RolandRare

Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica. Richard Betjlich, detalla los elementos básicos de un modo estratégico para comprender mejor sus motivaciones y movimientos, de la siguiente manera: (BEJTLICH, 2010) Amenaza significa que el adversario no es una pieza de código sin sentido, al contrario, es una persona motivada, financiada y organizada, que busca un objetivo particular, para lo cual estará bien rodeada y asistida para lograr la misión designada. Persistente significa que el adversario tiene una tarea que cumplir y que insistirá en ella hasta lograrla. En este sentido, persistente no significa necesariamente que buscará ejecutar un código malicioso en el computador víctima, sino mantener el nivel de interacción necesario para alcanzar sus objetivos. Avanzada quiere decir que el adversario puede operar un amplio espectro de posibles intrusiones informáticas; es decir, puede utilizar desde las más evidentes y publicitadas vulnerabilidades o elevar el nivel del juego, para investigar o desarrollar nuevas debilidades o fallas, dependiendo de las prácticas de seguridad y control de la empresa objetivo. Linea de Tiempo de una APT Casos publicados y ampliamente difundidos dan cuenta de que este tipo de amenazas han cobrado importantes organizaciones. A continuación se detallan algunos de ellos, como fuente de documentación y lecciones aprendidas: (SAVAGE, 2011) El ataque a la firma RSA inició con dos correos phishing con asunto: “2011 Recruitment Plan”, enviado a dos pequeños grupos de empleados. Un empleado dio click en una de las hojas electrónicas adjuntas en el correo, el cual contenía un exploit de día cero, lo cual abrió una brecha de seguridad dentro de la empresa, lo que permitió que los atacantes tuviesen acceso a los sistemas de información críticos de la empresa y paso a la información relacionada con los productos SecureID, del cual son líderes en la industria de seguridad informática. Así mismo, tenemos el ataque del grupo “Anonymous” a la firma de seguridad HBGary Federal a comienzos del 2011. El ataque consistió en efectuar un engaño a un administrador de red, para que se diese acceso al sitio Rootkit.org, sitio web de investigaciones en seguridad informática mantenido por el fundador de la empresa Greg Hoglund, ocasionando desde allí un ingreso no autorizado a la empresa, ganando acceso a los sistemas internos de correo electrónico con datos sensibles y otra información crítica de la misma. Finalmente, el ataque a Google efectuado el año 2010, donde los atacantes recolectaron información publicada por los empleados de la firma en redes sociales como facebook y linkedid. Luego, configuraron un sitio web con fotos falsas, desde donde enviaban correos electrónicos que contenían enlaces al parecer confiables, dado que venían aparentemente de personas de confianza. Una vez, la personas hacía click sobre el enlace del correo, se descargaba un código malicioso, que abrió una brecha de seguridad que dio acceso a los servidores corporativos de Google. Lo que se aprendió de estos casos: 1.Nuestra naturaleza orientada a confiar en los demás. Se puede llegar a creer ciegamente que el correo enviado por un conocido es seguro, cuando por casos de suplantación no necesariamente lo es.2.Manejo de las expectativas de las personas. En este sentido, información sobre ascensos, ingresos, nuevos beneficios o incluso retiros de personas de las empresas, se vuelve sensible y clave a la hora de lanzar estratégicamente engaños electrónicos. 3.El afán de compartir información: si no estás en las redes sociales, no existes. Estamos en un mundo donde la información fluye todo el tiempo. Es nuestro deber, saber qué debe circular y qué no, qué información voy a compartir y cuáles serán sus implicaciones al hacerlo. Algunas lecciones que tenemos por aprender frente a los avances de las APAv (CANO, 2011) 1.Insistir en el valor de la información como activo crítico empresarial. No existe un vínculo formal que permita valorar la información, como las cosas propias que afectan la vida de cada individuo. La información es algo externo a su realidad, que sólo es considerada importante, cuando la misma te afecta como persona en cualquier contexto de la vida. 2.Clasificar la información como práctica natural del tratamiento de la información. La información empresarial, toda ella representa la vida y obra de la firma, mucha de ella habla de cosas que sólo le pertenece a la empresa, mientras otra está diseñada para ser compartida con el entorno. 3.Promover sistemas de inteligencia y monitoreo preventivo sobre el flujo de información empresarial. Esta consideración advierte a las organizaciones que deben avanzar en el desarrollo de nuevas capacidades de detección de patrones competitivos y de amenazas informáticas en el contexto de sus relaciones de negocio, para establecer acciones preventivas que permitan anticiparse a futuros ataques o amenazas. Referencias BEJTLICH, R. (2010). Understanding the advanced persistent threat. Information Security Magazine, http://searchsecurity.techtarget.com/magazineContent/Understanding-the-advancedpersistent-threat.CANO, J. J. (2011). Amenazas persistentes avanzadas, inteligencia y contrainteligencia en un contexto digital. dos, http://52.0.140.184/typo43/fileadmin/Revista_119/Dos.pdf.SAVAGE, M. (2011). Gaining awareness to prevent social engineering techniques. Information Security Magazine, http://searchsecurity. techtarget.com/magazineContent/Gainingawareness-to-prevent-social-engineeringtechniques-attacks.

El enfoque inicial para defenderse contra los ataques a blancos específicos consiste en proteger el perímetro mediante cortafuegos y sistemas de detección de intrusión para detectar y bloquear conductas anómalas. Este enfoque puede ser eficaz en la defensa contra determinados tipos de ataques; no obstante, no protegen contra todos los vectores de ataque, como el “spear phishing” y la “ingeniería social”. Las amenazas persistentes avanzadasplantean desafíos distintos a los de los riesgos de seguridad tradicionales. ElInstituto Ponemon estimó el costo promedio en $5,5 millones en 2011 (Ponemon Institute LLC, 2012), lo que convirtió a las violaciones de seguridad en una preocupación fundamental aun para los ejecutivos de alto rango. El Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST) define a las amenazas persistentes avanzadas (APT) de la siguiente forma: (NIST, 2012) “La amenaza persistente avanzada es un adversario con niveles sofisticados de pericia/recursos significativos que le permiten, por medio del uso de múltiples vectores de ataque (por ej., cibernético, físico y el engaño), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer y extender su posicionamiento dentro de la infraestructura de tecnología de la información de las organizaciones con fines de filtrar información hacia el exterior continuamente o socavar o impedir aspectos importantes de una misión,un programa o una organización, o ubicarse en una posición que le permita hacerlo en el futuro. Además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un lapso extenso de tiempo, adaptándose a las medidas de defensa del atacado, y con la determinación de mantener el nivel de interacción necesario para ejecutar sus objetivos”. Una amenaza persistente avanzada típica puede componerse de las cuatro etapas siguientes: 1. Reconocimiento: la investigación de las vulnerabilidades de una organización. Esto puede incluir la investigación básica, incluidas consultas de dominio hasta análisis de puertos y vulnerabilidades. 2. Entrada inicial: explotación de las debilidades para conseguir una posición en la red del blanco de ataque.Esto se puede realizar mediante métodos técnicos sofisticados o con técnicas como el “spear phishing” (ataques de suplantación de identidad dirigidos), lo que provoca que se obtenga el acceso de un usuario normal a un sistema individual. “Ingeniería social”, o la explotación de personas, también constituye un método común para obtener acceso. 3. Aumento de los privilegios y la expansión del control: una vez que un atacante penetra en el perímetro de la red, intenta obtener más privilegios y control sobre sistemas importantes. Este paso puede involucrar la instalación de herramientas de “acceso indirecto”destinadas a simplificar el acceso futuro a la red. 4. Explotación continua: una vez que se establece el control, el atacante puede exportar continuamente datos confidenciales. Las etapas tercera y cuarta pueden tener lugar a lo largo de años, a los fines de reducir el riesgo de detección. Objetivos Debido a su naturaleza dirigida,los perpetradores de las APT poseen a menudo objetivos diferentes a los de los hackers de Internet comunes: • Manipulación política • Espionaje militar • Espionaje económico • Espionaje técnico • Extorsión financiera Blancos Tipos específicos de organizaciones corren más riesgos de sufrir las APT debido a la frecuente naturaleza política y favorecida por el estado de la amenaza: Organismos gubernamentalesOrganizaciones de defensa y contratistasSistemas de infraestructura importantes (por ej., sistemas de servicios públicos, comunicaciones y transporte)Organizaciones políticasInstituciones financierasEmpresas de tecnología Las APT son muy difíciles de detectar. Según un informe de investigaciones de violaciones de datos de Verizon de 2012, el 92% de todas las organizaciones y el 49% de las grandes organizaciones tuvieron conocimiento de una violación de seguridad gracias a la notificación de un tercero. (Verizon, 2012) Protección exhaustiva Para protegerse de amenazas persistentes avanzadas, la clave es la “protección exhaustiva”. Si cuenta con el tiempo suficiente, un atacante determinado será capaz de generar una violación en la mayoría de los perímetros de red. Una defensa exitosa tendrá las siguientes características: 1. Hacer que la penetración inicial sea difícil2. Reducir el potencial para aumentar privilegios en el caso de que una cuenta esté comprometida3. Limitar el daño que se pueda realizar por una cuenta comprometida, aun si tiene privilegios4. Detectar las cuentas comprometidas y las actividades sospechosas en las etapas iniciales del proceso5. Reunir información útil para una investigación forense, para poder determinar qué daño se produjo, cuándo, y quién lo realizó La protección del perímetro concortafuegos y sistemas de detección de intrusión en la frontera de la red sólopuede ayudar con la primera y cuarta defensa. Se requiere una estrategia de protección más activa. Se necesita de una función“basada en el contenido” para incorporar una nueva generación de defensa activa contra las APT. Esto quiere decir integrar la inteligencia de datos en cada decisión que se tome al momento de determinar si aprobar o no una solicitud.Esa integración se debe realizar por medio del reconocimiento y la comprensión de patrones de accesos y usos de datos. Por ejemplo, se deberían tener en cuenta los siguientes puntos: (Miller, 2012) Cambios en el acceso a tipos de datos. Un administrador que de modo continuo tiene acceso a datos de un tipo específico (por ej., registros operativos) luego solicita el acceso a información financiera confidencial o datos de clientes.Cambios en el uso de los datos. Un administrador habitualmente tiene acceso a datos confidenciales por medio de una aplicación específica con solicitudes de acceso de sólo de lectura para exportar datos a un disco duro externo, unidad USB o enviarlos por correo electrónico.Cambios en la cantidad de los datos. Un administrador tiene acceso a 100 MB de datos confidenciales por semana, y solicita acceso a 500 GB en un período similar.Cambios en la frecuencia de acceso a los datos. Un administrador tiene acceso a datos altamente confidenciales una vez por mes, y repentinamente tiene acceso a esos mismos datos, diariamente. Ninguno de estos cambios indica por su mera aparición que se ha producido una violación; no obstante, sí representan un cambio en la conducta. Un sistema que controle de forma inteligente el acceso de usuarios con privilegios debería tomar en cuenta todos estos factores al momento de revisar una solicitud de acceso. Esta inteligencia de datos puede utilizarse para denegar el acceso a recursos en tiempo real o bien para permitir el acceso, pero crear también un alerta que señala actividad sospechosa. Referencias Miller, R. (2012). Amenazas persistentes avanzadas: la defensa desde adentro hacia afuera. Ataques a blancos específicos, http://www.arcserve.com/~/media/Files/whitepapers/latam/CS2548_advanced_persistent_threats_wp_0712_las.pdf.NIST. (2012). Guide for Conducting Risk Assessments. NIST Special Publication 800-30, http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf.Ponemon Institute LLC. (2012). Cost of Data Breach Study. Ponemon Institute, http://www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf.Verizon. (2012). INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012. Verizon, http://www.verizonenterprise.com/resources/reports/rp_Informe_Sobre_Investigaciones_de_brechas_2012_es_xg.pdf.

SIEM( Security Incident and Event Management), son plataformas que proveen análisis en tiempo real de los eventos de seguridad generados por los equipos de comunicación, servidores y todo lo que estemos monitoreando. Debemos entender que proviene de la combinación de SEM ( Security Event Management) y SIM ( Security Incident management). SEM, Es el Segmento de la Administración de la seguridad que tiene que ver con Correlación de Eventos, Análisis en Tiempo real, Flujo de trabajo, además de que toma en consideración otras fuente como es el monitoreo del tráfico. SIM, Tiene que ver con el almacenamiento a largo plazo de logs para su posterior análisis y reporte. Esta combinación nos da en una sola plataforma una serie de funcionalidades, pero estas plataformas han ido evolucionando y mejorando, dándonos mucho más funcionalidades. Características · Alertas y Correlación de Eventos Monitoreos de integridad Agregación de Logs Análisis Forenses Análisis en tiempo Real Manejo de Vulnerabilidades Entre otros. Por qué debemos contar con un SIEM? Todos sabemos que nuestros equipos de comunicación, servidores y demás, generan una gran cantidad de eventos diariamente, y no es cierto que los administradores se sientan día tras día a revisar cada linea de eventos generados por los equipos. Es por esta razón que las organizaciones necesitan un acercamiento un poco más enfocado a lo que realmente necesita ser monitoreado. Cómo podemos definir un comportamiento normal en una infraestructura, si no estamos monitoreando diariamente dicha infraestructura, y tenemos que estar claros que no hay forma de definir tal comportamiento si no monitoreamos tráfico, eventos y demás, a cada momento. Y si no definimos esto, no será posible que detectemos un comportamiento anormal por lo que nuestra respuesta a posibles incidentes, nova a ser la mejor. La única manera de saber, que es normal en nuestra infraestructura es recopilar la mayor cantidad de información, en las actividades del día a día y buscar cualquier indicio de algo anormal. Otro punto muy importante es, Cómo podemos saber que pasó en la red,luego de algún incidente, si no estamos centralizando los logs para su posterior análisis. Todo esto,para que pueda ser logrado requiere de una solución que integre todas estas funcionalidades, y SIEM es el nombre. Una cosa que diferencia un buen equipo de respuestas a incidentes de uno no tan bueno, es su capacidad de respuestas y su planificación. Y esta capacidad de respuesta solo se logra si contamos con todo lo que necesitamos para responder ante el incidente. Los logs son los únicos que nos pueden dar una noción de lo pasado en nuestra red, y no importa la información en tiempo real que tengamos, la investigación se centra en eventos pasados, y contar con una solución donde lo centralicemos y la rapidez de acceso es lo que mejora o degrada una buena respuesta a incidentes. Algunas organizaciones no cuentan con dichas soluciones, a veces por el costo, o porque no entienden la criticidad del asunto, así que, como Encargados de Seguridad, debemos darle a entender a la organización la importancia de tener esta visibilidad en la infraestructura. Una buena solución SIEM Open Source es OSSIM, es una buena opción para iniciar y ver cómo funcionan estas soluciones. (Soto, 2015) Otros ejemplos de SIEM son los siguientes: RSA EnVisionArcsightLogICALogRhythm Sabemos que la seguridad absoluta no existe y por eso debemos ayudarnos de herramientas como estas, aunque vuelvo a recordar que la seguridad de una organización no se mide por el número de herramientas que disponga, sino por la concienciación, controles y procedimientos de seguridad que se establezcan y se cumplan por todo el personal de la organización. (ROMERO TREJO, 2013) Bibliografía ROMERO TREJO, D. (11 de marzo de 2013). Security Information and Event Management. Obtenido de http://www.davidromerotrejo.com/2013/03/security-information-and-event.htmlSoto, J. (12 de mayo de 2015). Qué es un SIEM y porque deberías Implementar uno. Obtenido de JSITECH: http://www.jsitech.com/generales/que-es-un-siem-y-porque-deberias-implementar-uno/