BAQUIA

Cómo combatir eficazmente las APT: sigue el ejemplo de El Señor de los Anillos

Minas tirith

Martin Roester, Director de Investigación de Amenazas de Trend Micro

En alguna ocasión Trend Micro ya ha hablado acerca de cómo los atacantes utilizan el “malware de última generación” o “Amenazas Persistentes Avanzadas” (APT) para atacar a destinatarios muy concretos. Conociendo sus puntos débiles y estudiando minuciosamente las peculiaridades de sus víctimas, los ciberdelincuentes diseñan malware muy específico con capacidad de hacer casi cualquier cosa (extraer información confidencial, controlar cualquier tipo de recurso de forma remota…). Muchos son los casos conocidos en estos últimos meses (New York Times denuncia ataque de hackers chinos, ataques a webs del Gobierno estadounidense, etc). ¿Qué podemos hacer para prevenir y enfrentarnos a estas situaciones?

Ya somos conscientes de la situación en la que nos encontramos, pero eso no significa que no podamos hacer nada para evitarlo. Tenemos que reforzar nuestras defensas y prevenir en la medida de lo posible. Estas son algunas recomendaciones para una defensa eficaz frente a las Amenazas Persistentes Avanzadas

Controlar el perímetro

Por supuesto, el control es más efectivo cuanto mejor nos conozcan. Tenemos que enmascarar la actividad corporativa al máximo, partiendo del punto de entrada de posibles atacantes: el gateway de la red. Una vez que la red está definida, es crítico tener una herramienta potente de monitorización de la misma para controlar y tener visibilidad de todo lo que entra y sale de la misma.

Un buen ejemplo que puede ayudar a los administradores de la red es crear una zona de DNS Response Policy, ya que proporciona un medio escalable para gestionar las conexiones entrantes y salientes de la red. Si se complementa con una lista negra, se creará un entorno de red suficientemente seguro.

Crear una política de seguridad de “dentro hacia afuera”

Las fórmulas de defensa tradicional se basan en configurar en firewalls que controlen el acceso entre redes y en utilizar listas negras para bloquear el acceso indeseado. Ésta es una tendencia de protección de “fuera hacia adentro” que funcionaba bien en épocas anteriores, en las que la naturaleza de los ataques no requería la extracción de información interna confidencial desde dentro de la red. Las formas de defensa del pasado estaban diseñadas para ataques donde la forma y origen del ataque eran fácilmente reconocibles, lo cual no sirve para las nuevas APTs.

Las estrategias defensivas fueron avanzando y llegamos a sistemas mejores, más evolucionados. Un tipo de defensa mejorado es el que se utilizó en Minas Tirith en El Señor de Los Anillos. El castillo estaba diseñado de manera que la ciudadela está en el centro y rodeada por siete paredes. Cada pared es más alta que la anterior; siendo la más externa, la más baja pero a la vez la más fuerte. Había también puertas en cada pared, pero estas puertas nunca estaban una delante de la otra, sino que estaban situadas en diferentes partes del castillo. Este tipo de estrategia funciona porque no sólo ofrece protección frente a los atacantes de fuera, sino que protege también de dentro hacia afuera. En términos de defensa de redes, esto es equivalente a incorporar protección multi-nivel y encriptación de datos críticos.

Defensa en profundidad

Las altas paredes también representan otra importante estrategia. Además de que se hace más duro para los atacantes infiltrarse en la fortaleza, los arqueros situados en lo más alto de estos muros tienen “vista de pájaro” de lo que está ocurriendo exactamente. Además, los arqueros no sólo serán una defensa frente a los enemigos de fuera del muro, sino también para evitar que los malhechores internos intenten cometer actos vandálicos.

Volviendo a los términos de la seguridad que nos ocupan, esta visibilidad mejorada a través de la monitorización de la red, también permite que los defensores tengan un mayor nivel de control tanto del tráfico entrante como del saliente.

Asume que hay una intrusión y actúa consecuentemente

Remarcamos que la primera pared en Minas Tirith fue reconocida en todas las regiones como “indestructible”; pero fue finalmente violada por el ariete de Grond y el poder del Rey Brujo de Angmar. De la misma manera, siguiendo esta metáfora, ¿de qué forma podemos convertir nuestra defensa tradicional de red para prevenir estos ataques tan enfocados y dirigidos? La mejor actitud es asumir que un ataque ha penetrado en nuestra red. Esto nos llevará a pensar que no tenemos una seguridad apropiada frente al panorama del malware al que hoy en día nos enfrentamos.

La seguridad es algo “vivo” y en constante evolución, no basta con contar con soluciones que blinden nuestra red y olvidarnos, sino que es algo que debe mantenerse en constante actualización, y para ello es crítico contar con profesionales que nos ayuden a mantener esas murallas siempre en pie y que, en caso de que se produzca un ataque, sean capaces de combatirlo.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios