NOTICIAS

Listado de noticias

Los Expertos Opinan: «Cuando los ataques dirigidos se convierten en parte de nuestra actividad diaria: ¿cómo combatirlos?» – Luis López

  • 20/05/2015
 

Luis López

Responsable del área de Ciberseguridad de Trend Micro Iberia.

Reconocer que la victoria total contra el malware es imposible es solo cuestión de tiempo. Gobiernos y organizaciones privadas han tardado demasiado en descubrirlo, o quizá sería más apropiado decir en asumirlo.

Ahí fuera hay un enemigo que es más coordinado, más ágil y cauteloso, y está mejor financiado que nunca. Pude tratarse de personas que actúan individualmente, pueden formar parte de bandas criminales, o podrían estar patrocinados por Estados, pero todos tienen las herramientas para llevar a cabo ataques combinados y organizados con un alto nivel de sofisticación como las amenazas persistentes avanzadas (APT) o ataques dirigidos. Los ataques dirigidos serán una norma en el futuro y veremos cómo los atacantes utilizarán nuevas técnicas y medios para conseguir objetivos de alto valor.  En definitiva, estamos bajo la sombra de un ataque constante.

Entones ¿qué hacer? ¿Cómo debemos combatir esta nueva corriente de malware que es capaz de eludir las medidas de seguridad tradicionales? ¿Por qué son tan difíciles de detectar?

Una respuesta que podría servir para responder de forma general a estas y a otras preguntas del estilo sería “por su alto grado de personalización, pues están cuidadosamente diseñadas para tu organización”. La explicación de que los ataques dirigidos tengan tanto éxito y sean tan complicados de detectar es la siguiente:

  • Tienen un conocimiento en profundidad de los empleados.
  • Es un malware desarrollado y probado para atravesar los sistemas de seguridad estándar de la empresa.
  • Cuentan con métodos creados para aprovechar los posibles problemas que pudiese haber en el entorno y en las aplicaciones.
  • Existen interacciones humanas que guían el ataque y lo despliegan de forma inconsciente en las redes dentro de la organización.
  • Son un objetivo dirigido de forma específica a tus datos y propiedad intelectual.

¿Cómo luchar contra los ataques dirigidos?  

Los CISO de las empresas, al igual que otros perfiles ejecutivos, reconocen los peligros asociados a los ataques dirigidos y están reforzando sus defensas como respuesta. Desafortunadamente, esta única acción no es suficiente. En realidad, estas amenazas se diseñan para frustrar una arquitectura de seguridad en profundidad como se describe a continuación. Fortaleciendo las defensas de seguridad existentes, añadiendo capas tácticas de seguridad, o mejorando los procesos de seguridad se puede tener un riesgo más bajo sobre todo, pero esto no será suficiente para tratar con la sofisticación y perseverancia de las APT y otros tipos similares de ataques dirigidos.

Para controlar estos ataques, las organizaciones necesitan nuevas contramedidas de seguridad especialmente diseñadas para controlar las tácticas únicas empleadas por estas amenazas. Así, las tecnologías de seguridad de los ataques dirigidos deberían:

  • Detectar las sutilezas de las APT sobre la red. Las APT operan a través de una combinación de propagación de malware, comunicaciones Command-and-Control (C&C), las descargas de software y, por último, la extracción de datos. Para controlar esta serie de tácticas, las tecnologías de seguridad de las APT deben ser desplegadas sobre redes corporativas para examinar todo el tráfico entrante/saliente de la compañía. Por lo general, los sistemas de seguridad contra las APT actúan como un proxy para los clientes a la hora de inspeccionar los adjuntos de e-mail, enlaces URL y contenidos web para detectar y bloquear ejecutables maliciosos. De esta forma las soluciones de seguridad contra APT pueden incluso detectar malware de día cero basado en la reputación de su origen o de sus características de su comportamiento. Al poder ser infectados los sistemas cuando son usados de forma remota, las pasarelas de APT deben ser capaces de responder a el tráfico del tráfico C&C basado en reputación de URL, comportamiento de DNS o contenido específico dentro de los propios paquetes IP de C&C.
  • Integrarse con la inteligencia de seguridad en la nube en tiempo real. Quienes están detrás de los ataques dirigidos son muy inteligentes, ambiciosos y creativos, suelen cambiar sus tácticas regularmente para burlar todas las defensas de seguridad. Para mantenerlos con patrones de cambio, los sistemas de seguridad de APT deben estar ayudados en tiempo real con inteligencia de sistemas basados en cloud e investigadores. Esa inteligencia debería incluir detalles sobre la dirección IP/Puntuación de reputación de URL, ficheros conocidos basados en web, huellas de comunicaciones, etc. Todas las tecnologías de seguridad en ataques dirigidos ofrecidas por los fabricantes ofrecen algún tipo de inteligencia como parte de sus productos. En este punto lo más importante es el alcance de la inteligencia basada en nube (por ejemplo,  que tipo de amenazas y vulnerabilidades se trazan, cobertura geográfica, etc.), análisis actualizados (análisis automatizado basado en máquinas, análisis humano, etc.), y el grado de integración entre la inteligencia de seguridad y la actual detección/prevención llevada a cabo por productos basados en red.
  • Proporcionar herramientas que permitan análisis y control. Mientras la mayoría de las organizaciones será contenida con detección y bloqueo de los ataques, las empresas preocupadas por la seguridad podrán querer complementar la gestión de amenazas con capacidades analíticas para explotar la detección, trazar el comportamiento del malware, grabar las URL y direcciones IP de servidores de C&C, etc. El mejor sistema de seguridad para APT ofrecerá captura de datos autónoma y analítica, así como la integración con las plataformas SIEM líderes de la industria.
  • Integrar elementos de la arquitectura de seguridad. Dada la urgencia de control de los ataques dirigidos, las investigaciones del ESG indican que las organizaciones más grandes compran y despliegan tecnologías de seguridad específicas para estos ataques en sus redes. Mientras ésta es la estrategia más eficiente a corto plazo, los sistemas de seguridad contra ataques dirigidos necesitarán ser parte de una arquitectura de seguridad más amplia, a lo largo del tiempo. Por ejemplo, muchas APT se inician con un adjunto en el email que contiene código malicioso que explota una aplicación o una vulnerabilidad a nivel de sistema. Las tecnologías de seguridad para APT deben bloquear estos ataques mientras, de forma simultánea, trabajan con la seguridad de los endpoints, firewalls, IDS/IPS, SIEM y los sistemas de seguridad del email para ajustar la política de seguridad, forzado y monitorización continua.

En definitiva, se trata de tener un mayor conocimiento y claridad de la situación a través de herramientas que ayuden a monitorizar la integridad de los archivos y la información para luego actuar sobre esa inteligencia desbaratando los planes de los atacantes.

Al final todo se reduce a ponérselo tan difícil como sea posible a los ciberdelincuentes cuando quieran extraer datos de una empresa, elevando el malestar a un nivel donde ellos tengan que reconsiderar el ataque, y esto requiere un cambio de mentalidad en la mayoría de las organizaciones para lograrlo. 

Global Gold Sponsor

ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Biocatch
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic-1421681117927
entrust-1421665994898
EverBridge
extrahop
fortinet1584959160
fujitsu
group-ib-142x531696331301
hashicorp
hcl-1421692878218
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
Innovery
insside-142x531694532390
Integrity360
Izertis
KPMG
leet-security
mandiant1712242876
microsoft1421636982759
mimecast
netskope1421542790367
nextvision-1421678725138
okta-142x531690371671
Omada
onetrust
Onum
OpenText
paloalto1421664436588
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
riskrecon-1421646309412
netwitness
Rubrik
S2GRUPO-AZUL_400
Sailpoint
samsung-subir14912155251502970957
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelonelogo-nuevo1712129729
sia1613034479
Sonatype
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
Tier8
transmitsecurity
TRC
trellix-1421650963625
trustworks
varonis1421555406337
veracode-1421677058859
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscalerlogo1421569595297

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.