Estrategias para mitigar las Amenazas Avanzadas Persistentes (APT)

Parte 1. Cómo mitigar APTs. Teoría aplicada

Es muy probable que los modernos ataques informáticos selectivos, como las operaciones Turla o El Machete aún estén activos. Pero incluso si no lo están, el equipo GReAT de Kaspersky Lab (Equipo de Investigación y Análisis Global) detecta regularmente similares campañas relevantes de espionaje en todo el mundo.

Las Amenazas Persistentes Avanzadas (APT) son ataques complejos, que constan de muchos componentes diferentes, entre ellas herramientas de penetración (mensajes-spear phishing, exploits, etc.), mecanismos de propagación en red, software espía, herramientas de camuflaje (paquetes root / boot) y otras, a menudo sofisticadas técnicas, diseñadas con un objetivo en mente: acceder a la información sensible sin ser detectados.

Las APTs tienen como blanco cualquier dato crítico; no es necesario ser una agencia gubernamental, una importante institución financiera o empresa de energía para convertirse en sus víctimas. Incluso las pequeñas empresas minoristas poseen registros con información confidencial de sus clientes; los bancos pequeños operan plataformas de servicios remotos para sus clientes y , por último, empresas de todo nivel procesan y almacenan información de pagos que si cae en las manos equivocadas puede ser peligrosa. En lo que se refiere a los atacantes, el tamaño no importa: es cuestión de obtener información. Incluso las pequeñas empresas son vulnerables a las APTs y necesitan una estrategia para mitigarlas.

Estrategias para mitigar las Amenazas Avanzadas Persistentes (APT)

Las APTs se han convertido en algo común. Epic Turla es un ejemplo de una campaña activa y de alta eficacia.

Enfoques anti-APT: teorías actuales

Muchas organizaciones reconocidas en la industria de la tecnología ya han desarrollado estrategias para hacer frente a los ataques selectivos. Por ejemplo, Gartner ha publicado directrices para lidiar con las técnicas de ingeniería social, que incluyen la recomendación de mantenerse al día con el dinámico escenario de amenazas a través de la capacitación continua en seguridad informática 1.

Después de analizar toda una serie de problemas de seguridad técnica, Gartner hace dos recomendaciones fundamentales: “fortalecer la seguridad del perímetro y de la red” y “concentrarse en estrategias de protección contra contenidos maliciosos”. En este contexto, Gartner menciona a Kaspersky Lab entre los principales proveedores de Control de Aplicaciones y Listas Blancas 2 capaces de proporcionar toda la funcionalidad necesaria para mitigar las APTs.

La Dirección de Seguridad de la Información de los EE.UU. (IAD) también ha publicado sus Estrategias de Mitigación para la Seguridad Informática con alguna referencia a las APTs. Estas medidas se agruparon en cuatro áreas clave: integridad del dispositivo, contención de daños, protección de cuentas, y transporte seguro y disponible. Una de las guías prácticas más interesantes para mitigar intrusiones cibernéticas selectivas proviene de la Dirección Australiana de Señales (ASD). Puede seguir leyendo sobre esto a continuación.

Estrategias eficaces de mitigación: algunos ejemplos

Ninguna infraestructura informática puede ser 100% segura, pero hay medidas razonables que cada organización puede asumir para reducir considerablemente el riesgo de una ciberintrusión . A través de un análisis exhaustivo y completo de los ataques y amenazas locales, la ASD ha encontrado que al menos el 85 por ciento de las intrusiones cibernéticas dirigidas a las que responde podría mitigarse con cuatro estrategias básicas:

  • El uso de listas blancas de aplicaciones ayuda a prevenir la ejecución de software malicioso y programas no autorizados.
  • Parchar aplicaciones, por ejemplo, Java, visualizadores PDF, Flash, navegadores web y Microsoft Office.
  • Parchar vulnerabilidades del sistema operativo.
  • Restringir los privilegios administrativos a los sistemas operativos y aplicaciones, en base a los derechos de los usuarios.3

Estas medidas se consideran tan eficaces que han sido recomendados para todas las agencias del gobierno australiano. En base a la amplia experiencia y análisis anti-APTs de Kaspersky Lab, creemos que este enfoque sería eficaz no sólo para las agencias gubernamentales o las grandes compañías, sino también para organizaciones comerciales más pequeñas.

Ninguna organización debe suponer que su información es irrelevante o carece de valor. Los atacantes no sólo buscan información crítica; los datos corporativos confidenciales, la propiedad intelectual, los datos científicos y las políticas gubernamentales están todos en la mira. E incluso si no les atraen tus datos críticos, a los delincuentes les puede interesar acceder a tu red informática y usarla como una cabecera de playa para lanzar un asalto contra un blanco más atractivo.

En Kaspersky Lab creemos firmemente que la lista de 35 estrategias más importantes de mitigación de la ASD es una de las directrices de acceso público más importantes en la lucha contra las ciberamenazas dirigidas. Hemos analizado y correlacionado cuidadosamente cada punto con las tecnologías disponibles en nuestros productos. Si decides aplicar estas 35 estrategias de mitigación de la ASD en tu organización, los productos de Kaspersky Lab no sólo te lo facilitarán, sino que te proporcionarán mayor seguridad y eficacia.

Estrategias para mitigar las Amenazas Avanzadas Persistentes (APT)

Lalista completa de estrategias de mitigación de la ASD comprende un total de 35 puntos.

¿Qué ofrecen exactamente las principales Estrategias de Mitigación de la ASD?

Como puede observarse, la lista de Estrategias de Mitigación de la ASD consta de 35 puntos que podrían agruparse encuatro tipos lógicos, según el enfoque de implementación:

Medidas Breve descripción
Administrativas Capacitación, seguridad física
Redes Estas medidas son más fáciles de implementar a nivel de hardware de red
Administración del sistema El sistema operativo contiene todo lo necesario para su implementación
Soluciones especializadas de seguridad Se puede utilizar software de seguridad especializado

Las primeras medidas son puramente administrativas: capacitación de los empleados, mejoramiento de la seguridad física de la oficina, etc. Casi ni se menciona el hardware ni el software salvo las medidas para implementar sistemas de control de acceso físico o la capacitación virtual.

En el nivel de red, se pueden tomar muchas medidas de mitigación. Por ejemplo, en el décimo lugar de la lista, la “segmentación y segregación de la red” se clasifica como “excelente” para la eficacia de la seguridad en general. En el 23° lugar, “Denegar el acceso directo a Internet desde estaciones de trabajo” está calificado como “bueno” (tercer grado después de “esencial” y “excelente”) en términos de importancia para la seguridad.

Una vez configurado el hardware de red, se puede hacer mucho con sólo usar las funciones del sistema operativo. El fortalecimiento de los sistemas contra los ataques selectivos puede generar bastante trabajo para los administradores de sistemas. Para empezar, la parte uno “esencial” de las cuatro medidas es la restricción de privilegios administrativos. Además, es muy recomendable la activación de todos los mecanismos incorporados (ASLR y otros) para la protección del software. Desde la perspectiva de Kaspersky Lab, la funcionalidad de las ‘soluciones de seguridad especializadas’ es significativa, y es un área en la que el software y tecnologías de Kaspersky podrían ayudar mucho, como se verá a continuación.

La mayoría de los pasos de la estrategia de mitigación se pueden implementar utilizando las soluciones de seguridad de Kaspersky Lab.

Al menos el 85% de las intrusiones que la ASD respondió en 2001, involucraban atacantes que usaban técnicas poco sofisticadas que podrían haberse mitigado con la aplicación conjunta de las cuatro principales estrategias de mitigación:listas blancas de aplicaciones, actualizaciones / parches de aplicaciones, actualizaciones / parches de sistemas operativosy minimización de privilegios administrativos . Los productos de Kaspersky Lab incluyen soluciones tecnológicas que cumplen con las primeras tres estrategias principales; asimismo, más de la mitad de la lista de la ASD podría implementarse utilizando nuestras soluciones especializadas de seguridad informática. En la segunda parte de esta serie de Estrategias para Mitigar APTs, vamos a realizar una exploración más profunda

Clasificación de la ASD Estrategia de mitigación, nombre corto Tecnologías de Kaspersky Lab
1 Listas blancas de aplicaciones Listas blancas dinámicas
2 Parchar vulnerabilidades en las aplicaciones Evaluación de la vulnerabilidad y gestión de parches
3 Parchar vulnerabilidades en el sistema operativo
5 Endurecimiento de la configuración de las aplicaciones del usuario Web Control (bloqueo de scripts en navegadores web), Web Anti-Virus
6 Análisis dinámico automatizado de correo electrónico y contenidos web Mail Anti-Virus y Web Anti-Virus, Security for Mail Server, Security for Internet Gateway, DLP for Mail y Collaboration add-ons
7 Mitigación de vulneraciones genéricas del sistema operativo Prevención automática de exploits
8 HIDS / HIPS System Watcher y Application Privilege Control
12 Cortafuegos de aplicaciones basadas en software para el tráfico de entrada Advanced Firewall
13 Cortafuegos de aplicaciones basadas en software para el tráfico de salida Advanced Firewall
15 Registro de sucesos del ordenador Kaspersky Security Center
16 Registro de actividad de la red Kaspersky Security Center
17 Filtrado de contenidos de correo Kaspersky Security for Mail Sever
18 Filtrado de contenidos de Internet Web Control
19 Listas blancas de dominios web Web Control
20 Bloqueo de mensajes de correo fraudulentos Anti-Spam
22 Solución antivirus en base al método heurístico y clasificaciones automáticas de reputación en Internet Anti-Malware
26 Control de medios removibles y portátiles Device Control
29 Inspección de archivos de Microsoft Office en estaciones de trabajo Anti-Malware
30 Solución antivirus en base a firmas Anti-Malware

Estrategias de la ASD que pueden implementarse de manera efectiva con la gama de productos de Kaspersky Lab.

  1. Gartner: Best Practice for Mitigating Advanced Persistent Threats (ID del documento: G00256438).
  2. Si es necesario, revisa los términos en el Glosario Tecnológico.
  3. Dirección Australiana de Señales, Estrategias para mitigar intrusiones cibernéticas dirigidas