Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

amenazas avanzadas persistentes: defenderse

Anuncio 
LIBRO BLANCO
Ataques dirigidos | Julio 2012
amenazas
avanzadas
persistentes:
defenderse del
interior y del
exterior
Russell Miller
Gestión de la seguridad de CA Technologies
agility
made possible™
Ataques dirigidos
índice
resumen ejecutivo
3
SECCIÓN 1: Reto
4
Amenazas avanzadas persistentes:
No es lo mismo de siempre
SECCIÓN 2: Oportunidad
7
Defensa en profundidad
SECCIÓN 3: Ventajas
14
Reduzca el riesgo.
SECCIÓN 4: Conclusiones
14
SECCIÓN 5: Referencias
15
SECCIÓN 6: Acerca de los autores
16
Ataques dirigidos
resumen ejecutivo
Reto
Proteger una organización es un reto cada vez más difícil. Los ataques se están volviendo más
complejos y el aumento de las amenazas avanzadas persistentes (un tipo de ataque dirigido) ha hecho
que las organizaciones sean más conscientes de su vulnerabilidad frente a ataques. Las empresas,
desde RSA Security a Google y Northrup Grumman, han sido objetivo de APT. No haber sido víctima
de un fallo significativo en el pasado no garantiza la seguridad en el futuro, ya que las organizaciones
que han sido objetivo específico de las APT se enfrentan a retos distintos a los habituales de los
administradores de seguridad, como la prolongación de las acciones a lo largo de meses o años para
evitar la detección. Los daños que causa un fallo también están aumentando, lo que hace que este reto
sea aún más real para los ejecutivos de alto nivel.
Oportunidad
No existe nada infalible cuando se trata de defenderse contra las APT. Deben emplearse varios niveles
de protección que reduzcan la posibilidad de fallos de seguridad y mitiguen los daños en caso de que
ocurran.
La estrategia inicial para defenderse frente a los ataques específicos era asegurar el perímetro mediante
cortafuegos y sistemas de detección de intrusiones para detectar y bloquear comportamientos
anómalos. Esta estrategia puede ser efectiva al defenderse contra ciertos tipos de ataques, pero no
puede proteger frente a todos los vectores de ataque, como el spear phishing y la ingeniería social.
Si bien no hay ningún producto de seguridad (basado en la tecnología u o de otro tipo) que pueda
proteger completamente una organización de las APT, la disponibilidad de hoy día de las soluciones
de seguridad para varios dominios puede ayudar a las organizaciones a protegerse mejor que nunca.
La gestión de identidades con privilegios, el control y la protección de la información y la seguridad de
la infraestructura interna son áreas que se han abordado tradicionalmente de forma aislada, pero ahora
pueden combinarse para permitir a las organizaciones proteger su infraestructura de TI y sus centros
de datos complementariamente. CA Technologies lo llama inteligencia de datos e identidad.
Ventajas
Al entender y protegerse frente a las amenazas avanzadas persistentes, las organizaciones reducen
el riesgo en el caso de que fueran objetivo de un ataque. La reducción del riesgo no es únicamente
económica, sino también operacional, legal, normativa y de reputación.
Al tener una visión completa de la seguridad que pueda utilizarse contra las APT, una organización
también se protege de los ataques menos avanzados, automatizados e incluso internos. Una estrategia
exhaustiva de seguridad tiene otras muchas ventajas, como mejorar el cumplimiento, permitir servicios
en la nube, mejorar la seguridad de virtualización y permitir el ahorro en los costes.
3
Ataques dirigidos
Sección 1: Reto
Amenazas avanzadas persistentes: no es lo mismo
de siempre
Las amenazas avanzadas persistentes presentan retos que se diferencian de los tradicionales riesgos
de seguridad. El coste medio que ha estimado el Ponemon Institute es de 5,5 millones de dólares
estadounidenses en 20111, lo que convierte los fallos de seguridad en una preocupación fundamental
incluso para ejecutivos de alto nivel.
Definición
La amenaza avanzada persistente se refiere a un ataque sofisticado y a largo plazo dirigido específicamente
a una entidad. El atacante está a menudo apoyado por un estado y busca obtener información de gran
valor de otros gobiernos, pero también pueden llevarlo a cabo organizaciones privadas y tenerlas como
objetivo. Las fuerzas aéreas estadounidenses utilizaron el término por primera vez en 2006.2
El National Institute of Standards and Technology (NIST) define las APT del modo siguiente:3
“La amenaza avanzada persistente es un adversario con niveles sofisticados de recursos expertos/
significativos que usa varios vectores de ataque (ej. ciber, físico y engaño) para generar oportunidades
de conseguir sus objetivos. Estos objetivos suelen consistir en establecer y ampliar puntos de apoyo
dentro de la infraestructura de TI de las organizaciones con el propósito de extraer información
continuamente, o socavar o impedir aspectos fundamentales de una misión, programa u organización,
o lograr una posición desde la que realizar estas acciones en el futuro. Además, la amenaza avanzada
persistente persigue sus objetivos repetidamente en un período amplio de tiempo, adaptándose a los
esfuerzos del defensor para resistir y con la determinación de mantener el nivel de interacción
necesario para lograr sus objetivos”.
Aunque las definiciones varíen, las tres palabras ayudan a clarificar qué es la amenaza avanzada
persistente:4
•Avanzada: El atacante tiene capacidades técnicas significativas para poder aprovechar las
vulnerabilidades del objetivo. Esto puede incluir acceso a grandes bases de datos de vulnerabilidades
y habilidades en codificación y brechas de seguridad, pero también la capacidad de descubrir y sacar
provecho de vulnerabilidades desconocidas anteriormente.
•Persistente: Las amenazas avanzadas persistentes (APT, del inglés advanced persistent threat)
suelen ocurrir durante un amplio período de tiempo. Al contrario de los ataques a corto plazo que
aprovechan las oportunidades temporales, las APT pueden tener lugar a lo largo de años. Pueden
utilizarse varios vectores de ataque, desde los ataques basados en Internet hasta la ingeniería social.
Los fallos de seguridad menores pueden combinarse a lo largo del tiempo para obtener acceso a
datos más significativos.
•Amenaza: Para que sea una amenaza, tiene que haber un atacante con la motivación y la habilidad
para llevar a cabo un ataque con éxito.
Las herramientas automatizadas no se consideran una APT, aunque un grupo coordinado y organizado
puede utilizarlas como parte de un ataque mayor.
En las organizaciones más grandes, el 50% de los ataques en 2011 fueron dirigidos,
lo que representa el 64% de todos los registros robados.5
4
Ataques dirigidos
Etapas
Una amenaza avanzada persistente típica puede constar de las cuatro etapas siguientes:
Ilustración A.
Las cuatro etapas
de una amenaza
avanzada persistente
1.Reconocimiento: Investigación de las vulnerabilidades de una organización. Esto puede incluir
la investigación básica, incluida las consultas de dominios, sobre los análisis de puertos y
vulnerabilidades.
2.Entrada inicial: Aprovechamiento de las debilidades para obtener un punto de apoyo en la red
objetivo. Puede llevarse a cabo mediante métodos técnicos sofisticados o técnicas como el spear
phishing (ataques directos de phishing) que tienen como resultado el acceso habitual de un usuario
a un único sistema. La ingeniería social, o el aprovechamiento de las personas, es también otro
método común para obtener acceso.
3.La elevación de los privilegios y la expansión del control: Una vez que el atacante penetra en
el perímetro de la red, intenta obtener privilegios adicionales y lograr el control sobre sistemas
importantes. Este paso también puede suponer la instalación de herramientas de puerta trasera
para simplificar el acceso futuro a la red.
4.Aprovechamiento continuo: Una vez que se ha establecido el control, un atacante puede exportar
continuamente datos confidenciales.
La tercera y cuarta etapas pueden suceder a lo largo de los años para reducir el riesgo de detección.
¿Qué hace diferentes a las APT?
La diferencia más importante entre las APT y las amenazas “normales” es que están dirigidas
específicamente a una organización. Aunque la defensa del perímetro y la utilización de los controles
de seguridad habituales pueden proteger una organización frente a los ataques estándar, estas técnicas
pueden no ser suficientes para enfrentarse a las APT. Los atacantes que sean pacientes pueden esperar
a nuevas vulnerabilidades para aprovechar una debilidad o pueden combinar vulnerabilidades
aparentemente pequeñas en un ataque dañino a gran escala.
Para enfrentarse a tal amenaza, no pueden aplicarse las normas habituales. En el pasado, muchas
organizaciones simplemente necesitaban una seguridad mejor que otras organizaciones y empresas
conectadas a Internet, ya que muchos atacantes elegían objetivos más sencillos. Sin embargo, con las
APT, las organizaciones tienen que poder derrotar a un enemigo motivado que se tomará su tiempo en
buscar debilidades en vez de pasar a otro objetivo.
El marco temporal de las APT puede hacer también que las detecciones sean especialmente difíciles.
En los fallos de seguridad estándar, cantidades de datos significativas pueden exportarse en un período
de tiempo corto, lo cual permite detectar el posible fallo mediante cortafuegos y dispositivos de
detección de intrusiones. Un atacante en una APT puede tardar meses e incluso años en exportar los
datos marcados como objetivo, venciendo incluso sistemas bien configurados y con todas las funciones.
5
Ataques dirigidos
Objetivos
Objetivos
Debido a su naturaleza dirigida, los autores de las APT a
menudo tienen objetivos diferentes a los de los piratas
informáticos estándar de Internet, incluido un creciente
interés en los siguientes aspectos en vez de en el
simple robo y daño como entretenimiento:
Ciertos tipos de organizaciones corren más riesgo de
sufrir las APT debido a que, a menudo, la amenaza
tiene fines políticos y está respaldada por un estado:
• Manipulación política
• Organizaciones gubernamentales
• Contratistas y organizaciones de defensa
• Espionaje económico
• Sistemas de infraestructuras importantes
(p. ej., sistemas públicos de servicios,
comunicaciones y transporte)
• Espionaje técnico
• Organizaciones políticas
• Extorsión financiera
• Instituciones financieras
• Espionaje militar
• Empresas tecnológicas
Ejemplos
RSA
En 2011, RSA Security anunció que había sido víctima de lo que definió como una APT6. Los atacantes
consiguieron entrar engañando a un usuario interno para que abriera un correo electrónico que tenía
como adjunto una hoja de datos que aprovechaba una vulnerabilidad de día cero en Adobe Flash.
Desde ahí, los atacantes fueron adquiriendo privilegios, instalaron puertas traseras y obtuvieron el
control de otros sistemas.
Los atacantes pudieron acceder a los sistemas de RSA que contenían información relacionada con
sus tokens de autenticación de dos factores, conocidos como SecurID. Esta información incluye
potencialmente valores de inicialización, los cuales RSA utiliza con sus tokens para generar contraseñas
de un único uso que cambian cada 60 segundos. Si robaran el código fuente, los atacantes podrían
buscar vulnerabilidades en la implementación del SecurID o incluso en el propio cifrado.
Operación Aurora
La Operación Aurora fue una APT que tomó como objetivo varias empresas grandes, incluidas Google,
Adobe, Rackspace y Juniper Networks. Los informes de la prensa sugieren que otras muchas empresas
fueron objetivo, incluidas Yahoo, Northrup Grumman, Morgan Stanley, Symantec y Dow Chemical.7
Se cree que el Politburó de China dirigió los ataques como parte de una campaña coordinada y a gran
escala contra EE. UU. y otros países occidentales.8
Las APT son difíciles de detectar. Según el Verizon 2012 Data Breach
Investigations Report, el 92% de todas las organizaciones y el 49% de las
organizaciones grandes se han dado cuenta de un fallo de seguridad mediante
la notificación de otros.9
6
Ataques dirigidos
Sección 2: Oportunidad
Defensa en profundidad
La clave para defenderse frente a las amenazas avanzadas persistentes es la defensa en profundidad.
Con el tiempo suficiente, un atacante decidido podrá poner en peligro la mayoría de los perímetros de
red. Una defensa con éxito:
1.Hará difícil la penetración inicial.
2.Reducirá la potencial escalada de privilegios en caso de que la cuenta esté amenazada.
3.Limitará los daños que se pueden producir debido a una cuenta amenazada, incluso si tiene
privilegios.
4.Detectará las cuentas amenazadas y la actividad sospechosa en una fase temprana del proceso.
5.Recopilará información útil para una investigación forense, para poder determinar qué daños se
produjeron, cuándo y quién los produjo.
Proteger el perímetro con sistemas de cortafuegos y de detección de intrusiones en los límites de la red
únicamente puede ayudar con las defensas primera y cuarta. Se necesita una estrategia de protección
más activa.
Detección temprana
Los fallos de seguridad a menudo se detectan después de que el atacante ha accedido a una red interna
y ha causado daños o ha robado grandes cantidades de datos. En ese punto, la defensa frente a la APT
supone un costoso proceso de control de daños, limpieza y seguimiento continuo. La clave de una
protección asequible y manejable frente a las APT se encuentra en la detección de las amenazas tan
pronto como sea posible. En la fase inicial de un ataque, cuando un atacante consigue un precario
punto de apoyo en la red, una organización puede utilizar varias técnicas para detectar un fallo,
incluidas la separación y externalización de la seguridad del sistema de la administración del sistema,
la prevención y detección de intentos de escalada de privilegios y utilización no autorizada de privilegios,
la auditoría y registro de actividades de los usuarios fuera de los registros del sistema operativo (tales
auditoría y registro pueden ser desconocidos por el atacante).
La gestión de identidades con privilegios, el control y la protección de información, y la seguridad
interna de las infraestructuras forman el núcleo de una defensa en profundidad frente a las APT,
junto con una detección temprana. Estas técnicas se detallan en los siguientes apartados.
La gestión de identidades con privilegios
Las herramientas de gestión de identidades con privilegios (PIM) gestionan y controlan las cuentas
administrativas, como la de administrador en Windows y la “root” en UNIX y Linux. Los sistemas PIM:
•Implementan el principio del privilegio mínimo, incluso para las cuentas administrativas.
•Gestionan el acceso a las cuentas compartidas mediante las capacidades de gestión de contraseñas
de los usuarios con privilegios.
•Siguen las actividades de los usuarios tanto para ayudar a garantizar la responsabilidad como para
contribuir en una investigación sobre el fallo de seguridad.
7
Ataques dirigidos
El mínimo privilegio de acceso
Todas las personas deben tener los privilegios mínimos necesarios para realizar su trabajo. Aunque
muchas organizaciones entienden este concepto, a menudo fallan cuando lo ponen en práctica,
especialmente en lo que respecta a las cuentas administrativas. A las personas que necesitan un mayor
nivel de acceso privilegiado se les suele dar la contraseña de la cuenta administrativa pertinente,
la cual comparten varias personas.
De lo que las organizaciones deben darse cuenta con el creciente predominio de las APT es de que el
acceso privilegiado no tiene que ser una decisión de todo o nada. A las personas se les pueden conceder
mayores privilegios para permitirles llevar a cabo únicamente una tarea muy específica. En el pasado,
esto se ha logrado en los sistemas UNIX y Linux con la herramienta “sudo”, pero las herramientas
modernas de control de acceso pueden conceder y denegar acceso de forma centralizada tanto en
UNIX como en Windows.
Modelo de seguridad: separar la seguridad de la administración del sistema
Un sistema operativo típico tiene un modelo de seguridad de dos niveles: los usuarios con privilegios
y los usuarios normales. Sin embargo, para protegerse frente a las APT se necesita un modelo más
sofisticado. Este modelo se basa en los principios de seguridad estándar de privilegios mínimos
y separación de tareas. Como mínimo, deben definirse tres roles administrativos primarios:
•Administrador del sistema: El administrador del sistema debe tener los privilegios necesarios para
realizar las actualizaciones de software del servidor, los cambios de configuración e instalar software.
Los administradores del sistema no deben poder cambiar la configuración de seguridad importante o
ver registros relacionados con la seguridad.
•Administrador de seguridad: Estos administradores deben poder actualizar y cambiar la configuración
de seguridad y ver los archivos de registros relacionados con la seguridad. Los administradores de
seguridad no deben poder instalar software o datos de acceso confidenciales en el sistema.
•Auditor: Los auditores necesitan poder comprobar la configuración de seguridad y ver los archivos
de registros, pero no deberían tener la posibilidad de hacer cambios en el sistema. Aunque puede ser
necesario acceder a archivos confidenciales, todos los accesos deben ser de sólo lectura.
Deben crearse otros tipos de administradores si es apropiado, como administradores de bases de datos
o para otras aplicaciones especialmente delicadas.
Utilizar un modelo de seguridad de varios niveles logra dos objetivos al mismo tiempo: protege frente
a amenazas internas de los administradores internos al limitar lo que cada persona puede hacer y
también hace que las APT sean significativamente más difíciles para los atacantes externos. En vez de
poner en peligro una cuenta de superusuario, ahora los atacantes tendrán que acceder a varias cuentas
para tener un acceso completo al sistema.
Controles exhaustivos
Los controles exhaustivos, además de ser una buena práctica de seguridad, son especialmente útiles
para reducir los daños que ha producido una APT. Una vez que los atacantes obtienen los privilegios
administrativos, normalmente instalan rootkits de puerta trasera y comienzan a exportar datos
confidenciales. Con los controles de acceso adecuados, un atacante incluso con acceso privilegiado está
limitado en sus acciones, y es posible evitar que acceda a archivos confidenciales, ejecute comandos
maliciosos, instale programas, detenga o inicie servicios o cambie archivos de registro. En un sistema
en el que los controles exhaustivos están implementados, un atacante puede estar obligado a poner en
peligro varias cuentas para hacer lo que antes se podía hacer con una única cuenta.
8
Ataques dirigidos
Implementar controles de acceso exhaustivos también puede reducir el riesgo de una de las mayores
debilidades de seguridad en una organización: su personal. Al utilizar las llamadas técnicas de ingeniería
social, a menudo los atacantes engañan a los empleados u otras personas de la empresa para que les
faciliten información que puedan utilizar para acceder a sus cuentas o revelar otras debilidades de
seguridad. Al limitar el acceso a los sistemas y datos importantes de los empleados, se reducen los
daños que puede producir un atacante que accede a las cuentas mediante la ingeniería social.
Gestión de cuentas compartidas
La gestión de cuentas compartidas (o gestión de contraseñas de usuarios con privilegios) es una defensa
clave frente a las APT. Acceder a identidades con privilegios (a menudo mediante la escalada de privilegios)
es un paso intermedio clave en casi todos los ataques que tienen éxito. Las herramientas de gestión de
contraseñas de usuarios con privilegios deben poder:
•Almacenar de forma segura contraseñas cifradas.
•Gestionar la complejidad de contraseñas y los cambios regulares automatizados en función de las
políticas.
•Restringir el acceso a las cuentas administrativas al solicitar que todos los accesos se realicen
mediante un portal centralizado.
•Utilizar la funcionalidad de inicio de sesión automático para evitar que incluso usuarios autorizados
conozcan las contraseñas de las cuentas con privilegios.
•Proporcionar acceso de emergencia a las cuentas, que tiene otros controles y aprobaciones necesarias.
•Eliminar la utilización de contraseñas no modificables en scripts (que suelen estar almacenadas en
texto sin formato y las puede robar un usuario malintencionado).
Estas capacidades no solamente evitan que las contraseñas se compartan, sino que también evita el
robo de contraseñas de archivos personales de contraseñas o mediante el registro de las pulsaciones
del teclado. Al necesitar que todos los inicios de sesión de cuentas con privilegios se realicen a través
de un proxy central, una organización puede hacer un seguimiento de todos los inicios de sesión y
actividades en caso de fallo, con lo que ayuda en los esfuerzos de investigación y en la potencial
reducción de daños.
Generación de informes sobre actividad de los usuarios
Comprender qué acciones se han llevado a cabo mediante las cuentas con privilegios es un componente
clave para detectar las APT y reducir los daños en caso de un ataque inicial con éxito. Debido a su
naturaleza, las APT normalmente suponen la exportación de cantidades significativas de datos, que
puede detectarse con las herramientas adecuadas. Los registros de actividad de los usuarios muestran
qué actividades de los usuarios y del sistema se están llevando a cabo en un sistema o en un dispositivo
de red y puede utilizarse para identificar infracciones de políticas e investigar fallos de seguridad.
Las normativas como HIPAA, CA SB 1386 y las numerosas leyes de notificación de fallos exigen que una
organización informe sobre el fallo de seguridad a la persona u organización afectada. Los registros de
actividad de los usuarios pueden utilizarse para buscar los fallos de seguridad, de modo que se averigüe
no solamente quién hizo qué, sino también cómo sucedió para que los controles internos pueden
arreglarse y los procesos puedan mejorarse.
9
Ataques dirigidos
Las herramientas de generación de informes de actividad de los usuarios deberían hacer lo siguiente:
•Llevar un seguimiento completo de:
¬¬ Los inicios de sesión, en especial de las cuentas compartidas y con privilegios, incluidos la IP de
origen, el ID de usuario original que da acceso a la cuenta compartida, y la fecha y hora del inicio
y cierre de sesión.
¬¬ Las actividades de cuentas compartidas hasta el ID del usuario original.
¬¬ Los comandos, ya se hayan introducido con una línea de comandos o mediante una interfaz
gráfica.
•Detectar un comportamiento anómalo:
¬¬ Identificar actividades sospechosas y generar alertas.
¬¬ Proporcionar la capacidad de correlación de registros, centrándose en conectar la actividad de
los usuarios con la persona que la lleva a cabo mediante el análisis de complejos patrones de
registros de auditorías.
•Investigar fallos:
¬¬ Comprobar quién hizo qué en un entorno de cuentas compartidas.
¬¬ Entregar herramientas de análisis de registros visuales con capacidades detalladas que agilizan la
investigación de las actividades de recursos y usuarios, así como la identificación de infracciones
de políticas.
En caso de fallo, estas capacidades ayudarán a la organización a comprender:
•Cómo un atacante pudo acceder a una cuenta.
•Qué hicieron mientras utilizaban esa cuenta y qué daños se han producido.
•Cómo prevenir futuros ataques con los mismos métodos o similares.
•Potencialmente, quién fue el atacante y de dónde provenía.
•Qué información hay que dar a los organismos normativos.
Es importante recordar que los registros deben protegerse de los administradores. Los usuarios con
privilegios pueden determinar el lugar en el que los registros están almacenados localmente en los
sistemas y pueden descubrir las políticas de auditorías utilizadas en la organización. Pueden cubrir sus
propios seguimientos al eliminar registros en los archivos de registros locales, ya que tienen acceso
total a los sistemas (si no se implementan unos controles exhaustivos adecuados). Las organizaciones
deben almacenar registros en una ubicación remota que no sea accesible a los usuarios con privilegios
y también controlar si se ha intentado eliminar archivos de registros locales en el sistema.
Protección y control de la información
En una APT, el objetivo final del ataque es robar información confidencial, de modo que tener el control
de los datos es un componente esencial para tener éxito en la defensa. Para proteger datos confidenciales
de una APT, una organización debe proteger y controlar los datos en cuatro estados:
•Datos a los que se puede acceder. Información confidencial a la que se intenta acceder mediante un
rol inapropiado.
•Datos que están en uso. Información confidencial que se maneja en una estación de trabajo local
o en un portátil.
•Datos que están en movimiento. Información confidencial que se comunica a través de la red.
•Datos almacenados. Información confidencial que está almacenada en repositorios como bases
de datos, servidores de archivos o sistemas de colaboración.
10
Ataques dirigidos
Para conseguir esto, las organizaciones deben definir políticas que refuercen el control si se detecta un
acceso o una utilización inapropiados de los datos. Una vez que se infringe la política (como intentar
acceder a propiedad intelectual, copiar la información en un USB o intentar enviarla por correo
electrónico), la solución debe reducir la amenaza mientras genera una alerta.
La clasificación de la información está en el centro de cualquier iniciativa de seguridad de datos.
Sin comprender qué es la información y dónde está localizada, es imposible implementar un programa
de protección de datos exhaustivo. Una organización debe descubrir de forma precisa y clasificar la
información confidencial basada en su nivel de confidencialidad para la organización. Esto incluye la
propiedad intelectual, pero también la información identificable personalmente, información sanitaria
privada y otra información que no sea del dominio público.
Una vez que la información se haya clasificado adecuadamente, las políticas se hayan definido y los
controles se hayan implementado, una organización puede controlar el acceso y la gestión de toda la
información confidencial. Esto incluye las acciones de los usuarios desde el simple intento de acceder
a datos confidenciales y leerlos hasta copiarlos a un dispositivo externo o imprimirlos, enviarlos por
correo electrónico fuera de la red, o detectar datos almacenados en un repositorio como SharePoint.
Seguridad interna de las infraestructuras
Aunque proteger el perímetro de la red y los datos e identidades con privilegios son componentes
esenciales de una defensa en profundidad frente a las APT, también es importante proteger la
infraestructura interna de TI. Además de una arquitectura y segmentación de red apropiadas, esto
incluye configurar y proteger adecuadamente los dispositivos y servidores individuales y sus entornos.
Seguridad externalizada e inesperada
Los atacantes crean estrategias y emplean tácticas frente a las defensas conocidas de seguridad.
También utilizan comandos comunes del sistema operativo, funciones y utilidades para recopilar
información, controlar el sistema y tomar acciones para ampliar su control. Los profesionales de la
seguridad pueden utilizar las suposiciones básicas de los atacantes contra ellos añadiendo elementos
inesperados al sistema. Por ejemplo, los archivos y comandos que parece que no se protegen ni
controlan con los registros del sistema pueden protegerse y controlarse con una herramienta externa.
En efecto, los permisos que un atacante ve no son necesariamente los permisos que se han aplicado.
Esto permite que una organización detecte a un atacante al comprobar los permisos del sistema
operativo e infringir las políticas externas cuando pone a prueba los límites de los permisos.
Esta es la razón fundamental por la que la administración de seguridad debe estar externalizada y
separada de la administración del sistema operativo. Después de obtener un acceso inicial al sistema,
un atacante típico intentará escalar privilegios para evitar los controles de sistema operativo. Con ese
acceso, dan por hecho que podrán anular los mecanismos de seguridad y “tapar sus huellas” de manera
efectiva. Con una función de seguridad externa, a menudo es posible detectar y contener a los atacantes
en una fase mucho más temprana en el proceso de la APT, cuando un atacante intenta escalar sus
privilegios, cambiar los controles de seguridad del sistema o ejercer privilegios que no le han concedido.
Aunque un atacante puede evitar con éxito los registros y controles tradicionales del nivel del SO,
los procesos de detección externa pueden tomarlo desprevenido. En esencia, una organización puede
implementar una política de control de acceso en un segundo plano de una forma potente e inesperada.
Además, los comandos estándar del sistema pueden cambiarse y modificarse. Si los administradores
cambien el nombre de funciones como “sudo”, todos los intentos de uso del comando sudo original
pueden generar una alerta y conducir a una detección temprana del fallo de seguridad.
11
Ataques dirigidos
Refuerzo de los servidores
Todos los servidores que alojan información confidencial deben configurarse de modo que se minimice
la posible amenaza y la diseminación de datos en caso de que se encuentren en peligro. Esto incluye:
•Utilizar un cortafuegos de software para controlar las comunicaciones de entrada y salida, la restricción
de paquetes por IP de origen, protocolo (ej. SSH, TELNET, etc.) y puerto TCP y bloquear protocolos no
seguros (p. ej., servicios no cifrados, como FTP).
•Bloquear todas las instalaciones y ejecuciones de aplicaciones excepto cuando se especifique de
manera explícita (lista blanca de aplicaciones), evitar el aprovechamiento de vulnerabilidades por
ejecución de código y la instalación de software de puerta trasera.
•Aplicaciones de captura. Definir y permitir acciones aceptadas por aplicaciones de alto riesgo y
restringir cualquier comportamiento que supere esos límites. Por ejemplo, se puede crear una lista
de control de acceso basada en un ID que gestione procesos y servicios de Oracle, de forma que la
función de captura impida que realice acciones diferentes al inicio de servicios de Oracle DBMS.
•Evitar cambios en los archivos de registro.
•Permitir el control de la integridad de los archivos para detectar cambios en los archivos clave,
como los que realiza los root kit.
•Controlar el acceso a los archivos confidenciales del directorio de las aplicaciones (p. ej., únicamente
la aplicación de nóminas puede abrir archivos de nóminas).
•Detectar cambios en archivos confidenciales en tiempo real.
Seguridad uniforme
Un problema común en la informática distribuida es la variación de capacidades y disponibilidad
de los controles de seguridad entre plataformas (p. ej., los controles de directorio/archivo de UNIX
son muy diferentes a los de Windows). Esto puede llevar a varios problemas de aprovechamiento de
vulnerabilidades:
•Las políticas de seguridad que ofrecen un modelo de sistema en vez de un modelo de seguridad
empresarial.
•Las políticas de seguridad deben acomodarse a las limitaciones de los sistemas.
•La complejidad añadida de la gestión de la seguridad causa errores y omisiones.
Para proporcionar una defensa exhaustiva frente a las APT, la configuración de seguridad debe aplicarse
de la manera más igualitaria posible en todas las plataformas. Cualquier limitación e incoherencia debe
comprenderse y seguirse.
Es otra razón por la que las organizaciones no deben confiar únicamente en la seguridad de los sistemas
operativos. Las herramientas externas pueden proporcionar una plataforma universal para aplicar un
paradigma de seguridad en los entornos, lo que permite una aproximación específica empresarial,
agilizada y centralizada a la seguridad.
Seguridad de virtualización
El número de sistemas virtualizados se ha disparado, lo que ha convertido a los entornos virtuales en
un objetivo clave de los atacantes en una APT. Gartner informa de que a mediados de 2011 al menos
el 40% de las cargas de trabajo de arquitecturas x86 se había virtualizado en servidores. Además,
se espera que la base instalada crezca cinco veces más entre 2010 y 2015 (puesto que el número
de cargas de trabajo del mercado sigue creciendo y la penetración aumenta en más del 75%).10
12
Ataques dirigidos
El hipervisor es también un objetivo fundamental debido al nivel de acceso que puede conceder. Si un
atacante pone en peligro el hipervisor, puede obtener un acceso casi completo a todas las máquinas
virtuales que se ejecutan en ese hipervisor. Aunque la seguridad de los sistemas operativos puede evitar
los inicios de sesión directos y el cifrado puede proteger los datos confidenciales, estas medidas no
podrán detener a un atacante decidido. Alguien con control administrativo sobre un hipervisor puede
copiar máquinas virtuales completas en un entorno externo, así como evitar la seguridad basada en
host mediante métodos de fuerza bruta o sobrescribiendo archivos clave.
Para proteger entornos virtuales, las organizaciones deben centrarse de nuevo en los administradores y
aplicar el principio del privilegio mínimo. Primero, el acceso a cuentas de hipervisor con privilegios debe
estar estrictamente controlado, con todas las acciones controladas y registradas. Segundo, de la misma
manera que los entornos físicos, las identidades de hipervisor con privilegios deben estar restringidas
para realizar únicamente las acciones necesarias. Por ejemplo, un administrador de finanzas debe poder
acceder solamente a máquinas virtuales que pertenezcan al departamento financiero y no a los sistemas
de RR. HH.
Unirlo todo
Ninguna herramienta de seguridad va a proteger una organización frente a una APT de un atacante
decidido, hábil, constante y con recursos. El objetivo de cualquier estrategia de defensa frente a una APT
se basa en hacer tan difícil como sea posible la penetración en la red, reduciendo la cantidad de daños
que se puedan producir y la cantidad de información que se pueda robar en caso de que se produzca el
fallo de seguridad y detectando el fallo tan pronto como sea posible.
Aunque el perímetro de seguridad es un componente necesario para evitar un fallo inicial, no es
suficiente en absoluto y no ayuda a reducir los daños a posteriori. La clave para la reducción de los
efectos se basa en una combinación inteligente de la gestión de identidades con privilegios, el control
y la clasificación de datos y la seguridad de las infraestructuras.
Las herramientas estándar de gestión de identidades con privilegios pueden restringir o conceder acceso
según un conjunto de normas. Aunque esta capacidad puede ofrecer una apropiada separación de
tareas, es una solución intrínsecamente rígida. Los privilegios pueden modificarse a lo largo del tiempo
cuando los roles cambien, pero es una solución esencialmente pasiva.
La detección de contenido es lo que se necesita para pasar a una nueva generación de defensa activa
frente a la APT. Esto significa integrar la inteligencia de los datos en todas las decisiones que se toman
cuando se determina si se concede una solicitud. Esto debe hacerse reconociendo y comprendiendo los
patrones del uso y los accesos de datos. Por ejemplo, debe observarse lo siguiente:
•Cambios en el acceso a los tipos de datos. Un administrador que accede sistemáticamente a datos
de un tipo específico (p. ej., registros operacionales), solicita acceso a información financiera o datos
de clientes confidenciales.
•Cambios en la utilización de los datos. Un administrador suele acceder a datos confidenciales
mediante una aplicación específica con solicitudes de sólo lectura para exportar datos a un disco
duro externo, un USB o mediante correo electrónico.
•Cambios en la cantidad de datos. Un administrador accede a 100 MB de datos confidenciales a la
semana y solicita acceso a 500 GB en el mismo período de tiempo.
•Cambios en la frecuencia de acceso a los datos. Un administrador accede a datos altamente
confidenciales una vez al mes y, de repente, accede a los mismos datos diariamente.
13
Ataques dirigidos
Ninguno de estos cambios puede indicar que se haya producido un fallo; sin embargo, sí que representan
un cambio de comportamiento. Un sistema que controla de forma inteligente el acceso de los usuarios
con privilegios debe tener todos estos factores en cuenta cuando revisa una solicitud de acceso.
Esta inteligencia de datos puede utilizarse para denegar el acceso a los recursos en tiempo real
o para permitir el acceso a la vez que se crea una alerta que indique una actividad sospechosa.
Sección 3: Ventajas
Reduzca el riesgo.
Las organizaciones a las se dirijan amenazas avanzadas persistentes se enfrentan a varios tipos de
daños. Los atacantes pueden robar documentos estratégicos y de propiedad intelectual, que podrían
afectar a la competitividad. El robo de datos de clientes puede conducir a reacciones negativas de los
clientes, daños en la reputación y acciones legales. Los registros financieros o de información sanitaria
privada robados de carácter privado pueden conducir a problemas de cumplimiento de la normativa.
Una ventaja secundaria de un programa completo para defenderse frente a las amenazas avanzadas
persistentes es que ayuda a proteger una organización de otras amenazas, desde ataques externos
automatizados hasta amenazas internas. Muchas de las técnicas empleadas para reducir los daños de
las APT también limitan el acceso dado a cuentas internas, incluidos los administradores. Al limitar el
acceso y separar las tareas incluso de los usuarios con privilegios, una organización se protege frente a
un administrador deshonesto u otro usuario interno malintencionado.
Lo que tiene de único esta estrategia es que no es necesario un conocimiento concreto de nuevas
vulnerabilidades o posibles brechas de seguridad, y que no se basa en una defensa del perímetro.
Al usar estas técnicas, las organizaciones pueden aplicar un modelo de seguridad y permitir o denegar
acciones basadas en normas empresariales, confidencialidad de datos y comportamiento anómalo.
Como este modelo puede aplicarse de manera uniforme en las plataformas y puede separarse de la
seguridad del sistema operativo, puede ofrecer unos medios efectivos de defensa frente a las APT
y detectar ataques en una fase temprana del proceso.
Sección 4:
Conclusiones
Los ataques específicos tienen cada vez mayor prevalencia. Los fallos en empresas como RSA han tenido
mucha repercusión y tendrán consecuencias a largo plazo, tanto en la reputación como en los beneficios.
La idea de una defensa en profundidad no es nueva. Es un aspecto fundamental de cualquier programa
de seguridad. La novedad consiste en centrarse en la protección de las identidades internas con
privilegios para evitar los daños producidos por personas ajenas a la empresa. Al no ser ya el perímetro
de red el bastión de seguridad que una vez fue, la identidad es ahora incluso más importante.
Básicamente, la identidad es el nuevo perímetro.
14
Ataques dirigidos
Cuando se utiliza la identidad para protegerse frente a las amenazas externas e internas, como las APT,
la detección de contenido debe ser un requisito clave. Al utilizar la inteligencia de datos como parte de
cada decisión de acceso, las organizaciones de hoy en día pueden comprender mejor los riesgos
asociados con cada acción que realiza el usuario. Las solicitudes de acceso a datos confidenciales
pueden analizarse y comprenderse con mucho más contexto que antes. En vez de confiar en normas
fijas para permitir o bloquear ciertas acciones, los datos pueden utilizarse para crear una imagen más
clara de la actividad de los usuarios.
Para ayudar a que su organización esté un paso por delante cuando se trata de defenderse frente a los
ataques dirigidos, adopte la gestión de identidades con privilegios y la detección de contenido como
piedras angulares de su programa de seguridad.
Sección 5:
Referencias
1 Ponemon Institute. 2011 Cost of Data Breach Study: United States: http://www.symantec.com/
content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf
2 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html
3 NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments, http://csrc.nist.
gov/publications/drafts/800-30-rev1/SP800-30-Rev1-ipd.pdf
4 “Advanced Persistent Threat”, Wikipedia, http://en.wikipedia.org/wiki/Advanced_persistent_threat
5 Verizon, 2012 Data Breach Investigations Report: http://www.verizonbusiness.com/resources/
reports/rp_data-breach-investigations-report-2012_en_xg.pdf
6 http://www.rsa.com/node.aspx?id=3872
7 http://en.wikipedia.org/wiki/Operation_Aurora
8 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp
9 Verizon, 2012 Data Breach Investigations Report: http://www.verizonbusiness.com/resources/
reports/rp_data-breach-investigations-report-2012_en_xg.pdf
10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure, Thomas Bittman,
George J. Weiss, Mark A. Margevicius y Philip Dawson, 30 de junio de 2011
Gartner no promociona a ningún proveedor ni ningún producto o servicio presentado en nuestras
publicaciones de investigación, ni recomienda a los usuarios de tecnología la elección exclusiva de
los distribuidores que obtengan la calificación máxima. Los estudios publicados de Gartner se basan
en las opiniones de la organización de investigación de Gartner y no deben interpretarse como
declaraciones de hecho. Gartner deniega toda garantía, ya sea explícita o implícita, en relación con
este estudio, incluidas las garantías de comerciabilidad o de idoneidad para un fin específico.
15
Ataques dirigidos
Sección 6:
Acerca del autor
Russell Miller ha pasado más de cinco años en seguridad de red en diversos roles desde la piratería
informática ética hasta el marketing de productos. En la actualidad se encarga del marketing de
los productos de seguridad de virtualización y de la gestión de identidades con privilegios para
CA ControlMinderTM. Russell es licencicado en Informática por el Middlebury College y posee un M.B.A.
de la MIT Sloan School of Management.
CA Technologies es una empresa de software y soluciones de gestión de TI
con experiencia en todos los entornos, desde el mainframe y los entornos
físicos hasta los virtuales y en la nube. CA Technologies gestiona los
entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar
unos servicios de TI más flexibles. Los innovadores productos y servicios de
CA Technologies proporcionan los análisis y el control fundamentales para
que las organizaciones de TI impulsen la agilidad empresarial. La mayoría
de las empresas que figuran en la lista Global Fortune 500 confían en
CA Technologies para gestionar sus ecosistemas de TI en constante
evolución. Para obtener más información, visite el sitio de CA Technologies
en ca.com.
Copyright © 2012 CA. Todos los derechos reservados. Microsoft, SharePoint y Windows son marcas comerciales o marcas registradas de Microsoft
Corporation en los EE. UU. u otros países. Linux® es una marca comercial de Linus Torvalds en EE. UU. y otros países. UNIX es una marca comercial de
The Open Group. Todas las marcas registradas, nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento
pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad
de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación “tal cual”, sin garantía de ningún tipo,
incluidas, a título enunciativo y no taxativo, las garantías implícitas de comerciabilidad, adecuación a un fin específico o no incumplimiento. CA no
responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación,
incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o
la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CS2548_0712
Documentos relacionados
749 HERNANDEZ PASCUAL, Julio Adolfo
749 HERNANDEZ PASCUAL, Julio Adolfo
Análisis de los puestos de trabajo
Análisis de los puestos de trabajo
Juan II confirma a Tarifa los privilegios concedidos por
Juan II confirma a Tarifa los privilegios concedidos por
amenazas persistentes avanzadas: la defensa desde
amenazas persistentes avanzadas: la defensa desde
Segons l`acord del Consell Escolar del centre respecte al punt per a
Segons l`acord del Consell Escolar del centre respecte al punt per a
Descargar
Anuncio
Anuncio