Embed Size (px)
Citation preview
Cuando los sistemas son vulnerados es casi imposible descubrir quién es el responsable, pero si cuenta con las armas necesarias podrá tomar medidas para revertir el cibercrimen.
Los cazafantasmas de TI
Selene Agüero
L os gritos se escuchan por todas partes, el
temor se puede sentir en el aire, la presencia de un ente extraño causa esca-lofríos, no es un mons-truo de cinco cabezas ni el malvado Hombre Mal-vavisco, es mucho peor, estamos hablando de un fantasma que por donde pasa se roba los datos de su empresa y vulnera los sistemas.
Darse cuenta de la iden-tidad y de la ubicación en donde se encuentran los fantasmas, es tarea sencilla pero los Ghostbusters, tie-nen herramientas para ras-trear la información.
De acuerdo con Luis Corrons Granel, director técnico en PandaLabs, en la mayoría de los casos es casi imposible obtener informa-ción para averiguar quién es el responsable que está detrás del ataque, pero sí es un poco más sencillo averi-guar el lugar desde donde se produce la amenaza.
Cuando aparecen si-tios web comprometidos o preparados para ejecutar determinadas campañas desde una red clásica, los agentes pueden determinar los registros de los mismos, pero cuando se ejecutan campañas desde la Deep Web resulta mucho más difícil determinar el origen debido al anonimato que
proporciona la red Tor. En cuanto a los fan-
tasmas de las campañas de spam, los cazadores logran acercarse un poco hacia el
origen del atacante a tra-vés de la examinación de encabezados de mensajes de correo que brindan in-formación sobre los servi-dores SMTP que han sido utilizados.
El hecho de que exista gran cantidad de compa-ñías proveedoras de medi-das de seguridad, no quiere decir que en su totalidad utilicen las mismas estra-tegias y herramientas para realizar el proceso de cazar a los cibercriminales.
“Hemos establecido una fuente de datos de amena-zas de Internet a través de nuestra Red de Inteligencia Global, que se compone de millones de sensores de ataque que graban miles de eventos por segundo, además de 10 centros de respuesta de seguridad alre-dedor del planeta”, explicó Sebastián Brenner, security strategist en Symantec.
Según Brenner, debido a
que sus fuentes de datos son muy amplias, la compañía utiliza telemetría enviada por los productos de pro-tección del endpoint. Con
32
SECURITY / IT NOW 120 / revistaitnow.com
“Los firewall se utilizan para controlar el flujo de información
desde y hacia adentro de una organización, pero requieren de
Ante estas amenazas como en la famosa serie animada de los ochentas, existe detrás de todo cibe-rataque un escuadrón de cazafantasmas en busca de la seguridad de los sistemas informáticos.
Mientras todos trabajan normalmente, no se ima-ginan que los fantasmas hacen sus apariciones en las redes y equipos con el obje-tivo de burlar las medidas de protección que provee-dores de seguridad y auto-ridades colocan para evitar que esos fenómenos com-prometan la información.
interesadas en mantener una red de confianza.
Los mecanismos uti-lizados para la atención de incidentes dependen de la organización que cada institución o empre-sa tenga de sus equipos, sistemas de información, procedimientos y perso-nal técnico responsable, de acuerdo con Johnny Pan, jefe de la Unidad de Servicios Tecnológicos del Ministerio de Ciencia, Tec-nología y Telecomunicacio-nes (MICITT), organismo regulador del CSIRT en Costa Rica.
“Cualquier institución pública, empresa priva-da, sectores productivos, académicos, agremiados o bancarios pueden estable-cer su propio CSIRT para atención de incidentes pro-pios de su campo de acción y a su vez coordinar con el CSIRT Nacional”, indicó Jojnny Pan.
Muchas son las medidas y herramientas de segu-ridad que se utilizan para resguardar la información del gobierno y empresarial, sin embargo es de suma im-portancia que los equipos de caza fantasmas entien-dan que el nuevo tipo de ciberataque no busca im-pactar la operación para no encender las alarmas, para pasar desapercibido ante las medidas de sus víctimas y hospedarse un largo tiem-po en los sistemas.
“Uno de los principales aspectos para entender si estoy comprometido o no es analizar la red interna o la red corporativa, lo que se debe analizar son los llamados indicadores de compromiso que nosotros llamamos como movimien-to lateral o tráfico este oeste
porque el norte y sur es el que normalmente analiza si la red de Internet está conectada al data center. Hay que tener claro que cuando un equipo interno está comprometido puede acceder a los servidores y ese acceso puede parecer
Rodolfo CastroFortinet
“La capacidad que deben tener los nuevos firewall de adaptarse a las necesidades del punto en la red en el cuál va a proteger, en donde debemos tener presente desempeño, velocidad y protección para cualquier modelo de aseguramiento”
Sebastian BrennerSymantec
“Para detectar el porcentaje de amenazas que el modelo tradicional de protección actual no pudo detener, las empresas deberían considerar agregar tecnologías de detonación de archivos, muchas veces referidas como sandboxing ”
normal, por eso es nece-sario analizar los compor-tamientos silenciosos del atacante dentro de la red interna”, recalcó Castro de Trend Micro.
¿Cómo se protegen los cazadores?
33
esto, Symantec tiene pre-sente que con solo el volu-men de datos no es posible sacar conclusiones sobre el origen del ataque, sino que la interpretación de esos datos es necesaria para convertirla en información que se pueda consumir y accionar.
Por otra parte GM Se-curity Technologies, usa herramientas de Threat Intelligence, conocidas como MRTI, que identi-fican y correlacionan los vectores y orígenes de los atacantes por información de los IPs.
“Esta información se correlaciona efectivamen-te para ver cartográfica-mente de dónde provienen los ataques, hay cibercri-minales que usan TOR exit nodes para generar asaltos que neutralizan el origen, en estos casos se basa en una colección de herramientas para geolocalizar y prevenir ataques de esta índole”, añadió Héctor Guillermo Martínez, vicepresidente ejecutivo de estrategia y desarrollo en GM Security Technologies.
Para dar y entender el próximo paso que van a tomar los atacantes es ne-cesario un análisis que se compare con los procesos de investigación oficial o forense, que según Juan Pablo Castro, especialista de Trend Micro, tienen que ver con tácticas mili-tares de filtración de inte-ligencia.
Otra institución que busca la seguridad infor-mática en distintos países es el CSIRT, la cual man-tiene una amplia comuni-cación con todas las institu-ciones públicas y privadas
Normalmente un equi-po de cazafantasmas está compuesto por protones, trampas, unidad conte-nedora y el famoso medi-dor PKE para rastrear las amenazas y retener a las criaturas. Del mismo modo IT está preparado con todo un arsenal de herramientas contra ciberamenazas.
Una de esas armas es el firewall, que según Herbert Rodríguez, gerente general de Rolosa, distribuidora de servicios de AVIRA, es una parte esencial para evitar ataques externos.
“Los firewall se utilizan para controlar el flujo de información desde y hacia adentro de una organiza-ción, pero requieren de mucha intervención de parte del departamento de TI para mantenerlo actual y optimizado. Los firewall perimetrales son un componente básico de la infraestructura de la red como primer filtro de tráfi-co entrante a nuestra red”, comentó Rodríguez.
Rodolfo Castro, gerente de ingeniería de Fortinet, también apoya la función del firewall y expresa ade-más que el concepto ha cambiado bastante y que pasó de ser el punto de ac-ceso a la red, actuando de manera estática a conver-tirse en aquel concepto di-námico capaz de proteger la información y no una porción de la red.
“Es importante tener claro que conceptos como Acces Firewall-UTM, In-ternal Firewall entre otros, no son sinónimos de pro-ductos diferentes, sino más bien significa la capacidad que deben tener los nuevos firewall de adaptarse a las necesidades del punto en la red en el cuál va a pro-teger, en donde debemos tener presente desempeño, velocidad y protección para cualquier modelo de asegu-ramiento”, agregó el vocero de Fortinet.
Para proteger la red de los fantasmas, proveedores como GM Security reco-mienda que desde la esta-ción de trabajo debe haber una herramienta para cu-brir el anti-malware y una herramienta de rastreo con persistencia que cubra los datos y dispositivos, sin ol-vidar que estas tecnologías deben acompañarse de un nivel de peritaje.
Ante este punto, Sebas-tián Brenner de Symantec, consideró que la protección contra amenazas tiene que incluir la capacidad de con-trolar lo que entra y sale de la red.
“El correo electrónico es una herramienta esencial para muchas organizacio-nes y el punto de entrada de la red más común para los ataques dirigidos”, explicó Brenner.
Debido a que el correo electrónico funciona como
- Advanced Threat Protection: Esta solución permite que las empresas tengan mayor visibilidad de lo que está sucediendo en su ambiente. Esto se puede conseguir a través de agregar y correlacionar toda actividad sospechosa a través de los puntos finales, redes y correo electrónico, que los fusionen con eventos de seguridad externos para permitir una identificación y priorización de sólo aquellos eventos que son de mayor riesgo para la organización.
-Web Application Firewall WAF: Estos firewalls apoyan a la protección de las aplicaciones, hay que estar alertas en todo momento ya que los ataques vía smartphones están en crecimiento y es un entorno que el atacante puede penetrar.
-Sistemas SIEM: Estos sistemas se encargar de correlacionar información (logs) proveniente de múltiples fuentes de datos, generar alertas y proveer a los administradores de paneles de control para identificar cualquier amenaza existente.
-Cenzic: Esta herramienta de pruebas de vulnerabilidad, ayudan a determinar y certificar que una aplicación tiene fallas de seguridad. Cenzic analiza aspectos como en qué sistema operativo está corriendo, si tiene todos los parches, también examina el código.
puerta para las amenazas, las empresas deben pro-teger con tecnologías de antispam y de protección avanzadas contra todo tipo de amenazas a las im-plementaciones del correo que se encuentran en sus instalaciones y las que estén basadas en la nube.
Finalmente para atra-par las vulnerabilidades que conspiran contra las aplicaciones web, es válido el uso de soluciones auto-matizadas o manuales tal y como lo pide el requisito 6.5 de PCI-DSS, que según Rodolfo Castro, gerente de ingeniería de Fortinet, este proceso no es realizado por el mismo desarrollador de la aplicación, sino por un externo.
“Los encargados debe-rían realizar una revisión del diseño, ya que algunas aplicaciones son vulnera-bles, no solamente por defi-ciencias de código, sino por la concepción de su diseño y arquitectura”, dijo Rodol-fo Castro.
Luego de la revisión del código, vienen las pruebas de invasión que deben ser internas y externas de tipo ingeniería social y por ob-jetivo.
“Tradicionalmente estas aplicaciones web son acce-sadas desde un browser y al mismo tiempo desde un app vía dispositivo móvil, por lo cual, se deben correr baterías de prueba independientes para ambas versiones, luego vienen pruebas de denegación de servicio y basados en los resul-tados, se procede a la mitigación ya basados en la arquitectura de seguri-dad seleccionada”, relató el experto de Fortinet.
SECURITY / IT NOW 120 / revistaitnow.com
Arsenal de herramientas delos Ghostbusters
34
