Seguridad Informática: APT Advanced Persistent Threat

Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica. Richard Betjlich, detalla los elementos básicos de un modo estratégico para comprender mejor sus motivaciones y movimientos, de la siguiente manera: (BEJTLICH, 2010) Amenaza significa que el adversario no es una pieza de código sin sentido, al contrario, es una persona motivada, financiada y organizada, que busca un objetivo particular, para lo cual estará bien rodeada y asistida para lograr la misión designada. Persistente significa que el adversario tiene una tarea que cumplir y que insistirá en ella hasta lograrla. En este sentido, persistente no significa necesariamente que buscará ejecutar un código malicioso en el computador víctima, sino mantener el nivel de interacción necesario para alcanzar sus objetivos. Avanzada quiere decir que el adversario puede operar un amplio espectro de posibles intrusiones informáticas; es decir, puede utilizar desde las más evidentes y publicitadas vulnerabilidades o elevar el nivel del juego, para investigar o desarrollar nuevas debilidades o fallas, dependiendo de las prácticas de seguridad y control de la empresa objetivo. Linea de Tiempo de una APT Casos publicados y ampliamente difundidos dan cuenta de que este tipo de amenazas han cobrado importantes organizaciones. A continuación se detallan algunos de ellos, como fuente de documentación y lecciones aprendidas: (SAVAGE, 2011) El ataque a la firma RSA inició con dos correos phishing con asunto: “2011 Recruitment Plan”, enviado a dos pequeños grupos de empleados. Un empleado dio click en una de las hojas electrónicas adjuntas en el correo, el cual contenía un exploit de día cero, lo cual abrió una brecha de seguridad dentro de la empresa, lo que permitió que los atacantes tuviesen acceso a los sistemas de información críticos de la empresa y paso a la información relacionada con los productos SecureID, del cual son líderes en la industria de seguridad informática. Así mismo, tenemos el ataque del grupo “Anonymous” a la firma de seguridad HBGary Federal a comienzos del 2011. El ataque consistió en efectuar un engaño a un administrador de red, para que se diese acceso al sitio Rootkit.org, sitio web de investigaciones en seguridad informática mantenido por el fundador de la empresa Greg Hoglund, ocasionando desde allí un ingreso no autorizado a la empresa, ganando acceso a los sistemas internos de correo electrónico con datos sensibles y otra información crítica de la misma. Finalmente, el ataque a Google efectuado el año 2010, donde los atacantes recolectaron información publicada por los empleados de la firma en redes sociales como facebook y linkedid. Luego, configuraron un sitio web con fotos falsas, desde donde enviaban correos electrónicos que contenían enlaces al parecer confiables, dado que venían aparentemente de personas de confianza. Una vez, la personas hacía click sobre el enlace del correo, se descargaba un código malicioso, que abrió una brecha de seguridad que dio acceso a los servidores corporativos de Google. Lo que se aprendió de estos casos: 1.Nuestra naturaleza orientada a confiar en los demás. Se puede llegar a creer ciegamente que el correo enviado por un conocido es seguro, cuando por casos de suplantación no necesariamente lo es.2.Manejo de las expectativas de las personas. En este sentido, información sobre ascensos, ingresos, nuevos beneficios o incluso retiros de personas de las empresas, se vuelve sensible y clave a la hora de lanzar estratégicamente engaños electrónicos. 3.El afán de compartir información: si no estás en las redes sociales, no existes. Estamos en un mundo donde la información fluye todo el tiempo. Es nuestro deber, saber qué debe circular y qué no, qué información voy a compartir y cuáles serán sus implicaciones al hacerlo. Algunas lecciones que tenemos por aprender frente a los avances de las APAv (CANO, 2011) 1.Insistir en el valor de la información como activo crítico empresarial. No existe un vínculo formal que permita valorar la información, como las cosas propias que afectan la vida de cada individuo. La información es algo externo a su realidad, que sólo es considerada importante, cuando la misma te afecta como persona en cualquier contexto de la vida. 2.Clasificar la información como práctica natural del tratamiento de la información. La información empresarial, toda ella representa la vida y obra de la firma, mucha de ella habla de cosas que sólo le pertenece a la empresa, mientras otra está diseñada para ser compartida con el entorno. 3.Promover sistemas de inteligencia y monitoreo preventivo sobre el flujo de información empresarial. Esta consideración advierte a las organizaciones que deben avanzar en el desarrollo de nuevas capacidades de detección de patrones competitivos y de amenazas informáticas en el contexto de sus relaciones de negocio, para establecer acciones preventivas que permitan anticiparse a futuros ataques o amenazas. Referencias BEJTLICH, R. (2010). Understanding the advanced persistent threat. Information Security Magazine, http://searchsecurity.techtarget.com/magazineContent/Understanding-the-advancedpersistent-threat.CANO, J. J. (2011). Amenazas persistentes avanzadas, inteligencia y contrainteligencia en un contexto digital. dos, http://52.0.140.184/typo43/fileadmin/Revista_119/Dos.pdf.SAVAGE, M. (2011). Gaining awareness to prevent social engineering techniques. Information Security Magazine, http://searchsecurity. techtarget.com/magazineContent/Gainingawareness-to-prevent-social-engineeringtechniques-attacks.