Los primeros virus de PC aparecieron hace más de 25 años. Apenas nos percatábamos de que esto era sólo el comienzo de lo que se convertiría en una serie de olas de amenazas.
Durante casi 10 años los virus permanecieron como el principal método de ataque, pero con el tiempo fueron enfrentados por talentosos defensores que los bloquearon y se protegieron de ellos. Motivados por la notoriedad y el conocimiento adquiridos al descubrir y dar a conocer una nueva vulnerabilidad, los atacantes continuaron innovando. Lo que siguió fueron distintos ciclos de amenazas. Aproximadamente cada cinco años, los atacantes lanzarían nuevos tipos de amenazas y los defensores lanzarían sus versiones para protegerse de ellos- desde macro virus, gusanos, y spyware, hasta rootkits.
No es de extrañar que podamos relacionar estos ciclos a los cambios tecnológicos más importantes que presentaron nuevos vectores de ataque. Los primeros virus iban dirigidos principalmente al sistema operativo y se transmitían a través de "sneaker net". Los macro virus se aprovecharon de los usuarios que compartían archivos. Las amenazas mediante gusanos, que se movían de máquina a máquina, tomaban ventaja de las redes empresariales y del creciente uso de Internet. Los spyware y rootkits surgieron con nuevas aplicaciones, dispositivos y comunidades en línea.
Esto nos lleva al día de hoy, cuando nos encontramos combatiendo malware avanzado, ataques dirigidos y las amenazas avanzadas persistentes (APT por sus siglas en inglés). ¿Es esto la última ola de amenaza, o es más parecido a un tsunami? La convergencia de factores hace de estas amenazas las más dañinas que cualquier cosa que hayamos experimentado en el pasado. A continuación los factores incluidos:
* Una explosión de vectores de ataque. La llegada de la movilidad, la tendencia a traer dispositivos propios (BYOD por sus siglas en inglés), la virtualización y la nube han estimulado una gama de nuevos dispositivos, infraestructura y redes, así como amplia variedad de sistemas operativos y aplicaciones que proporcionan nuevos y eficientes mecanismos para transportar malware y ataques dirigidos. Y si bien las redes sociales, aplicaciones móviles, sitios web y aplicaciones habilitadas en red han creado nuevas formas para conectar a varios de usuarios (empleados, socios, clientes), también han expuesto a las personas y organizaciones a nuevas amenazas de seguridad tanto internas como externas.
* Dinámicas del mercado. El intercambio organizado de exploits está creciendo con fuerza y llega a ser muy lucrativo con el mercado libre, ayudando a impulsar este cambio de explotación a la alteración y destrucción. Y mientras los tipos perversos se han dado cuenta de que hay un valor que pueden obtener, el trabajo se ha vuelto más estandarizado, mecanizado e impulsado por su proceso. Aún es una práctica común para los grupos de hackers seguir los procesos de desarrollo de software, así como las pruebas de control de calidad o banco de pruebas de sus productos, utilizando tecnologías de seguridad antes de liberarlos.
* Ataques sigilosos. En la actualidad hay importantes incentivos económicos para las acciones clandestinas, y muchas organizaciones motivadas para lanzar ataques que signifiquen una ganancia económica o política con pocas posibilidades de represalias o persecución. Nuevos métodos para evadir la protección como son el salto de puerto, túneles, droppers, y botnets han hecho más fácil, más rápido y más barato para los hackers acceder, y cada vez más difícil para los defensores el poder verlos y mantenerlos fuera. Para agravar el carácter evasivo, los mismos ataques pueden cambiar rápidamente a medida que avanzan a través de la empresa, buscando un punto de apoyo persistente y adquiriendo datos críticos.
Así que, ¿cómo podemos mejorar nuestro juego para derrotar a esta nueva clase de atacantes? Ya no basta con centrarse únicamente en la detección y el bloqueo. Cuando surge un ataque tenemos que estar preparados para apartar los efectos de un ataque y detener la reinfección. Para ello es necesario ampliar nuestra vigilancia con un enfoque que permite la visibilidad y el control de toda la empresa, y durante el ataque continuo. A continuación se presentan cinco pasos para tener en cuenta al desarrollar una estrategia de seguridad:
1.- Detectar y bloquear en el Perímetro y en el Interior de la red. Es una buena práctica para manejar las amenazas tan cerca del perímetro como sea posible para evitar que el malware entre en la red y pueda infectar a los dispositivos de punto final. Considerar un dispositivo de detección de malware basado en la red que pueda identificar y proteger contra malware sin sacrificar el rendimiento. Sin embargo, incluso la mejor detección y bloqueo sólo llega hasta cierto punto. Una vez que el malware avanzado entra en la red, se debe suponer que intentará infectar a otros sistemas hasta alcanzar el objetivo final. Es recomendable, asimismo buscar malware y otros ataques en segmentos de red protegidos que alojan activos de tecnología sensible.
2. Evaluar y proteger los puntos finales. Una defensa en capas es la mejor estrategia, ya que los puntos finales no siempre están conectados a una red corporativa y por lo tanto también necesitan protección. Identificar soluciones de puntos finales de protección, que sean ligeros y no obstaculicen el funcionamiento del dispositivo, y así asegurar que la experiencia del usuario no se vea afectada.
3. Analizar las amenazas a través del contexto. No todas las amenazas son creadas iguales. Las tecnologías que ven y correlacionan grandes cantidades de datos de eventos pueden utilizar este marco para identificar dispositivos comprometidos basados en las características de comportamiento. Al mantener la visibilidad de toda la actividad de los archivos sucediendo dentro de la organización y el tráfico de salida de rastreo, se puede ver por fuga de datos críticos y la comunicación con sitios maliciosos para identificar los sistemas específicos que podrían haber pasado desapercibidos.
4. Erradicar el malware y evitar la reinfección. Al encontrar una infección de malware, simplemente poner en cuarentena el dispositivo y la limpieza no es suficiente. Para eliminar el malware y evitar la reinserción hay que considerar las tecnologías que pueden rastrear todos los archivos en todos los dispositivos para que pueda identificar "Paciente Cero" (la primera víctima malware), la trayectoria de malware y todos los casos a lo largo de la empresa.
5. Remediar los ataques con seguridad retrospectiva. La protección contra el malware avanzado también debe alertar acerca de los archivos posteriormente identificados como malware para la remediación de retrospectiva. Bloquear o continuar para seguir y analizar los archivos sospechosos contra inteligencia de amenazas en tiempo real es particularmente importante en esta reciente ola de amenaza con ataques que constantemente se puede cambiar una vez que han entrado en la red.
Se debe considerar lo tratado a lo largo de estos cinco pasos y asegurarse de implementar las normas integradas en el perímetro de seguridad de salida, dentro de los dispositivos de seguridad que protegen las redes internas y en los endpoints para detectar y bloquear el mismo ataque.
Este último ciclo de amenaza no se parece a nada que hayamos visto. Pero al igual que los atacantes han seguido innovando, también tenemos defensores. Con el uso de las últimas técnicas y tecnologías que pueden mitigar los daños causados por estas amenazas avanzadas y así protegernos de futuros ataques.
Josué Hernández, Security Architect en Sourcefire México.