Defensa eficaz frente a las Amenazas Persistentes Avanzadas

En otros posts hemos hablado acerca de cómo los atacantes utilizan el “malware de última generación” o “amenazas persistentes avanzadas” para atacar a destinatarios muy concretos. Conociendo sus puntos débiles y estudiando minuciosamente las peculiaridades de sus víctimas, los ciberdelincuentes diseñan malware muy específico con capacidad de hacer casi cualquier cosa (extraer información confidencial, controlar cualquier tipo de recurso de forma remota…). Muchos son los casos conocidos en estos últimos meses (New York Times denuncia ataque de hackers chinos, ataques a webs del Gobierno estadounidense, etc). ¿Qué podemos hacer para prevenir y enfrentarnos a estas situaciones?

Ya somos conscientes de la situación en la que nos encontramos, pero eso no significa que no podamos hacer nada para evitarlo. Tenemos que reforzar nuestras defensas y prevenir en la medida de lo posible. A continuación, algunas recomendaciones:

Controlar el perímetro

Por supuesto, el control es más efectivo cuanto mejor nos conozcan. Tenemos que enmascarar la actividad corporativa al máximo, partiendo del punto de entrada de posibles atacantes: el gateway de la red. Una vez que la red está definida, es crítoco tener una herramienta potente de monitorización de la misma para controlar y tener visibilidad de todo lo que entra y sale de la misma. Un buen ejemplo que puede ayudar a los administradores de la red, es crear una zona de DNS Response Policy, ya que proporciona un medio escalable de gestionar las conexiones entrantes y salientes de la red. Si se complementa con una lista negra, se creará un entorno de red suficientemente seguro.

Crear una política de seguridad de “dentro hacia afuera”

Las fórmulas de defensa tradicional se basan en configar en firewalls que controlen el acceso entre redes y en utilizar listas negras para bloquear el acceso indeseado. Esta es una tendencia de protección de “fuera hacia adentro”, que funcionaba bien en épocas anteriores en las que la naturaleza de los ataques no requería la extracción de información interna confidencial desde dentro de la red. Las formas de defensa del pasado estaban diseñadas para ataques donde la forma y orígen del ataque eran fácilmente reconocibles, lo cual, no aplica para las nuevas Amenazas Persistentes Avanzadas.

Las estrategias defensivas fueron avanzando y llegamos a sistemas mejores, más evolucionados. Un tipo de defensa mejorado es el que se utilizó en las Minas de Tirith en El Señor de Los Anillos. El castillo estaba diseñado de manera que la ciudadela esta en el centro y rodeada por siete paredes. Cada pared es más alta que la anterior; siendo la más externa, la más baja pero a la vez la más fuerte. Había también puertas en cada pared, pero estas puertas nunca estaban una delante de la otra, sino que estaban situadas en diferentes partes del castillo. Este tipo de estrategia, también conocida como “Defensa en Profundidad”, funciona porque no solo ofrece protección frente a los atacantes de fuera, sino para proteger también de dentro hacia afuera. En términos de defensa de redes, esto es equivalente a incorporar protección multi-nivel y encriptación de datos críticos.

Defensa en profundidad

Las altas paredes también representan otra importante estrategia. Además de que se hace más duro para los atacantes el infiltrarse en la fortaleza, los arqueros situados en lo más alto de estos muros tienen “vista de pájaro” de lo que está ocurriendo exactamente. Además, los arqueros no solo serán una defensa frente a los enemigos de fuera del muro, sino también para evitar que los malhechores internos intenten cometer actos vandálicos. Volviendo a términos de la seguridad que nos trata, esta visibilidad mejorada a través de la monitorización de la red, también permite que los defensores tengan un mayor nivel de control tanto del tráfico entrante como del saliente.

Asume que hay una intrusión y actúa consecuentemente

Remarcamos que la primera pared en las Minas de Tirith fue reconocida en todas las regiones como “indestructible”; pero fue finalmente violada por el ariete de Grond y el poder del Rey Brujo. De la misma manera, siguiendo esta metáfora, ¿de qué forma podemos convertir nuestra defensa tradicional de red para prevenir estos ataques tan enfocados y dirigidos? La mejor actitud es asumir que un ataque ha penetrado en nuestra red. Esto nos llevará a pensar que no tenemos una seguridad apropiada al panorama del malware al que hoy en día nos enfrentamos.

Fuente: TrendMicro

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS