e s a l t a m e n t e confidenciales (que supuestamente contenían algoritmos secretos d e a u t e n t i c a c i ó n d e d o s factores SecurID), los infectó y estableció acceso a servidores de almacenamiento temporales en puntos de agregación claves para preparar la extracción. Entonces entró en los servidores de su interés, eliminó los datos y los trasladó a los servidores provisionales donde se procedió a su agrupación, compresión y cifrado para extraerlos.

Finalmente, el atacante utilizó el FTP para transferir los archivos RAR, protegidos con numerosas contraseñas , de l ser v idor de archivos de RSA a un servidor temporal externo en una máquina comprometida de un proveedor de alojamiento web. Después extrajo los archivos y los eliminó del host externo infectado para borrar todas las huellas del ataque.

A título personal diré que aplaudo a RSA Security por revelar los detalles precisos de este ataque APT. Al tener conocimiento de toda la trama, otras empresas pueden aprender del infortunio de RSA y quizá implementar nuevas estrategias y tecnologías —incluida la protección contra amenazas de próxima generación (consulte el capítulo 4)— para mitigar el riesgo real de ataques APT.


Indicadores de un ataque APTAunque las APT son extremadamente difíciles de detectar, la lista siguiente enumera los signos habituales que indican que una empresa puede estar afectada por una amenaza de este tipo.

; Hallar código para infiltrarse en un sistema en los datos adjuntos a correos electrónicos o descargado de una página web.

; Detectar un incremento de inicios de sesión con privilegios elevados en medio de la noche.

; Detectar conexiones salientes a servidores de comando y control conocidos.

; Hallar troyanos de puerta trasera generalizados en endpoints o en recursos compartidos de archivos de red.

; Observar flujos de datos voluminosos e inesperados desde el interior de la red, ya sea entre servidores, de servidor a cliente, de cliente a servidor o entre redes.

; Descubrir grandes bloques de datos (estoy hablando de gigabytes, no de megabytes) en lugares donde no debería haber datos.

ATENCIÓN Desconfíe especialmente si encuentra datos comprimidos en formatos que su empresa no suele utilizar.

; Comunicaciones de red anómalas cifradas con SSL.

; Entradas en el registro de eventos de aplicación de Windows con comandos de activación y desactivación del firewall y el antivirus.

SUGERENCIA Una razón fundamental por la que las organizaciones no consiguen identificar los ataques APT es que sus dispositivos de seguridad solo están (o están principalmente) configurados para examinar el tráfico que entra en el perímetro. Adquirir y/o configurar soluciones de seguridad que inspeccionen el tráfico de salida aumenta notablemente las posibilidades de detectar las APT y otros ciberataques.

Espero que no tenga nunca que enfrentarse a la fase de limpieza que hace falta después de un ataque APT. Si se da el caso, será una de las cosas más difíciles que tenga que hacer en su carrera en seguridad de la información. La prevención y la detección precoz —con el uso de tecnología de prevención de amenazas de próxima generación— es el mejor modo de limitar las posibilidades de ser víctima de un ataque APT. Para obtener más información sobre esta nueva e innovadora categoría de tecnología de seguridad para redes, pase al capítulo 4.


El CSO de servicios financieros recurre a FireEye para cerrar sus brechas de seguridad de TI

Recientemente, el director de segur idad (CSO) de una gran multinacional de servicios financieros —miembro de S&P 500 con casi 10 000 empleados— evaluó las defensas de seguridad de la red de su empresa y descubrió una brecha que debía cubrirse de inmediato.

La brecha se encontraba en la protecc ión contra una nueva generación de amenazas de seguridad de TI que las defensas tradicionales basadas en firmas sencillamente no pueden detectar. Estas amenazas incluyen los ataques desconocidos, el malware polimórfico, las amenazas combinadas y las APT, que son las más dañinas.

El CSO ordenó a su equipo estudiar todas las soluciones avanzadas de protección contra amenazas disponibles en el mercado para determinar cuáles estaban mejor equipadas para detectar y prevenir esta nueva c lase de ataques malintencionados. Tras investigar más de media docena de ofertas, él y su equipo redujeron la lista a dos proveedores, uno de los cuales era FireEye.

El CSO decidió valorar las dos soluciones a la vez. Probó el dispositivo FireEye Web Malware Protection System (MPS) frente a un dispositivo comparable del competidor. Ambos dispositivos se configuraron para funcionar en

línea y supervisar el mismo tráfico perimetral. Las dos soluciones se probaron juntas durante un periodo de seis semanas.

Los resultados de la doble evaluación fueron concluyentes. El dispositivo de FireEye detectó entre dos y tres veces más amenazas legítimas que la solución de la competencia, con cero falsos positivos. Aunque el dispositivo competidor generó más alertas que el MPS de FireEye, el equipo de seguridad de TI demostró que se debía a que el primero generó numerosos falsos positivos.

Optar por FireEye frente a la competencia fue una decisión fác i l . F i reEye no solo ofrece l a m e j o r p ro t e c c i ó n c o n t ra amenazas avanzadas disponible para inspeccionar el tráfico de entrada, sino que su filtro de salida (consulte el capítulo 4) facilita la detección de conexiones salientes a hosts de comando y control y del malware introducido a mano en la organización en portátiles u otros dispositivos móviles.

Han transcurrido varios meses y ahora la empresa ya está bien proteg ida f rente a la nueva generación de c iberataques: se detectan e impiden varios intentos casi a diario. Aunque la vida no ofrece garantías, actualmente el CSO de esta empresa duerme mucho mejor por las noches.

Capítulo 4

Introducción a la protección contra amenazas de próxima generación

En este capítulo • Visualización de una solución perfecta para mitigar los

modernos ciberataques actuales • Definición de la protección contra amenazas de próxima

generación y revisión de sus componentes principales • Comparación de la protección contra amenazas de próxima

generación con las tecnologías tradicionales de defensa basadas en firmas y entornos de prueba o sandbox

En la actualidad, empresas, universidades y organismos públicos están siendo objeto de una serie de ciberataques

sin precedentes tanto en número como en nivel de sofisticación. En este juego interminable del ratón y el gato, el gato tiene las de ganar. A menos que su organización esté preparada, puede ser su siguiente víctima.

Espero que la información de los capítulos anteriores le haya servido para comprender la gravedad de las modernas amenazas de próxima generación y por qué las defensas de seguridad tradicionales no permiten neutralizarlas. Ha llegado el momento de presentar una nueva categoría de defensa de seguridad de la red que no existía hasta hace poco tiempo. Estoy refiriéndome, por supuesto, a la protección contra amenazas de próxima generación.

He comenzado este capítulo reflexionando (casi fantaseando) sobre lo que realmente se necesita para luchar contra los ciberataques actuales más sofisticados. El siguiente paso será definir la protección contra amenazas de próxima generación y explicar sus componentes y características fundamentales.


Tenemos muchos aspectos que tratar en este capítulo. Empecemos por examinar lo que el mundo realmente necesita para anticiparse a las amenazas de próxima generación.

Qué se necesita realmenteEn un mundo perfecto no habría ciberataques. El malware, los troyanos o las amenazas persistentes avanzadas (APT) no existirían. Además, las empresas, las universidades y los organismos públicos no tendrían que gastar más de 20 000 millones de dólares al año para neutralizarlos.

Pero, por desgracia, no vivimos en un mundo perfecto. El dinero y la política están alimentando las iniciativas de ciberdelincuentes, hacktivistas y ejecutores de amenazas de Estado para utilizar cualquier herramienta que tengan a su alcance con el fin de infiltrarse en la red de su organización. Puesto que no vivimos en un mundo perfecto, comentaremos lo que la sociedad necesita para ir un paso por delante de los delincuentes.

Defensas sin el uso de firmasHoy día, las organizaciones necesitan un nuevo modelo de protección contra amenazas en el que la arquitectura de defensa en profundidad incorpore una capa que prescinda del uso de firmas para neutralizar especialmente la nueva generación de ciberataques.

Aunque las defensas de seguridad tradicionales son fundamentales para bloquear los ciberataques conocidos, la experiencia ha demostrado que los ciberataques desconocidos están aumentando y son más preocupantes. Ahora que los ataques desconocidos (zero-day), polimórficos y de amenazas persistentes avanzadas son prácticamente desconocidos y se están convirtiendo en el medio habitual para tener éxito, el mundo necesita para frenarlos una solución que no utilice firmas.

Protección además de detecciónLos sistemas de detección de intrusiones (IDS) precedieron a los sistemas de prevención de intrusiones (IPS). Por definición, los sistemas de detección de intrusiones solo pueden detectar las amenazas conocidas (o amenazas desconocidas dirigidas contra vulnerabilidades conocidas). Con el paso del tiempo, las organizaciones reclamaron que los IDS no solo detectaran los ciberataques sino que también los neutralizasen. Así aparecieron los sistemas de prevención de intrusiones (IPS).

En esta línea, el mundo necesita una plataforma de protección contra amenazas avanzadas que no solo encuentre la aguja

Capítulo 4 : Introducción a la protección contra amenazas de próxima generación | 33

en el pajar, sino que también neutralice todos los posibles vectores de entrada.

Arquitectura de protección multinivelEn un mundo perfecto, la tecnología de la información tendría bajo control cualquier dispositivo de computación conectado a la red. En tal caso solo tendría que preocuparse de los ciberataques lanzados desde fuera de la red que intentan infiltrarse por la periferia.

No cabe duda de que el auge de la computación móvil y las políticas en las empresas que incentivan el uso por parte de los empleados de sus dispositivos personales (lo que se conoce en inglés como BYOD, bring your own device) en ocasiones han abierto la puerta a los ciberataques. El mundo necesita una solución de protección contra amenazas avanzadas que no solo supervise los ciberataques lanzados desde el exterior hacia el interior, sino también en sentido contrario y en todos los niveles, ya que, de esta forma, intentan establecer contacto con el agresor o propagarse lateralmente por la red. Si no puede frenar la entrada de amenazas a través de la Web, el correo electrónico o la puerta principal de la oficina, al menos puede impedir la comunicación con el exterior y la propagación.

Motor de detección de gran precisión Al igual que ocurre con las defensas basadas en firmas tradicionales, la clave es la precisión de la detección. Lo que el mundo necesita para protegerse de forma adecuada contra las amenazas de próxima generación es una solución de protección contra amenazas avanzadas de alta precisión, sin falsos positivos (archivos inofensivos clasificados como peligrosos) ni falsos negativos (archivos peligrosos clasificados como inofensivos).

ATENCIÓN Las plataformas de seguridad con funcionalidades de detección deficientes generan falsos positivos y falsos negativos. Los falsos positivos son especialmente “inoportunos” por la cantidad de su valioso tiempo que dedican los analistas de seguridad a perseguir falsas alarmas. Por su parte, los falsos negativos pueden ser “fatales para la empresa” porque el malware atraviesa el dispositivo de seguridad de la red sin ser detectado.

Con el respaldo de información sobre amenazas globalesCada ciberataque tiene una “zona cero”: un solo host que es el primero al que se dirige un determinado ciberataque en todo el mundo. Lo que se necesita a nivel global es un mecanismo que


permita a los sistemas de protección contra amenazas avanzadas compartir la información tanto dentro de cada organización como entre diferentes organizaciones de todo el mundo.

Puede que no vivamos en un mundo perfecto, pero existe una solución perfecta para rechazar los ataques más sofisticados que se producen en la actualidad.

La clave de esta solución es la protección contra amenazas de próxima generación.

Definición de la protección contra amenazas de próxima generación

La protección contra amenazas de próxima generación (o NGTP por sus siglas en inglés) pertenece a una nueva generación de tecnologías de seguridad de la red específicamente diseñadas para identificar y evitar los nuevos ciberataques modernos. Concebida para mejorar los sistemas de seguridad tradicionales, en lugar de sustituirlos, la NGTP introduce una nueva capa en la arquitectura de defensa en profundidad con el fin de crear un tejido de protección contra las amenazas que ofrezca protección contra los ciberataques que pasan inadvertidos a las defensas basadas en firmas habituales.

Las plataformas NGTP normalmente se suministran en determinados dispositivos montados en bastidor de alto rendimiento. Los proveedores de NGTP predilectos ofrecen una plataforma integrada que examina el tráfico de mensajes de correo electrónico, el tráfico de la Web y los archivos en reposo, y comparte la información sobre las amenazas entre dichos vectores de ataque.

ATENCIÓN Las plataformas NGTP no se parecen a ningún dispositivo de seguridad de la red disponible en el mercado. Los dispositivos NGTP examinan el tráfico, los archivos o ambos con el fin de detectar miles de características sospechosas, incluidas técnicas de ocultación, como la codificación XOR, y otras prácticas encubiertas. Las sesiones se reproducen en un entorno de ejecución virtual (seguro) (máquinas virtuales con un motor personalizado de virtualización específicamente diseñado para analizar la seguridad) con el fin de determinar si el tráfico sospechoso contiene malware en realidad (la sección “Cómo funciona” de este capítulo ofrece más información sobre este tema).


¡Avisen a la brigada antiexplosivos!

Siempre he sido partidario de utilizar analogías con situaciones reales, y clichés en algunos casos, para describir cómo funciona una tecnología determinada o las ventajas que ofrece. Creo que he encontrado una analogía perfecta para describir la protección contra amenazas de próxima generación.

Al principio pensé en la semejanza con “encontrar una aguja en un pajar”. Aunque es acertada en el caso de las soluciones NGTP, en la actualidad las grandes empresas y los organismos públicos son blanco de ciberataques avanzados varias veces al día, por lo que las soluciones NGTP tienen que buscar docenas de agujas en un pajar, en lugar de una sola.

Después reparé en la analogía con el maniquí de las simulaciones de accidentes, en la que el tráfico sospechoso (supuesto malware) es el maniquí y la sesión de Microsoft Windows que se ejecuta en el motor Virtual Execution (réplica del entorno de destino) es el vehículo. Esta analogía tampoco es mala, pero falla porque el coche se estrella siempre con independencia de quién vaya en su inter ior. Con frecuencia los archivos que examina un dispositivo NGTP son simplemente inofensivos.

Tras buscar con ahínco una analogía mejor durante un tiempo, creo haberla encontrado. ¿Alguna vez ha oído en las noticias una historia relacionada con un aviso a la brigada antiexplosivos para que examine una bolsa sospechosa que han dejado en un aeropuerto o en una zona muy transitada, como Times Square en Nueva York? En estos casos, la brigada antiexplosivos envía un robot para que examine la bolsa sospechosa, la recoja y la deposite, si es necesario, en un camión capaz de resistir explosiones de gran envergadura sin que afecte a la zona circundante.

Si comparamos esta analogía con una solución NGTP, la persona que avisa a la brigada antiexplosivos es el algoritmo de detección de malware, el robot es el subsistema encargado de depositar el malware sospechoso en el camión y el camión es la sesión virtual empleada para “activar ” el supuesto malware (bolsa sospechosa) y determinar sus efectos (una explosión), pero en un entorno seguro.

Espero que esta analogía le ayude a entender el funcionamiento de la tecnología NGTP y le sirva para explicárselo a otros compañeros con menos conocimientos técnicos.

Comparación con las defensas basadas en firmas tradicionalesEn el capítulo 2 (consulte la sección “Cómo se impone el enemigo”), he explicado por qué y cómo sortean los nuevos ciberataques las defensas de seguridad basadas en firmas tradicionales, como firewalls (con firmas de amenazas), dispositivos IPS, puertas de enlace de correo electrónico


y la Web seguras, y antivirus. Como todavía no había presentado la tecnología NGTP, no comparé en el acto estas defensas con las soluciones NGTP, pero lo haré ahora.

En la Tabla 4-1 se incluye un resumen comparativo de las defensas basadas en firmas tradicionales y las soluciones NGTP. Recuerde que las soluciones NGTP constituyen una nueva capa arquitectónica que prescinde de las firmas para mejorar las defensas basadas en firmas.

Comparación de protección

Soluciones NGTP

Defensas tradicionales

Detección de malware conocido mediante firmas de IPS Identificación de ataques en binarios codificados Reproducción del tráfico sospechoso en un entorno virtual seguro Inspección del tráfico saliente para bloquear los canales de devolución de llamadas dinámicos

Generación automática de información sobre amenazas para defenderse de ataques selectivos

Tabla 4-1: Comparación de NGTP con las defensas tradicionales INFO TÉCNICA

En la sección “Características fundamentales”, incluida más adelante en este capítulo, se examinan de forma detallada las protecciones que incluye la Tabla 4-1.

Comparación con las tecnologías de prueba (sandbox)Un entorno de prueba o sandbox es básicamente una versión autónoma (basada en Windows, por lo general) a pequeña escala de un entorno de computación que ofrece una suite de aplicaciones y servicios mínimos. Originalmente se creó para que los desarrolladores de software probaran un nuevo código de programación en un entorno seguro. Los profesionales de seguridad de la información adoptaron esta tecnología con posterioridad con el fin de examinar manualmente los binarios sospechosos sin comprometer los sistemas de producción. Normalmente, el sistema operativo y las aplicaciones del entorno de prueba (máquina virtual) coinciden con los equipos de escritorio de la organización, por lo que el supuesto malware puede aprovechar las mismas vulnerabilidades inherentes.


ATENCIÓN Las organizaciones en las que existen varias configuraciones de equipos de escritorio, como las de mayor tamaño, resultan especialmente vulnerables cuando confían en supuestas soluciones NGTP que incorporan una tecnología básica de entorno de prueba. Si un archivo infectado por malware se analiza en un entorno de ejecución virtual equipado con sistemas operativos o aplicaciones que no reflejan el entorno al que se dirige el malware, el archivo puede clasificarse como inofensivo y convertirse en un falso negativo potencialmente peligroso.

Como su nombre indica, un entorno de prueba es un entorno seguro que sirve para “detonar” el posible malware (consulte el apartado anterior “¡Avisen a la brigada antiexplosivos!” de este capítulo) y averiguar qué efectos pretendía producir. Sin embargo, en sí misma no es una técnica de análisis escalable dado el número y el volumen de los objetos sospechosos y los tipos de archivos utilizados para ocultar el código del exploit. Desafortunadamente, los ciberdelincuentes y ejecutores de amenazas APT pueden detectar si el malware se ha ejecutado en un entorno de prueba y, en tal caso, pueden reprimir su carga útil nociva. Por todas estas razones, las tecnologías tradicionales de entorno de prueba no resultan eficaces ante amenazas sofisticadas.

ATENCIÓN Otra advertencia con respecto al uso de tecnologías de sandbox. No importa cómo lo llame el proveedor de NGTP; si el proveedor aloja el componente del entorno de prueba en la "nube", entran en juego consideraciones relacionadas con la seguridad, el rendimiento y la privacidad (consulte el apartado “No se quede atrapado en la nube”). Las soluciones NGTP de más éxito ofrecen alto rendimiento, dispositivos dedicados que permiten probar el supuesto malware in situ en unos segundos, en lugar de tardar minutos u horas, y al mismo tiempo garantizan la confidencialidad de los datos.


No se quede atrapado en la nubeAlgunos proveedores de soluciones NGTP insisten en la posibilidad de realizar análisis virtual de malware en la nube, lo que reduce en gran medida el consumo de recursos (CPU, memoria, disco) en sus dispositivos de hardware. En este caso, los dispositivos solo examinan pequeñas parcelas secundarias de tráfico y redirigen los objetos sospechosos a la nube, en lugar de examinar el objeto en un entorno de prueba virtual.

Suena bien, ya que la arquitectura basada en la nube transfiere el análisis, pero cuando se analiza más detenidamente, este diseño presenta tres problemas: cobertura d e s e g u r i d a d , e s c a l a b i l i d a d y privacidad.

El código malicioso puede estar incrustado en docenas de tipos de archivos y objetos web diferentes; sin embargo, en el análisis de malware virtual que se efectúa en la nube solo suelen examinarse dos o tres tipos de archivos. Con frecuencia ocurre que el código malicioso incrustado en un formato de archivo no analizado consigue eludir con facilidad las soluciones NGTP basadas en la nube.

Aparte de la cobertura de seguridad limitada, sin una detección de vulnerabil idades precisa o un anál is is heuríst ico de f i ltrado previo, la exportación de binarios o archivos PDF a la nube para incluirlos en una cola de análisis (entre miles de solicitudes) no es escalable. Este análisis ineficaz retrasa la detección del malware y proporciona a los delincuentes una forma sencilla de vulnerar los mecanismos de seguridad. Simplemente atasca los canales con binarios o archivos PDF inofensivos.

Para terminar, cuando se exportan binarios o archivos PDF a la nube para analizarlos, existe el riesgo de exportar un archivo confidencial s i n e l c o n o c i m i e n t o d e l a organización. Esto suscita una gran preocupación en determinados países europeos en los que las leyes de confidencialidad son estrictas.

Por estas razones, los proveedores de NGTP que lideran el mercado ofrecen dispositivos personalizados de alto rendimiento que no solo analizan el tráfico y neutralizan las amenazas, sino que también real izan pruebas de malware virtuales en el propio entorno.

Componentes fundamentalesAhora que ya se ha hecho una idea de lo que es la protección contra amenazas de próxima generación, incluidas sus analogías con las defensas de seguridad tradicionales y sus diferencias con la tecnología estándar de entorno de prueba, seguiremos profundizando y analizaremos los componentes fundamentales de las principales soluciones NGTP.


Malware Protection SystemEn la base de todas las soluciones NGTP se encuentra el componente Malware Protection System (MPS). Este componente analiza todos los tipos de objetos sospechosos que contienen el tráfico de la Web, los mensajes de correo electrónico o los archivos en reposo. Asimismo, utiliza la información sobre amenazas que genera MPS para neutralizar las amenazas conocidas y frenar tanto los ataques entrantes como las comunicaciones salientes no autorizadas.

ATENCIÓN Para identificar la presencia de posible malware en el tráfico de la Web y en los mensajes de correo electrónico emplea tácticas diferentes. Algunos proveedores ofrecen una solución MPS universal que intenta detectar las amenazas en los tres frentes (o en dos, si no es capaz de examinar los archivos en reposo). Esas soluciones deben evitarse porque presentan altos porcentajes de falsos positivos y falsos negativos. También deben evitarse las soluciones NGTP que combinan funciones MPS con otros componentes de seguridad de la red, como firewall, IPS y control de aplicaciones. Estas soluciones suelen ofrecer funciones de análisis “básicas” que se limitan a archivos .exe, .pdf o .dll.

Motor Virtual ExecutionAntes en este capítulo he comentado la función que desempeña el motor Virtual Execution y lo he comparado con la tecnología de entorno de prueba, o sandbox, común. No puedo dejar de hacer hincapié en lo importante que es este componente para la eficacia del sistema de protección contra amenazas de próxima generación y para defender a su organización de los ciberataques avanzados que se producen en la actualidad.

ATENCIÓN Un buen motor Virtual Execution puede filtrar programá-ticamente los objetos para detectar los que son sospechosos, determinar el perfil de las posibles víctimas y, a continuación, ejecutar el código sospechoso en el sistema operativo y las aplicaciones a las que se dirige con el fin de maximizar las probabilidades de detonar el exploit del sistema y la carga útil peligrosa que lleva aparejada. Prácticamente no debería generar falsos positivos ni falsos negativos. Esto puede marcar la diferencia entre ganar y perder la batalla contra la nueva generación de ciberataques modernos.

INFO TÉCNICA Las mejores soluciones NGTP contienen motores Virtual Execution capaces de analizar docenas de tipos de archivos (en lugar de archivos .exe y .dll solamente), incluidos archivos asf, com, doc, docx, dll, exe, gif, ico, jpeg, jpg, mov, mp3, mp4, pdf, png, ppsx, ppt, pptx, qt, rtf, swf, tiff, unk, vcf, xls, xlsx, zip y muchos más.


Una vez que el motor Virtual Execution cataloga una supuesta amenaza como malware, genera información sobre ella de forma automática y la distribuye a los demás dispositivos MPS (si dispone de un Central Management System, consulte la sección siguiente), además de a otras organizaciones del mundo (consulte la sección siguiente “Red de información sobre amenazas en la nube”).

Central Management SystemAunque la mayor parte de los dispositivos NGTP proporcionan una interfaz gráfica de usuario (GUI) basada en la Web para la administración local, los mejores proveedores de NGTP ofrecen una GUI local y un Central Management System separado que facilitan la administración centralizada, la supervisión de amenazas consolidadas, la generación de informes y alertas, y la distribución de información sobre malware.

Red de información sobre amenazas en la nubeEn el apartado anterior de este capítulo, “No se quede atrapado en la nube”, comenté por qué no se considera adecuado analizar el malware en la nube desde el punto de vista de la seguridad, la escalabilidad y la privacidad. Sin embargo, la nube es el sitio perfecto para alojar un componente fundamental de los sistemas NGTP: la red de información sobre amenazas en la nube.La red de información sobre amenazas en la nube interconecta todos los dispositivos MPS, o al menos los de proveedores que ofrecen ese servicio, con el fin de compartir la información relativa a los ciberataques recién descubiertos (perfiles de malware y destinos de devolución de llamadas).Los proveedores de NGTP que ofrecen una red de información sobre amenazas en la nube (no todos la ofrecen) suelen proponer a los clientes dos alternativas: (1) la posibilidad de recibir información sobre amenazas y (2) la posibilidad de compartir y recibir información sobre amenazas. Gran parte de las organizaciones eligen la última opción debido a que los proveedores ofrecen un descuento por compartir la información.

SUGERENCIA Para crear la información relacionada con las amenazas solo se necesitan los metadatos de los objetos infecciosos, por lo que las organizaciones no tienen que preocuparse por que los datos confidenciales salgan de la red.Ahora que conoce los componentes básicos de las soluciones NGTP y las diferencias que presentan con respecto a las tecnologías de defensa basadas en firmas tradicionales y de entorno de prueba, continúe con el capítulo 5 para comprender mejor cómo funcionan en realidad las soluciones NGTP.

Capítulo 5

Análisis de la protección contra amenazas de próxima generación

En este capítulo • Cómo mitiga la tecnología NGTP las amenazas de próxima

generación en los mensajes de correo electrónico, las comunicaciones web y los archivos en reposo

• Análisis de las características fundamentales de las principales soluciones NGTP

• Integración de NGTP en la infraestructura de red existente

Las defensas de seguridad basadas en firmas no bastan para neutralizar la nueva generación de ciberataques

modernos, como los ataques desconocidos (zero-day), el malware polimórfico, las amenazas combinadas y, lo más importante, las amenazas persistentes avanzadas (APT). La nueva generación de ciberataques requiere un planteamiento completamente nuevo.

Ahora que ya sabe qué es la protección contra amenazas de próxima generación (información del capítulo 4), nos ponemos manos a la obra para explicar cómo funciona, cuáles son las características importantes y cómo se integra una plataforma NGTP en la infraestructura de TI existente.

Cómo funcionaEmpecemos por describir la ubicación de los dispositivos MPS en función de cómo llegan las amenazas a la organización. Por norma general, los administradores sitúan los dispositivos MPS en la última línea de defensa para examinar las amenazas recibidas a través del tráfico de correo electrónico o la Web que logran eludir los firewall y sistemas IPS. Los dispositivos web MPS se sitúan detrás de las puertas de enlace de la Web seguras, mientras


que los dispositivos Email MPS deberían instalarse detrás de las puertas de enlace antispam y de correo electrónico seguras (pero delante del servidor de correo electrónico de la empresa). Consulte el despliegue típico de los dispositivos web y Email MPS en la Figura 5-1. Los dispositivos MPS también deben desplegarse en el centro de datos para analizar los recursos de archivos compartidos con el fin de frenar la propagación lateral del malware y proteger los datos confidenciales.

Routerde salida

Firewall

Conmutadorcentral

Usuarios

Web MPS(comprobar

contenidomalicioso

en las URL)

Internet

Servicio en la nube(correo electrónico)

Email MPS(analizar

adjuntos decorreo para

descubrir APT)

Puerta de enlaceantispam

Servidoresde correo

CMS

SIEM

Figura 5-1: Diagrama de implementación de NGTP típica

NO OLVIDE Los ataques APT se producen en varias fases. Para garantizar la protección en todas las fases, desde el exploit inicial hasta la fuga de datos, debe diseñarse una plataforma MPS que maximice la capacidad para rechazar ataques y evitar la violación de la seguridad.

A continuación se describen paso a paso las funciones típicas de un sistema NGTP con la plataforma MPS desplegada:

Paso 1: el dispositivo MPS analiza el tráfico entrante y saliente (y los archivos en reposo) para detectar amenazas conocidas, devoluciones de llamadas a centros de comando

Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 43

y control, phishing selectivo y binarios/páginas web sospechosos. Cuando se detecta una amenaza conocida o la devolución de llamadas a un centro de comando y control, la conexión se bloquea y se genera una alerta.

Paso 2: para detectar ataques zero-day, el dispositivo MPS identifica binarios, adjuntos o páginas web que son sospechosos y los reproduce en un motor Virtual Execution (en el mismo dispositivo) con el fin de analizarlos. Se trata de una reconstrucción de cada byte del mismo tráfico sospechoso dirigido a la víctima elegida.

SUGERENCIA Cuando evalúe una solución NGTP, asegúrese de que su componente MPS pueda analizar mucho más que el tráfico HTTP, ya que las amenazas utilizan docenas de protocolos, como HTTP, FTP, IRC, protocolos personalizados y otros.

Paso 3: el motor Virtual Execution se inicia con un sistema operativo Microsoft Windows concreto (con parches y sin parches) y con las aplicaciones relacionadas (por ejemplo, Microsoft Office, Microsoft Internet Explorer, Adobe Reader) del host al que se dirige la supuesta amenaza. El objeto se reproduce y se observa para detectar cualquier comportamiento malicioso, como daños en el sistema de archivos raíz, el ataque a una aplicación mediante "heap spray", el registro de un nuevo servicio de Windows o la devolución de una llamada a una URL infectada conocida. Cuando se determina que los binarios son inofensivos, el evento se registra y la máquina virtual se reinicia.

Paso 4: cuando se confirma la existencia de actividad maliciosa desconocida, la máquina virtual captura el resto del ciclo de vida del ataque. Además de cargar el malware binario, se graban todas las actividades del host generadas por el malware y el tráfico de la red. Entonces se genera información sobre las amenazas para detener la devolución de llamadas a través de la red, se registra una alarma de alta prioridad, se graban los datos forenses del malware y se crea un nuevo perfil de protección contra el malware para neutralizar esta amenaza, que deja de ser desconocida.

NO OLVIDE El ataque fracasa y los datos confidenciales permanecen seguros en la organización porque el tráfico de devolución de llamadas nunca sale de la red del host actual y el delincuente no lo sabe.

Paso 5: la nueva información sobre amenazas se remite al sistema Central Management System (CMS), desde donde se distribuye a otros dispositivos MPS de la organización. Si la organización está suscrita a la red de información sobre amenazas en la nube (consulte el capítulo 4), todas las organizaciones integrantes quedan protegidas al instante.


Despliegues en línea y fuera de bandaLas organizaciones tienen dos alternativas a la hora de desplegar los dispositivos Email y Web MPS. Pueden configurarlos para que funcionen en línea (activo) o fuera de banda (pasivo). (Los dispositivos MPS de recursos de archivos compartidos siempre se configuran fuera de banda para analizar archivos en reposo y pueden poner los objetos maliciosos de estos recursos en cuarentena si se configuran para ello).Los despliegues en línea permiten a la organización evitar que los ciberataques avanzados recién identificados se repitan en el futuro porque impiden la devolución de llamadas a los servidores de comando y control. El dispositivo MPS se sitúa directamente en el flujo del tráfico (igual que un IPS o un agente de transferencia de mensajes, o MTA).Los dispositivos MPS también se pueden configurar para que funcionen fuera de banda en el modo solo de supervisión, en el que el motor MPS genera una alerta cuando detecta ciberataques (igual que IDS), o en el modo de restablecimiento TCP, en el que el MPS envía paquetes de restablecimiento TCP a cada partner de sesión para interrumpir las sesiones TCP fraudulentas.

SUGERENCIA Para que funcione fuera de banda, conecte el dispositivo web o Email MPS a un puerto SPAN de conmutación duplicado. Si no hay ningún puerto SPAN disponible, bastará con un puerto de acceso para pruebas (TAP) de red (de Gigamon, VSS Monitoring, NetOptics y otros); también puede configurar agentes de transferencia de mensajes de subida para enviar una copia oculta al dispositivo Email MPS. Al principio muchas organizaciones utilizan la supervisión fuera de banda para evaluar la precisión y la estabilidad del sistema. Una vez que la organización se encuentra cómoda con el sistema NGTP, los dispositivos MPS se reconfiguran en el modo de bloqueo en línea.

ATENCIÓN Si pretende instalar los dispositivos MPS para que funcionen en línea, asegúrese de seleccionar modelos con conectividad desbloqueo en caso de error (fail-open). En el caso poco probable de que el dispositivo se quedara sin corriente eléctrica o se desactivara de algún otro modo, el tráfico seguiría fluyendo a través de las interfaces de cobre, en lugar de interrumpirse bruscamente. (Las interfaces de fibra siempre dejan pasar el tráfico, con independencia del estado del dispositivo).

Características fundamentalesComo ya sabe de qué trata NGTP y tiene una idea de cómo funciona, repasemos las características fundamentales que


suelen incluir las soluciones NGTP actuales más importantes para ocuparnos de cada fase del ciclo de vida de los ataques ATP.

SUGERENCIA El conjunto de características de las soluciones NGTP varía en gran medida. Durante el repaso de las características, anote las que sean especialmente útiles a su organización. Luego consulte en el capítulo 6 otros aspectos que debe tener en cuenta cuando compre soluciones NGTP.

Ejecución virtual de objetos sospechososPara detectar amenazas desconocidas es fundamental el análisis sin el uso de firmas. Asegúrese de que la solución ofrezca la posibilidad de reproducir sin riesgo el tráfico que contiene objetos sospechosos, como páginas web, binarios y archivos, en un entorno de ejecución virtual. Esto no es lo mismo que enviar un archivo o ejecutable sospechoso a un entorno de prueba. La reproducción consiste en capturar y reconstruir el tráfico byte por byte en un entorno de ejecución virtual. Por ejemplo, una página web consta de entre 20 y 200 objetos diferentes procedentes de docenas de ubicaciones web diferentes. La tecnología de reproducción es la única que permite analizar ataques basados en la Web complejos, como los ataques basados en descargas.

ATENCIÓN No crea que la nueva generación de ciberataques actuales solo va dirigida a archivos EXE o DLL. Como he mencionado en el capítulo 4, el malware puede estar incrustado en las páginas web y en muchos tipos de archivos.

Es obligatorio que el motor Virtual Execution reduzca al mínimo la presencia de falsos positivos y falsos negativos. Un falso positivo (archivo inofensivo clasificado como peligroso por error) puede impedir que una parte importante del contenido llegue a su destino. Un falso negativo (archivo peligroso clasificado como inofensivo por error) puede ser devastador, sobre todo si se permite el acceso a un archivo que contiene malware avanzado durante un ataque APT.

Bloqueo fast-pathEl bloqueo de devolución de llamadas salientes y amenazas conocidas entrantes está relacionado con el análisis sin el uso de firmas. Aunque he dedicado bastante tiempo a describir las limitaciones de las defensas basadas en firmas tradicionales, también he admitido que son importantes para neutralizar ataques conocidos en una estrategia de defensa en profundidad. Para protegerse de forma eficaz contra ataques conocidos y desconocidos se precisan soluciones NGTP que incorporen técnicas de defensa basada en firmas y sin el uso de firmas.


Sin embargo, la función de bloqueo fast-path del dispositivo MPS (en línea) está diseñada para bloquear o poner el ataque en cuarentena de inmediato en los casos en que el IPS, NGFW, puerta de enlace de la Web segura, antispam u otro dispositivo de seguridad de la red no detecte un ataque con malware conocido. Cuando el malware avanzado consigue entrar en la organización (recuerde que puede introducirse en la oficina a través de un dispositivo de computación móvil), intenta devolver la llamada al host de comando y control para descargar software RAT (consulte el capítulo 3) o recibir instrucciones del delincuente. El dispositivo MPS está preparado para interrumpir las sesiones conectadas a URL maliciosas y direcciones IP peligrosas o que emplean protocolos de malware personalizados. Si el filtro de devolución de llamadas del dispositivo MPS detecta un intento de conexión de un host interno a un host de comando y control externo conocido, la conexión se bloquea (si el MPS está configurado para funcionar en línea) y se genera una alerta (consulte la Figura 5-2).

Figura 5-2: Ejemplo de la actividad de devolución de llamadas de FireEye

NO OLVIDE A diferencia de la mayoría de dispositivos de seguridad tradicionales, los dispositivos MPS están diseñados para analizar el tráfico de Internet entrante y saliente.

Archivos maliciosos en cuarentenaLos archivos, mensajes de correo electrónico y adjuntos maliciosos que detecta el motor Virtual Execution pueden ponerse en cuarentena y almacenarse en el dispositivo MPS (o la consola de administración central si está disponible; consulte la sección siguiente) para realizar otros análisis forenses además del efectuado por MPS. Los investigadores de delitos informáticos del FBI u otras autoridades policiales pueden recopilar los archivos como prueba digital del delito.


Administración centralizadaEs muy recomendable que las organizaciones que cuentan con tres o más dispositivos MPS adquieran un dispositivo de administración centralizada (a veces denominado Central Management System) para supervisar y administrar el sistema NGTP de forma centralizada a través de una interfaz basada en la Web de fácil uso. Entre las tareas que suelen llevarse a cabo mediante la consola de administración se incluyen:

; Incorporación de datos de eventos de todos los dispositivos MPS y proceso de los datos en paneles, informes y alertas

; Centralización de los objetos maliciosos que contienen malware y se han puesto en cuarentena

; Recopilación y distribución de la información sobre amenazas generada por los dispositivos MPS internos y procedente de Malware Protection Cloud; transferencia de la información sobre amenazas a la nube de protección contra malware, si se permite

; Configuración del dispositivo MPS y aplicación de los ajustes a cada dispositivo MPS de forma individual o en grupos

; Descarga y aplicación de actualizaciones de software a todos los dispositivos MPS desde una ubicación central

; Supervisión del rendimiento de todos los dispositivos MPS

; Exportación de datos de eventos a SIEM (administración de eventos e información de seguridad), sistemas de administración de incidentes u otras aplicaciones externas

; Control del acceso de usuarios y los privilegios administrativos

Algunos proveedores de NGTP ofrecen varios modelos de dispositivos de administración centralizada entre los que puede elegir en función de la cantidad de dispositivos MPS administrados y el volumen de ciberataques.

Compartir la información sobre el malwareParte del atractivo de las soluciones NGTP es la protección automática que ofrece a las organizaciones la información sobre amenazas que se genera localmente y que pueden compartir con otras organizaciones. A través de la red de información sobre amenazas en la nube (propiedad del proveedor de


NGTP y gestionada por el mismo), cuando una organización detecta una amenaza nueva (“zona cero” del ataque), las demás organizaciones quedan protegidas en cuestión de minutos. Muchos denominan a esto inmunidad colectiva.

Aunque es cierto que las organizaciones pueden rechazar los ataques APT con un dispositivo MPS independiente, gracias a la inmunidad colectiva el análisis de la seguridad resulta más efectivo, ya que centra los recursos del MPS en analizar los ciberataques que son realmente desconocidos. Además, las organizaciones dispuestas a compartir la nueva información sobre amenazas de forma anónima en la nube se benefician de un descuento en la suscripción anual a dicha red de información.

NO OLVIDE Es importante saber que ninguno de sus archivos o contenido se enviarán nunca a la red de información sobre amenazas en la nube. Por ejemplo, los perfiles de protección contra amenazas solo incluyen datos anónimos, como una suma de comprobación del archivo.

Reglas personalizadasLos principales sistemas NGTP permiten a los usuarios más avanzados importar reglas de detección de malware personalizadas que se crean con el lenguaje YARA. (YARA es una herramienta diseñada para ayudar a los investigadores de malware a identificar y clasificar las muestras de malware). Cuando el dispositivo MPS activa una regla YARA importada, el motor Virtual Execution analiza de inmediato los objetos asociados para detectar posibles ciberataques. Esto es útil para organizaciones que suelen ser el blanco de una clase concreta de ciberataques.

EN LA WEBPuede obtener más información sobre YARA en http://code.google.com/p/yara-project/.

Integración con la suite antivirusLas soluciones NGTP más populares se pueden integrar con suites antivirus (AV) habituales, como las de McAfee, Symantec, Sophos y otros proveedores (consulte la Figura 5-3). La integración de la solución NGTP con una suite antivirus permite analizar mejor cada objeto malicioso para determinar si la plataforma AV ha sido capaz de detectar el malware interceptado por el dispositivo MPS. Gracias a esto, las organizaciones pueden priorizar de manera más eficaz la respuesta a los incidentes.

http://code.google.com/p/yara


Figura 5-3: Ejemplo de integración de la plataforma antivirus de FireEye

Controles de acceso basados en funcionesGran parte de los sistemas NGTP proporcionan varias funciones de usuario para garantizar que los privilegios administrativos se conceden exclusivamente al personal de TI que los necesita para realizar su trabajo. Las funciones habituales de los usuarios de NGTP son:

; Administrador del sistema: control administrativo total sobre todo el despliegue de NGTP

; Administrador regional: control administrativo sobre uno o varios dispositivos MPS

; Analista de seguridad: acceso exclusivo a paneles e informes; sin autorización para modificar o eliminar los datos de eventos, ni para modificar la configuración del sistema

PanelEl panel de NGTP (consulte la Figura 5-4) es la principal interfaz que utilizan los analistas de seguridad para supervisar la seguridad de la red y la carga de trabajo de los dispositivos MPS de la organización. Los paneles son fáciles de interpretar y su acceso se realiza a través de navegadores web. Los mejores paneles ofrecen la posibilidad de acceder a los detalles de los eventos para descubrir los pormenores de los ciberataques y ayudar al analista de seguridad a decidir los pasos siguientes.


Figura 5-4: Ejemplo de panel de FireEye

InformesLas soluciones NGTP actuales ofrecen formas cómodas y eficaces de rastrear tipos específicos de ciberataques por nombre o tipo, y generar informes sobre ellos. Las organizaciones pueden ver resúmenes de eventos, como los principales host infectados y los eventos de devolución de llamadas y malware más importantes, además de los detalles de geolocalización. Algunas soluciones NGTP incluso ofrecen la posibilidad de mostrar los datos del evento de seguridad en Google Earth.

Aunque los usuarios de NGTP pueden generar los informes al instante, la consola de administración centralizada también permite crear automáticamente los informes a intervalos de tiempo establecidos (a diario, cada semana, cada mes).

NO OLVIDEEn particular, los informes de tendencias pueden ayudar a demostrar cómo progresa la reducción del número de sistemas comprometidos.


AlertasLas alertas ayudan a los analistas de seguridad a mantenerse al tanto de las posibles infracciones de la seguridad. Las notificaciones de alerta se pueden enviar a través de SMTP, SNMP, syslog o HTTP POST. Las alertas también se muestran en la interfaz basada en la Web del dispositivo Central Management System (CMS) (consulte la Figura 5-5).

Figura 5-5: Ejemplo de resumen de alertas de FireEye

SUGERENCIA Cuando se detecta un nuevo ciberataque con una devolución de llamadas asociada, el dispositivo MPS registra una o varias alertas de alta prioridad. Aunque el dispositivo MPS (si se configura para funcionar en línea) es capaz de cortar las comunicaciones de devolución de llamadas para rechazar el ataque, es importante realizar un seguimiento y corregir los problemas en el host infectado durante el ataque.

Integración de NGTP en la infraestructura de TI existente

Ningún sistema de seguridad de la información debería funcionar de manera aislada en ningún momento. Los productos de seguridad, y la infraestructura de red que los soporta, deben funcionar de forma conjunta para que las tecnologías de la información dispongan de un contexto más amplio sobre el entorno que protegen y, en última instancia, reduzcan el riesgo de que los ciberataques prosperen.


El objetivo de esta sección es describir la integración de los sistemas NGTP con las tres plataformas de TI más solicitadas, empezando por SIEM.

SIEMSIEM (administración de eventos e información de seguridad) es una de las plataformas de integración de NGTP más solicitadas, especialmente en los despliegues fuera de banda. No es extraño, puesto que la finalidad de las plataformas SIEM es reunir los eventos de seguridad de toda la organización y establecer la relación entre ellos (mediante el uso de docenas de reglas de correlación predefinidas y personalizadas) con el fin de descubrir ciberataques ocultos.

Para analizarlos en profundidad, los eventos de seguridad se pueden exportar en secuencias en tiempo real a las plataformas SIEM en formato syslog, Common Event Format (CEF) y otros formatos de proveedor que ofrezcan más detalles del ataque.

SUGERENCIA También es frecuente que las organizaciones integren los sistemas NGTP con productos de administración de registros. Al igual que una plataforma SIEM, un administrador de registros reúne los eventos de seguridad (por medio de datos syslog), pero, a diferencia de SIEM, por lo general, no puede establecer la correlación de los datos. Aunque su elección suele estar motivada por la necesidad de cumplir una normativa (como PCI DSS), los administradores de registros constituyen también un medio útil para recopilar datos de registro.

Entre los proveedores se incluyen HP ArcSight, IBM Q1 Labs, LogRhythm, McAfee, RSA y Splunk.

Security Intelligence and AnalyticsSecurity Intelligence and Analytics (SIA), también conocido como análisis forense de la red, captura cada paquete que se transfiere a través de la red por una serie de motivos, incluidos los siguientes:

; Respuesta a incidentes de seguridad (datos forenses)

; Detección de ciberataques

; Supervisión y análisis de pérdida de datos


Una vez que un sistema NGTP clasifica un nuevo tipo de malware, el analista puede utilizar técnicas de análisis de grandes volúmenes de datos y consultar la base de datos SIA para determinar el contexto en el que se ha infectado el host e identificar otros sistemas posiblemente infectados en el mismo ataque.

Algunos proveedores de SIA proporcionan una interfaz de conexión universal que se conecta directamente al navegador web para que el usuario de NGTP pueda hacer clic en una dirección IP desde la consola de administración central e iniciar una consulta en la base de datos SIA, lo que agiliza el proceso de respuesta a incidentes.

Entre los proveedores se incluyen NetWitness (RSA), Niksun y Solera Networks.

Administración de incidentesHace años que existen las plataformas de administración de incidentes (o ticketing). Los usuarios habituales de estas plataformas son el personal de TI interno y el personal del servicio de asistencia, quienes las emplean para rastrear y administrar los incidentes de TI. Un incidente puede ser algo tan sencillo como una consulta al servicio de asistencia o tan complejo como erradicar una APT.

Es frecuente que las organizaciones deseen incluir alertas NGTP en la plataforma de administración de incidentes existente. Esto se consigue enviando alertas SMTP con formato especial al sistema de administración de incidentes desde el Central Management System de NGTP o efectuando el análisis sintáctico de las alertas con formato XML para adecuarlas a las plantillas de alerta de incidentes existentes.

Entre los proveedores se incluyen BMC Remedy, Numara Software y RSA Archer.


Experimentos del laboratorio nacional relacionados con la protección contra

amenazas de próxima generaciónAlgunos aseguran que la “ignorancia e s u n a b e n d i c i ó n ”. N o l o e s para el jefe de seguridad de un laboratorio nacional de Estados Unidos encargado de avanzar en la investigación científica en materia de energía, medio ambiente y seguridad nacional. Este laboratorio maneja a diario una gran cantidad de secretos nacionales y datos confidenciales, lo que lo convierte en un blanco codiciado por los ciberdelincuentes extremadamente motivados y sofisticados.

Para evitar cualquier posible fuga de datos, el laboratorio desarrolló una completa serie de dispositivos de seguridad empresariales, incluidos firewall, IPS y soluciones AV. Sin embargo, un día el jefe de seguridad del laboratorio leyó un artículo en una revista de seguridad de la información sobre una organización del mismo tamaño que la suya arrasada por una APT. También descubrió cómo funcionan estas amenazas y por qué no son eficaces las defensas de seguridad tradicionales.

Tras consultar a su equipo, formado por experimentados profesionales de la seguridad, conoció una categoría relativamente nueva de defensa de seguridad de red: la protección contra amenazas de próxima generación. También se enteró de que existía un proveedor

concreto que tenía mejor reputación que todos los demás proveedores de NGTP en lo que se refiere a la detección de amenazas avanzadas: FireEye (www.fireeye.com).

Ese mismo día, un miembro del equipo se puso en contacto con FireEye para programar una reunión, que pronto dio lugar a una evaluación in situ. Tras implementar un piloto para supervisar el tráfico de la red en un solo día, el dispositivo web MPS de FireEye ofreció resultados positivos de inmediato. Unas horas después se dispararon las alertas a causa de un código malicioso que había pasado completamente inadvertido a las defensas de seguridad existentes en el laboratorio.

El dispositivo MPS de FireEye se implantó en toda la producción en línea semanas más tarde. Así como la función de bloqueo fast-path del dispositivo neutraliza los ataques entrantes conocidos y la devolución de llamadas de malware, el potente motor Virtual Execution detecta con precisión los ciberataques desconocidos.

El jefe de seguridad del laboratorio está ahora más tranquilo porque s a b e q u e e l n o m b r e d e s u laboratorio no aparecerá en su revista favorita de seguridad de la información en un futuro próximo.

www.fireeye.com

Capítulo 6

Selección de la solución de NGTP adecuada

En este capítulo • Lo que hay que evitar al evaluar soluciones de NGTP • Compilación de una lista de criterios para la compra de NGTP

En la actualidad existen docenas de proveedores de ciberseguridad en el mercado, que pregonan sus capacidades

de detección y bloqueo de ciberataques avanzados, tales como ataques de vulnerabilidades desconocidas, amenazas polimórficas y amenazas persistentes avanzadas (APT). Aunque cada uno de esos proveedores pueda detectar y bloquear ataques conocidos, muy pocos son capaces de bloquear ataques desconocidos, en especial si van dirigidos contra vulnerabilidades no conocidas (al menos para el público general) en sistemas operativos o aplicaciones.

Cuando se plantee comprar un sistema de NGTP, es importante que sepa qué buscar y, lo que es quizás más importante, qué debe evitar. Empecemos por esto último.

Qué evitarA continuación se incluye una lista de qué conviene evitar al evaluar soluciones de NGTP:

Evite soluciones que solo detecten. Las mejores ofertas en NGTP disponen de modos de funcionamiento en línea y fuera de banda. Muchas empresas empiezan con un modo fuera de banda para obtener un nivel de confort inicial y luego progresan hasta una configuración de NGTP en línea para bloquear amenazas conocidas, devolución de llamadas del malware y reapariciones de malware recién descubierto. Además, al evaluar dispositivos MPS con conexiones de cobre, asegúrese de que admitan el desbloqueo en caso de error (fail-open) para los despliegues en línea.


Evite ofertas basadas en entornos de prueba. Las llamadas soluciones de NGTP que incorporan tecnología de entorno de prueba (o sandbox) son fáciles de sortear para los autores de amenazas sofisticadas, que diseñan malware capaz de detectar la presencia de tecnología tradicional de entorno de prueba, suprimiendo la carga útil de un archivo infectado por malware para impedir su detección.

Evite análisis de malware desde la nube. Toda solución de NGTP debe aprovechar las posibilidades y escalabilidad de la nube. Pero las mejores soluciones de NGTP se sirven de la nube para compartir información, no para llevar a cabo el análisis del malware, como sucede con algunas soluciones de seguridad de redes multifuncionales que ofrecen funciones de NGTP rudimentarias. Incorporando el motor Virtual Execution en el dispositivo MPS, el análisis del malware se realiza a nivel local, por lo que mejora drásticamente la cobertura y la escalabilidad de la identificación de malware y se garantiza que ningún archivo confidencial salga de la red.

Evite dispositivos MPS “todo en uno”. Para una detección óptima de la nueva variedad de ciberataques, conviene disponer de dispositivos MPS distintos diseñados específicamente para la protección del correo electrónico, la Web y los archivos compartidos, pero asegúrese de que estén integrados para compartir información.

Ya que sabe exactamente lo que debe rechazar, llega el momento de elaborar una lista de la compra con las características de las soluciones NGTP que son importantes para cualquier empresa u organización preocupada por la seguridad. El apartado siguiente le ayudará a este respecto.

Criterios importantes para la compraSea cual sea el sector o el tamaño de una empresa o un organismo público, entre los criterios de compra de soluciones NGTP deberían estar los siguientes.

SUGERENCIA Algunos de los criterios de compra ya se han tratado antes. Considere que estas descripciones son resúmenes concisos. Si desea explicaciones más detalladas, consulte los capítulos 3 y 4.

Capítulo 6 : Selección de la solución de NGTP adecuada | 57

Plataforma de NGTP integrada para inspección de la Web, el correo electrónico y los archivosAunque ya hemos tratado este tema más de una vez, merece una nueva mención. Para neutralizar un ataque de APT, es crucial contar con protecciones integradas en todos los puntos de entrada habituales del malware: Web, correo electrónico y archivos. Las mejores plataformas de NGTP incorporan dispositivos MPS específicos (con heurística y algoritmos propios) para detectar malware incrustado en los mensajes de correo electrónico, el tráfico web y los archivos estáticos, al tiempo que correlacionan lo detectado para detener los ataques APT en cualquier lugar de la empresa.

Aunque es posible ahorrar algo a corto plazo comprando un dispositivo MPS de un proveedor que dice dar cobertura para dos o tres de esas vías, a largo plazo no trae cuenta invertir en una solución parcial.

Supervisión del tráfico entrante y salienteLos sistemas típicos de NGTP supervisan el tráfico entrante recibido de sitios web y mensajes de correo electrónico para identificar archivos binarios sospechosos que podrían contener malware avanzado. La mayoría de los sistemas de NGTP no supervisan el tráfico saliente, pero sorprendentemente también los hay que solo vigilan ese tráfico. El dispositivo MPS, al vigilar los dos sentidos del tráfico, puede detectar tanto el malware entrante como los correspondientes intentos de comunicación de salida.

NO OLVIDE La vigilancia del tráfico entrante y saliente, que solo se encuentra en las principales soluciones de NGTP, es una característica importante pues proporciona una capa adicional de defensa, en especial ante dispositivos móviles que podrían estar infectados al entrar por la puerta de la oficina.

Inspección de una gran variedad de tipos de archivoPuede resultar sorprendente pero hay algunas soluciones de NGTP rudimentarias que solo pueden descubrir malware en archivos EXE y DLL no cifrados. Lo cierto es que puede haber malware incrustado en docenas de tipos de objetos, desde algo tan simple como un archivo binario codificado con XOR, en el


caso de la Operación Aurora, hasta un archivo de Microsoft Excel, que aprovechó una vulnerabilidad desconocida de Flash en el ataque contra RSA Security (consulte el recuadro “RSA Security describe el ataque APT” en el capítulo 3).

NO OLVIDE Los exploits híbridos de documentos destacan la necesidad de una cobertura amplia de la seguridad de las redes. En el caso de la fuga de datos de RSA Security, la hoja de cálculo Excel no atacó a Microsoft Excel, sino que activó un exploit contra una aplicación totalmente diferente.

Una buena solución de NGTP aplica heurística y algoritmos de detección de gran sofisticación para descubrir malware avanzado en páginas web y en docenas de tipos de archivos, tales como com, doc, docx, gif, jpg, mov, mp3, mp4, pdf, png, ppt, pptx, swf, tiff, xls, xlsx o zip, entre otros muchos.

Solución con análisis manual de malwareEl motor Virtual Execution que incluye el dispositivo MPS analiza a menudo (incluso de forma remota) archivos sospechosos por si contienen malware avanzado. Al hacerlo, pone en manos de los analistas de seguridad detalles forenses del exploit, como la vulnerabilidad que se aprovecha para crear un desbordamiento del búfer, los intentos de escalada de privilegios en Windows y las coordenadas de devolución de llamada utilizadas para la filtración de datos.

A veces, los técnicos experimentados prefieren analizar el malware a mano para obtener una visión completa del ataque, desde el exploit inicial y la ejecución del malware hasta los intentos posteriores de descarga de archivos binarios. Para satisfacer esta necesidad de datos forenses exhaustivos, los principales proveedores de NGTP ofrecen un sistema independiente de análisis de malware (Malware Analysis System, MAS), que suele presentarse en un cómodo dispositivo instalable en bastidores.

El MAS debe incorporar máquinas virtuales instrumentadas y de configuración automática, equipadas con varias versiones de Microsoft Windows y diversas aplicaciones de software, como por ejemplo Microsoft Office y Adobe Reader. Este entorno permite que los analistas inspeccionen a fondo los archivos binarios sospechosos (o que se sabe que están infectados) para entender la intención y los objetivos de los ciberdelincuentes, sin tener que crear y mantener múltiples entornos personalizados para los análisis.

Capítulo 6 : Selección de la solución de NGTP adecuada | 59

Sin falsos positivos ni falsos negativosLos falsos positivos y los falsos negativos causados por una detección deficiente de NGTP pueden resultar muy caros a una empresa. Un falso positivo (un archivo inocuo que se clasifica como dañino) puede implicar que un archivo clave para una empresa no llegue a su destino, con la consiguiente pérdida de tiempo y dinero. Es incluso peor un falso negativo (un archivo dañino que se clasifica como inocuo) porque se permite que un archivo infectado con malware llegue a su destino final sin que se encuentre más motivo de análisis. A estas alturas, no creo que haga falta explicar lo que puede implicar.

Decir que ni siquiera el mejor sistema de NGTP del mercado vaya a cometer nunca un falso positivo o un falso negativo es, tal vez, demasiado aventurado. Pero las veces en que eso suceda deben ser muy escasas y poco frecuentes.

NO OLVIDE Para valorar la calidad de la detección de las soluciones de NGTP preseleccionadas, póngalas a prueba con una evaluación in situ. Si tiene que elegir entre dos soluciones competidoras, pruébelas al mismo tiempo usando el mismo tráfico real (en modo pasivo fuera de banda) y compare sus resultados.

Posibilidad de reglas personalizadasComo se ha descrito en el capítulo 5, a veces los administradores de NGTP importan reglas personalizadas a nivel de byte que han creado usando el lenguaje de reglas YARA para desencadenar el análisis de todos los objetos coincidentes en busca de amenazas específicas para una empresa. (Esto se parece a crear firmas personalizadas para el IPS de una red).

Al evaluar ofertas de NGTP competidoras, piense en la facilidad de ampliación de la solución y en su capacidad para admitir reglas personalizadas de detección de malware.

Interfaz de usuario intuitivaNo importa lo potente o versátil que sea una aplicación de seguridad. Si resulta difícil de usar, es poco probable que la adopte una organización de TI, al menos a gran escala. Las soluciones de NGTP no son una excepción.

Un sistema de NGTP es una solución mucho más automatizada que los productos de seguridad que requieren la configuración o creación de juegos de reglas, como un dispositivo IPS o un firewall tradicional. Sin embargo, es importante que el panel sea sencillo y fácil de usar, y que elaborar informes y alertas no requiera un doctorado en astrofísica.


Asistencia al cliente que respondaLa selección de un proveedor de NGTP es tan importante como la de un producto de NGTP, si no más. Las empresas y los organismos oficiales suelen señalar el servicio técnico de alta calidad como un criterio fundamental a la hora de decidirse por cualquier sistema de TI.

SUGERENCIA Antes de tomar una decisión de compra, asegúrese de valorar la calidad de la asistencia al cliente que ofrece un proveedor. Para ello, durante la fase de evaluación póngase en contacto un par de veces con el servicio técnico del proveedor, y no con el especialista que le hayan asignado a su cuenta. Aunque no tengas problemas durante la evaluación, invéntese alguno. O haga una consulta general sobre alguna función del producto. De esa forma, podrá hacerse una idea de la experiencia y la rapidez de respuesta del personal del servicio técnico y de lo que se tarda en hablar con alguien de carne y hueso. Si ha tardado 30 minutos y ese técnico no supo responder a una pregunta simple sobre la configuración, probablemente haya llegado el momento de cambiar a una oferta de la competencia.

Glosario

amenaza combinada: ciberataque que incluye una combinación de ataques para aprovechar diferentes vulnerabilidades.

amenazas de próxima generación: nueva variedad de ciberataques que no es fácil de detectar para las defensas de seguridad basadas en firmas. Ejemplos de estas amenazas son el malware polimórfico, las amenazas zero-day y las amenazas persistentes avanzadas.

amenaza persistente avanzada (APT, advanced persistent threat): sofisticado ciberataque que emplea técnicas avanzadas de ocultación para no ser detectado durante largos periodos de tiempo.

amenaza polimórfica: malware que cambia su firma (patrón binario) cada vez que se replica para impedir ser detectado por un dispositivo o aplicación de seguridad.

amenaza zero day (desconocida): ciberataque contra una vulnerabilidad no conocida (o no comunicada) de un sistema operativo o una aplicación.

ataque de inyección SQL: forma de ataque sobre una aplicación web basada en base de datos en la que el atacante ejecuta comandos SQL no autorizados para explotar código no seguro.

ataque por denegación de servicio (DoS, denial of service): ciberataque que intenta perturbar o inhabilitar un host en particular inundándolo con peticiones de comunicación inocuas desde otro host.

ataque por desbordamiento del búfer: ataque que se lleva a cabo enviando más datos al búfer de los que está configurado para contener y que acaba por permitir al atacante ejecutar código personalizado (a menudo con los privilegios superiores que tenía la aplicación o servicio de red vulnerable).

ataque selectivo avanzado (ATA, advanced targeted attack): otro nombre que se utiliza para designar una amenaza persistente avanzada.

baiting o carnada: ataque de ingeniería social en el que se abandonan deliberadamente soportes físicos (como un dispositivo de memoria USB) con malware en las proximidades de una organización seleccionada como objetivo.

62 | Guía definitiva para la protección contra amenazas de próxima generación

bot: computadora (o endpoint) infectada que está bajo el control centralizado de un servidor de comando y control.

BYOD (del inglés, bring your own device): política de algunas empresas que permiten a los empleados traer al trabajo sus propios dispositivos para acceder a los datos de la empresa.

Central Management System (CMS): dispositivo montado en bastidor que se ocupa de supervisar y gestionar los dispositivos MPS dentro de un entorno NGTP.

ciberdelincuente: hacker, o pirata informático, que roba ilegalmente datos de otra computadora para obtener un beneficio económico personal.

ciberguerra: actividad de hacking con motivaciones políticas que lleva a cabo sabotajes o acciones de espionaje contra un país.

ciberterrorismo: uso de ataques por Internet en actividades terroristas, tales como acciones destinadas a colapsar de manera deliberada y a gran escala las redes informáticas.

desbloqueo en caso de error (fail open): capacidad por la que las conexiones de cobre de un dispositivo de red mantienen la conectividad en caso de que el dispositivo falle o se quede sin alimentación, a fin de impedir interrupciones en la red.

ejecutor de amenazas de Estado: ciberdelincuente que, por encargo de un país, lleva a cabo ciberataques contra enemigos de dicho país con fines políticos.

entorno de prueba (sandbox): aplicación de software diseñada para analizar archivos binarios sospechosos en la seguridad de una máquina virtual, aunque los ciberatacantes más avanzados suelen eludirla.

estrategia de defensa en profundidad: instalación de una serie de defensas de ciberseguridad de manera tal que, si una capa de seguridad no detecta una amenaza, otra capa pueda interceptarla.

falso negativo: clasificación errónea como benigno de un archivo que contiene malware.

falso positivo: clasificación errónea de un archivo benigno como malicioso.

gusano: forma de malware que explota las vulnerabilidades de la red para propagarse a otras computadoras.

Glosario | 63

hacktivismo: uso de las computadoras y las redes como medio para protestar o para promover fines políticos.

herramienta de administración remota (RAT, remote administration tool): software que abre una puerta trasera en el sistema infectado para que el hacker fisgonee o tome el control del host.

keylogger: aplicación que registra las teclas que se pulsan en una computadora, normalmente sin el conocimiento del usuario.

malware: software malicioso (por ejemplo, un virus informático, un gusano o un troyano) que se crea para perturbar el funcionamiento de una computadora, recoger información delicada o conseguir el acceso a sistemas informáticos privados. Véase también spyware, troyano y gusano.

Malware Protection System (MPS): dispositivo montado en bastidor que se ocupa de detectar objetos sospechosos en la red y enviarlos al motor de ejecución virtual (al cual también alberga) para su análisis sin firmas.

modo fuera de banda: modo de funcionamiento de un dispositivo de red que le permite analizar el tráfico copiado desde un puerto de acceso para pruebas (TAP) de la red o desde un puerto SPAN de un conmutador.

multifase: ciberataque avanzado que incorpora varios tipos de malware diseñados para ejecutarse en distintas fases.

multivectorial: ciberataque diseñado para dirigirse contra múltiples hosts dentro de la misma empresa utilizando distintas técnicas de ataque.

modo en línea: colocación de un dispositivo de red directamente en la línea del tráfico de la red, por lo que puede bloquear los ciberataques.

motor de ejecución virtual: componente de un dispositivo MPS que se encarga del análisis sin firmas de los objetos sospechosos en la seguridad de la máquina virtual.

phishing: acto de enviar un correo electrónico a un usuario haciéndose pasar por una entidad legítima en un intento de engañar al usuario para que facilite información privada, como por ejemplo el número de una tarjeta de crédito o el de un documento de identidad.

phishing selectivo: intento de phishing dirigido contra una organización en particular o contra una o varias personas de esa organización.

64 | Guía definitiva para la protección contra amenazas de próxima generación

prevención de fugas de datos (DLP, data leakage prevention): sistema diseñado para detectar rápidamente posibles fugas de datos basado en el uso de patrones (por ejemplo, número de documentos de identidad).

protección contra amenazas de próxima generación (NGTP, next-generation threat protection): software que se instala en dispositivos especializados, montados en bastidor y que se ha diseñado para detectar e impedir la nueva hornada actual de ciberataques.

red de información sobre amenazas en la nube: servicio alojado en Internet gestionado por un proveedor de NGTP para intercambiar (distribuir y recibir) información sobre ciberataques con los dispositivos MPS de sus clientes.

servidor de comando y control: servidor que un ciber-delincuente maneja para hacer llegar instrucciones a los bots.

sistema de análisis de malware (MAS, malware analysis system): dispositivo equipado con un motor de ejecución virtual que permite a los usuarios inspeccionar manualmente objetos de los que se sospecha que contienen malware.

sistema de detección de intrusiones (IDS, intrusion detection system): dispositivo de seguridad fuera de banda que se sirve de firmas para supervisar el tráfico de la red y avisar en caso de detectar ciberataques conocidos.

sistema de prevención de intrusiones (IDS, intrusion prevention system): dispositivo de seguridad en línea (activo) que se sirve de firmas para supervisar el tráfico de la red y, en caso de detectar ciberataques conocidos, impedirlos.

spyware (o software espía): tipo de malware que obtiene información sobre los usuarios, con o sin su conocimiento.

tráfico entrante: tráfico de una red informática que se dirige desde fuera de la red hacia hosts situados dentro de ella.

tráfico saliente: tráfico de una red informática que se dirige desde el interior de la red hacia hosts situados fuera de ella.

troyano: malware que se enmascara como archivo legítimo o aplicación útil con el propósito último de permitir el acceso no autorizado de un hacker a la computadora infectada.

whaling: ciberataque dirigido específicamente a altos ejecutivos y otros objetivos prominentes dentro de las empresas.

LA NUEVA GENERACIÓN DE CIBERATAQUES

HAN PENETRADO EN EL 95 % DE LAS REDES.

¿CREE QUE ESTÁ ENTRE EL 5 % RESTANTE?

© 2013 FireEye, Inc. Todos los derechos reservados.

Es posible que crea que sus defensas de seguridad

actuales impiden a los nuevos ciberataques entrar en su

red y apoderarse de sus datos. Pero no es así.

Los ciberataques actuales sortean los firewalls, IPS, antivirus

y puertas de enlace tradicionales y de nueva generación.

FireEye es su mejor medio de defensa. Ponga fin a la nueva

variedad de ciberataques con protección contra

amenazas de próxima generación. Visítenos hoy en

www.FireEye.com y permítanos cerrar las brechas en la

protección de su red.

para la


Protección contra amenazas de próxima generación

¿Todas las de perder en la lucha contra la nueva variedad de ciberataques actuales? Aprenda cómo derrotar a sus ciberenemigos con protección contra amenazas de próxima generación (NGTP).A pesar de gastar más de 20 000 millones de dólares en sistemas de seguridad tradicionales, las organizaciones se enfrentan a una nueva variedad de ciberataques, con exploits zero-day, malware polimórfico y amenazas avanzadas persistentes (APT) a la cabeza. Nuestra única opción de vencer a estos adversarios hoy día, dada su sobrada financiación y su alta motivación, pasa por cambiar de forma de pensar. Si se ocupa de la seguridad de la red de su empresa, no debe perderse esta guía.

• Definición de las amenazas de próxima generación: comparación de los ciberataques tradicionales con una nueva variedad de amenazas de próxima generación.

• Conocer al enemigo: examen de tres tipos de ciberenemigos y sus métodos para derrotar los sistemas de seguridad tradicionales.

• Anatomía de los ciberataques avanzados: descripción de las cinco fases del ciclo de vida de los ataques avanzados y señales que permiten detectar las amenazas avanzadas persistentes (APT).

• Introducción a la protección contra amenazas de próxima generación: revisión de los componentes clave de las soluciones de NGTP y comparación con las defensas de seguridad tradicionales.

• Análisis de la protección contra amenazas de próxima generación: información sobre cómo mitigar las amenazas de próxima generación en los mensajes de correo electrónico, las comunicaciones a través de la Web y los archivos en reposo.

• Selección de la solución de NGTP adecuada: descripción exacta sobre qué buscar (y, lo que es más importante, qué evitar) a la hora de evaluar una solución de NGTP.

Steve Piper, CISSP

PRÓLOGO DE:David DeWalt

Cortesía de:

Acerca del autorSteve Piper es un experto en seguridad de la información con más de 20 años de experiencia en el sector de las tecnologías. Como escritor y consultor freelance, Steve es autor de numerosos libros sobre seguridad de la información, infraestructuras de red y gestión de grandes volúmenes de datos (Big Data). Cuenta con un certificado en seguridad CISSP del ISC2 y una licenciatura en ciencias y un MBA de la George Mason University. Encontrará más información en www.stevepiper.com.

Prohibida la venta

Definitive GuideTM

Definitive Guide para la Protección contra amenazas de próxima ...

Documents

Transcript of Definitive Guide para la Protección contra amenazas de próxima ...