Amenazas Avanzadas Persistentes (APT): lo que viene

Por Graeme Nash, Director de Soluciones Estratégicas de Fortinet

Una de las mayores amenazas a nivel empresarial está protagonizada por los criminales que se infiltran en las redes para robar información de alto valor. Ghostnet (una botnet desplegada en distintas oficinas y embajadas para controlar la agenda del Dalai Lama), Shady RAT (similar a Ghostnet pero con objetivos corporativos globales y gubernamentales), Operation Aurora (para controlar las cuentas de Gmail de disidentes chinos en 2009) y Stuxnet (un intentó para interrumpir el programa de enriquecimiento con uranio de Irán) en 2010, son sólo algunos de los casos más sonados.

En los últimos meses, las conocidas “Amenazas Avanzadas Persistentes" (Advanced Persistent Threats -APT) se han extendido con tal rapidez que las empresas se han visto obligadas a replantearse el actual paradigma de la seguridad. Las compañías han empezado a preguntarse si tiene más sentido dedicarse a protegerse frente a estos ataques o aceptar que es posible que los criminales accedan alguna vez a los sistemas y centrarse en detectarles tan pronto sea posible para minimizar los daños. 

Las APT van especialmente dirigidas a una organización específica y suelen ir penetrando de forma silenciosa y lenta en los sistemas con el objetivo de ir consiguiendo datos interesantes en lugar de buscar una recompensa económica inmediata. Las definiciones precisas de APT varían pero todas coinciden en señalar unas características comunes:

• Advanced – Los autores de la amenaza disponen de una gran variedad de técnicas a su disposición. Entre ellas se encuentran las tecnologías y técnicas de intrusión para acceder al PC, pero también cuentan con otras herramientas para la obtención de inteligencia y de métodos de creación de perfiles. El malware también puede apropiarse de información específica de individuos concretos con el objetivo de utilizarla en una segunda fase del ataque. Las técnicas de ingeniería social son desplegadas normalmente en esta etapa. Mientras que los componentes individuales del ataque pueden no ser especialmente avanzados, sus operadores sí pueden desarrollar herramientas más avanzadas. Los atacantes normalmente combinan múltiples métodos para llegar a su objetivo, comprometerlo y mantener el acceso al mismo.

• Persistent – Los cibercriminales dan prioridad a una tarea específica más que a buscar información de manera oportunista para obtener beneficios financieros o de otro tipo. Uno de los requerimientos clave para las APT, a diferencia de una botnet habitual, es mantenerse invisible el mayor tiempo posible. Así, la APT tiende a centrarse en ataques “silenciosos y lentos” que les permiten moverse de un host infectado a otro sin generar tráfico de red previsible o regular, para llegar a sus datos específicos u objetivos del sistema. Su mayor esfuerzo está en asegurarse de que esas acciones maliciosas no son observadas por los legítimos operadores de los sistemas.

• Threat – Las APT son una auténtica amenaza tanto por su capacidad como por su intención. El componente humano es básico, ya que va más allá de una simple pieza de código. Los cibercriminales que se dirigen a estos activos de alto valor están capacitados, motivados, organizados y bien remunerados.

La debilidad de la infraestructura agrava las brechas producidas por las APT

Las APT rompen las redes corporativas a través de una gran variedad de vectores, incluyendo la infección por malware basado en internet, infección de malware físico y explotación externa. Los autores de una APT no necesitan obligatoriamente romper el perímetro de la red externa – pueden, y con frecuencia lo hacen, aprovechar los vectores internos y las “conexiones seguras” para acceder a los sistemas objetivo. 

Una vez que los atacantes entran en los sistemas, hay determinadas deficiencias en la infraestructura de la organización que facilitan la consecución de la información deseada:

1. A medida que una organización se expande, tiende a combinar sistemas distintos, unir redes e integrarlas con proveedores de servicio externos. La complejidad creada permite a los hackers esconderse con más facilidad y encontrar vulnerabilidades desconocidas. Además, los dispositivos propios del empleado y las aplicaciones cloud añaden más caos a este conjunto.

2. El diseño de una red plana es también una debilidad. Mientras que un dominio de difusión cuesta menos y es más flexible que redes segregadas, esto ayuda a que los atacantes se muevan por la red y posiblemente alcancen sistemas de alto valor.

3. Normalmente las aplicaciones de negocio contienen millones de líneas de código, hacienda inevitables los agujeros de seguridad. Y lo que es peor, ese software no se actualiza con frecuencia con los últimos parches para ayudar a cerrar los agujeros cuando son descubiertos.

 4. Muchos equipos de seguridad son incapaces de detector ataques sofisticados. Si bien las herramientas convencionales permiten identificar eventos individuales, no son capaces de asociar los eventos para ofrecer una imagen que los contemple todos.

 5. Una estructura organizacional debería ser otra limitación. Los equipos de seguridad están normalmente muy aislados para interpretar ataques de distinto tipo.

Proteger a las organizaciones de las APT 

Las reglas de oro de la seguridad ayudan a las empresas a luchar contra las APT:

1. Educar a los usuarios y mantener la relevancia de las políticas de seguridad

Los usuarios son considerados generalmente el punto débil de la cadena por los criminales y son con frecuencia el primer objetivo. Las compañías necesitan educarles sobre los vectores de infección de las APT y las técnicas de ingeniería social. Pero como ello no garantiza que los empleados no vayan a abrir un documento infectado – por ejemplo, Ghostnet se extendió a través del envío de documentos PDF infectados aparentemente legítimos al personal de la oficina del Dalai Lama – por lo que los directores de TI deberían asegurarse de que cada usuario sólo tiene acceso a lo necesario y no a más. Por ejemplo, el departamento de contabilidad no debería tener acceso a la fuente de repositorios de código fuente.

2. Mantener actualizados los sistemas

Se deben desplegar los últimos parches de seguridad. El mantenimiento de las firmas, normalmente obtenido a través del proveedor de servicio de seguridad, debe permitir que la ventana de zero-day sea tan pequeña como sea posible para reducir la vulnerabilidad y el riesgo operacional.

3. Adoptar estrategias de seguridad de "inteligencia redundante"

Las empresas necesitan poner en marcha una estrategia multidisciplinar y consolidada para asegurar todos los activos de TI. Las capacidades de antivirus y prevención de intrusiones son esenciales pero las compañías deberían considerar también las tecnologías de prevención de pérdida de datos (DLP) y tener una imagen completa del panorama de amenazas. El resultado es la suma de políticas y protección frente al completo espectro de amenazas. Antispam, filtrado web y control de la aplicación de todas sus partes para bloquear las APT durante las diferentes fases del ataque. La regla de oro es que ninguna capa de seguridad es infalible y una integración inteligente ayuda a evitar las amenazas multivector.

He aquí las capas que las empresas deben tener:

* Protección efectiva frente a ataques a múltiples vectores. Implica una estrategia para crear controles técnicos internos que ofrezcan protección a un número de niveles y vectores, y que debería incluir el correo electrónico, IM, exploits web, aplicaciones, malware y botnets. 

*  Activos fuertes. Se deberían cubrir redes, aplicaciones web, datos/bases de datos, portátiles y servidores. El impacto de los ataques zero-day se minimiza mejor con una combinación de patching windows tan pequeña como sea posible, fortaleciendo todos los activos a través de una gestión de la configuración basada en las mejores prácticas (ejemplo, ‘menos privilegios’) y un despliegue lógico de autenticación de dos factores para los servicios críticos. 

*  Control de la aplicación. Permite a las empresas probar el canal de aplicación basado en amenaza/riesgo, el control peer-to-peer y botnet. Los empleados podrán acceder de forma segura a redes sociales como Facebook. El control de una botnet es muy importante ya que la mayoría de las amenazas actuales confían en la salida de los canales de comunicación – bloqueando la comunicación de forma efectiva se mitigan muchas de esas amenazas. 

*  Control. Contempla el control de la infraestructura para responder rápidamente ante cualquier ataque real o potencial, así como a las últimas firmas de amenazas en aplicaciones, redes, datos y DLP. Hay muchos casos documentados de amenazas residentes en los sistemas y que eventualmente crean millones de dólares en peligros simplemente porque pueden vivir meses, e incluso, años.

Para hacer frente a los ataques APT, las empresas deben estar preparadas para relacionarse con hackers altamente preparados y con gran poder en el mercado zero-day. Un hacker puede utilizar zero-days y testar sus binarios frente a todos los motores de proveedores conocidos antes de enviarlos a su objetivo, antivirus tradicional o motores de prevención de intrusiones.

Esto, sin embargo, no significa que las empresas no deban instalar soluciones de seguridad – sino que deben dar un paso más para dificultar a los hackers el descifrado y replicación del entorno. Esto demuestra que el factor humano – en cosas como logs y datos correlativos – es un activo muy preciado. Esto, de momento, no es fácilmente replicable en un entorno de prueba.

La buena noticia respecto a las APT es que una organización puede combatirlas con procesos de gestión de riesgo (estas medidas de protección van más allá de las APT y ayuda a mitigar las amenazas tradicionales). Las APT simplemente suben el listón con respecto a los riesgos externos e impacto. Qué presupuesto desea asignar una organización a la lucha contra las APT dependerá, como siempre, de su predisposición al riesgo. Una cosa es clara, los directivos, los CIO y el equipo de riesgo de todo el mundo debe valora su exposición a las APT y tomar una medidas preventivas.