El enfoque inicial para defenderse contra los ataques a blancos específicos consiste en proteger el perímetro mediante cortafuegos y sistemas de detección de intrusión para detectar y bloquear conductas anómalas. Este enfoque puede ser eficaz en la defensa contra determinados tipos de ataques; no obstante, no protegen contra todos los vectores de ataque, como el “spear phishing” y la “ingeniería social”.
Las amenazas persistentes avanzadasplantean desafíos distintos a los de los riesgos de seguridad tradicionales. ElInstituto Ponemon estimó el costo promedio en $5,5 millones en 2011 (Ponemon Institute LLC, 2012), lo que convirtió a las violaciones de seguridad en una preocupación fundamental aun para los ejecutivos de alto rango.
El Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST) define a las amenazas persistentes avanzadas (APT) de la siguiente forma: (NIST, 2012) “La amenaza persistente avanzada es un adversario con niveles sofisticados de pericia/recursos significativos que le permiten, por medio del uso de múltiples vectores de ataque (por ej., cibernético, físico y el engaño), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer y extender su posicionamiento dentro de la infraestructura de tecnología de la información de las organizaciones con fines de filtrar información hacia el exterior continuamente o socavar o impedir aspectos importantes de una misión,un programa o una organización, o ubicarse en una posición que le permita hacerlo en el futuro. Además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un lapso extenso de tiempo, adaptándose a las medidas de defensa del atacado, y con la determinación de mantener el nivel de interacción necesario para ejecutar sus objetivos”.
Una amenaza persistente avanzada típica puede componerse de las cuatro etapas siguientes:
1. Reconocimiento: la investigación de las vulnerabilidades de una organización. Esto puede incluir la investigación básica, incluidas consultas de dominio hasta análisis de puertos y vulnerabilidades.
2. Entrada inicial: explotación de las debilidades para conseguir una posición en la red del blanco de ataque.Esto se puede realizar mediante métodos técnicos sofisticados o con técnicas como el “spear phishing” (ataques de suplantación de identidad dirigidos), lo que provoca que se obtenga el acceso de un usuario normal a un sistema individual. “Ingeniería social”, o la explotación de personas, también constituye un método común para obtener acceso.
3. Aumento de los privilegios y la expansión del control: una vez que un atacante penetra en el perímetro de la red, intenta obtener más privilegios y control sobre sistemas importantes. Este paso puede involucrar la instalación de herramientas de “acceso indirecto”destinadas a simplificar el acceso futuro a la red.
4. Explotación continua: una vez que se establece el control, el atacante puede exportar continuamente datos confidenciales. Las etapas tercera y cuarta pueden tener lugar a lo largo de años, a los fines de reducir el riesgo de detección.
Objetivos
Debido a su naturaleza dirigida,los perpetradores de las APT poseen a menudo objetivos diferentes a los de los hackers de Internet comunes:
• Manipulación política
• Espionaje militar
• Espionaje económico
• Espionaje técnico
• Extorsión financiera
Blancos
Tipos específicos de organizaciones corren más riesgos de sufrir las APT debido a la frecuente naturaleza política y favorecida por el estado de la amenaza:
Las APT son muy difíciles de detectar. Según un informe de investigaciones de violaciones de datos de Verizon de 2012, el 92% de todas las organizaciones y el 49% de las grandes organizaciones tuvieron conocimiento de una violación de seguridad gracias a la notificación de un tercero. (Verizon, 2012)
Protección exhaustiva
Para protegerse de amenazas persistentes avanzadas, la clave es la “protección exhaustiva”. Si cuenta con el tiempo suficiente, un atacante determinado será capaz de generar una violación en la mayoría de los perímetros de red. Una defensa exitosa tendrá las siguientes características:
La protección del perímetro concortafuegos y sistemas de detección de intrusión en la frontera de la red sólopuede ayudar con la primera y cuarta defensa. Se requiere una estrategia de protección más activa.
Se necesita de una función“basada en el contenido” para incorporar una nueva generación de defensa activa contra las APT. Esto quiere decir integrar la inteligencia de datos en cada decisión que se tome al momento de determinar si aprobar o no una solicitud.Esa integración se debe realizar por medio del reconocimiento y la comprensión de patrones de accesos y usos de datos. Por ejemplo, se deberían tener en cuenta los siguientes puntos: (Miller, 2012)
Ninguno de estos cambios indica por su mera aparición que se ha producido una violación; no obstante, sí representan un cambio en la conducta. Un sistema que controle de forma inteligente el acceso de usuarios con privilegios debería tomar en cuenta todos estos factores al momento de revisar una solicitud de acceso. Esta inteligencia de datos puede utilizarse para denegar el acceso a recursos en tiempo real o bien para permitir el acceso, pero crear también un alerta que señala actividad sospechosa.
Referencias
Las amenazas persistentes avanzadasplantean desafíos distintos a los de los riesgos de seguridad tradicionales. ElInstituto Ponemon estimó el costo promedio en $5,5 millones en 2011 (Ponemon Institute LLC, 2012), lo que convirtió a las violaciones de seguridad en una preocupación fundamental aun para los ejecutivos de alto rango.
El Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST) define a las amenazas persistentes avanzadas (APT) de la siguiente forma: (NIST, 2012) “La amenaza persistente avanzada es un adversario con niveles sofisticados de pericia/recursos significativos que le permiten, por medio del uso de múltiples vectores de ataque (por ej., cibernético, físico y el engaño), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer y extender su posicionamiento dentro de la infraestructura de tecnología de la información de las organizaciones con fines de filtrar información hacia el exterior continuamente o socavar o impedir aspectos importantes de una misión,un programa o una organización, o ubicarse en una posición que le permita hacerlo en el futuro. Además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un lapso extenso de tiempo, adaptándose a las medidas de defensa del atacado, y con la determinación de mantener el nivel de interacción necesario para ejecutar sus objetivos”.
Una amenaza persistente avanzada típica puede componerse de las cuatro etapas siguientes:
1. Reconocimiento: la investigación de las vulnerabilidades de una organización. Esto puede incluir la investigación básica, incluidas consultas de dominio hasta análisis de puertos y vulnerabilidades.
2. Entrada inicial: explotación de las debilidades para conseguir una posición en la red del blanco de ataque.Esto se puede realizar mediante métodos técnicos sofisticados o con técnicas como el “spear phishing” (ataques de suplantación de identidad dirigidos), lo que provoca que se obtenga el acceso de un usuario normal a un sistema individual. “Ingeniería social”, o la explotación de personas, también constituye un método común para obtener acceso.
3. Aumento de los privilegios y la expansión del control: una vez que un atacante penetra en el perímetro de la red, intenta obtener más privilegios y control sobre sistemas importantes. Este paso puede involucrar la instalación de herramientas de “acceso indirecto”destinadas a simplificar el acceso futuro a la red.
4. Explotación continua: una vez que se establece el control, el atacante puede exportar continuamente datos confidenciales. Las etapas tercera y cuarta pueden tener lugar a lo largo de años, a los fines de reducir el riesgo de detección.
Objetivos
Debido a su naturaleza dirigida,los perpetradores de las APT poseen a menudo objetivos diferentes a los de los hackers de Internet comunes:
• Manipulación política
• Espionaje militar
• Espionaje económico
• Espionaje técnico
• Extorsión financiera
Blancos
Tipos específicos de organizaciones corren más riesgos de sufrir las APT debido a la frecuente naturaleza política y favorecida por el estado de la amenaza:
- Organismos gubernamentales
- Organizaciones de defensa y contratistas
- Sistemas de infraestructura importantes (por ej., sistemas de servicios públicos, comunicaciones y transporte)
- Organizaciones políticas
- Instituciones financieras
- Empresas de tecnología
Las APT son muy difíciles de detectar. Según un informe de investigaciones de violaciones de datos de Verizon de 2012, el 92% de todas las organizaciones y el 49% de las grandes organizaciones tuvieron conocimiento de una violación de seguridad gracias a la notificación de un tercero. (Verizon, 2012)
Protección exhaustiva
Para protegerse de amenazas persistentes avanzadas, la clave es la “protección exhaustiva”. Si cuenta con el tiempo suficiente, un atacante determinado será capaz de generar una violación en la mayoría de los perímetros de red. Una defensa exitosa tendrá las siguientes características:
- 1. Hacer que la penetración inicial sea difícil
- 2. Reducir el potencial para aumentar privilegios en el caso de que una cuenta esté comprometida
- 3. Limitar el daño que se pueda realizar por una cuenta comprometida, aun si tiene privilegios
- 4. Detectar las cuentas comprometidas y las actividades sospechosas en las etapas iniciales del proceso
- 5. Reunir información útil para una investigación forense, para poder determinar qué daño se produjo, cuándo, y quién lo realizó
La protección del perímetro concortafuegos y sistemas de detección de intrusión en la frontera de la red sólopuede ayudar con la primera y cuarta defensa. Se requiere una estrategia de protección más activa.
Se necesita de una función“basada en el contenido” para incorporar una nueva generación de defensa activa contra las APT. Esto quiere decir integrar la inteligencia de datos en cada decisión que se tome al momento de determinar si aprobar o no una solicitud.Esa integración se debe realizar por medio del reconocimiento y la comprensión de patrones de accesos y usos de datos. Por ejemplo, se deberían tener en cuenta los siguientes puntos: (Miller, 2012)
- Cambios en el acceso a tipos de datos. Un administrador que de modo continuo tiene acceso a datos de un tipo específico (por ej., registros operativos) luego solicita el acceso a información financiera confidencial o datos de clientes.
- Cambios en el uso de los datos. Un administrador habitualmente tiene acceso a datos confidenciales por medio de una aplicación específica con solicitudes de acceso de sólo de lectura para exportar datos a un disco duro externo, unidad USB o enviarlos por correo electrónico.
- Cambios en la cantidad de los datos. Un administrador tiene acceso a 100 MB de datos confidenciales por semana, y solicita acceso a 500 GB en un período similar.
- Cambios en la frecuencia de acceso a los datos. Un administrador tiene acceso a datos altamente confidenciales una vez por mes, y repentinamente tiene acceso a esos mismos datos, diariamente.
Ninguno de estos cambios indica por su mera aparición que se ha producido una violación; no obstante, sí representan un cambio en la conducta. Un sistema que controle de forma inteligente el acceso de usuarios con privilegios debería tomar en cuenta todos estos factores al momento de revisar una solicitud de acceso. Esta inteligencia de datos puede utilizarse para denegar el acceso a recursos en tiempo real o bien para permitir el acceso, pero crear también un alerta que señala actividad sospechosa.
Referencias
- Miller, R. (2012). Amenazas persistentes avanzadas: la defensa desde adentro hacia afuera. Ataques a blancos específicos, http://www.arcserve.com/~/media/Files/whitepapers/latam/CS2548_advanced_persistent_threats_wp_0712_las.pdf.
- NIST. (2012). Guide for Conducting Risk Assessments. NIST Special Publication 800-30, http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf.
- Ponemon Institute LLC. (2012). Cost of Data Breach Study. Ponemon Institute, http://www.symantec.com/content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf.
- Verizon. (2012). INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012. Verizon, http://www.verizonenterprise.com/resources/reports/rp_Informe_Sobre_Investigaciones_de_brechas_2012_es_xg.pdf.