jueves, 25 de agosto de 2011

¿Contra quién estamos luchando?

Este post inicialmente se iba a llamar “¿Contra quién vamos a luchar?”, pero como dice mi compañero Leo, es que ¡Ya estamos en guerra!

Este año 2011 ha estado salpicado más que nunca de noticias relativas a graves compromisos de seguridad en grandes corporaciones, gobiernos y contratistas militares.

Y esto confirma que estamos ante un enemigo cada vez más potente y efectivo. Los americanos lo llaman Advanced Persistent Threat o APT (Amenaza Persistente y Avanzada).

Un APT sería un grupo organizado o nación, con recursos suficientes, que pretende infiltrarse y dañar a un grupo o nación rival a largo plazo.

Es un término anterior al de ciberguerra pero que toma su mayor significado en el entorno informático actual.

En el espionaje clásico se consideraban como APTs por ejemplo aquellas naciones que se dedicaban a introducir agentes “durmientes” en la jerarquía de una potencia rival con el fin de que llegasen a puestos importantes con el paso del tiempo.

APT en el entorno cibernético se suele asociar principalmente al uso de malware que va siendo introducido de forma subrepticia en los sistemas informáticos del enemigo y que se mantiene inactivo. Aunque el termino se extendería a cualquier actividad continuada de hacking que no es detectada.

El mayor riesgo de este tipo de amenazas no es que sean avanzadas o persistentes es que la cultura de seguridad informática predominante es claramente insuficiente para luchar contra ellas. Somos muy vulnerables.

La mayoría de herramientas de protección que existen hoy en día están diseñadas para defendernos contra atacantes casuales, tales como jóvenes aburridos, distribuidores de SPAM o pequeños ciber-delincuentes. Estas herramientas no son suficientes para contener ataques dirigidos.

La inversión en normativas (ISO27002, LOPD, PCI), los antivirus estándares, los IDS/IPS comerciales, los sistemas SIEM, etc. Están muy bien para sentar las bases para unas redes más seguras y crean un entorno para la gestión de la seguridad familiar y cómodo, pero no son suficientes ante las nuevas amenazas.

La experiencia ha demostrado que estas soluciones a pesar de ser relativamente eficientes para disuadir a atacantes casuales son muy limitadas a la hora de contener a un atacante decidido y persistente.

Toda organización que se prepara solo contra ataques conocidos y puntuales está cometiendo un gran error.

El atacante ni siquiera tiene que ser especialmente hábil, es suficiente con que sea perseverante. Es cuestión de tiempo que encuentre una brecha en la seguridad perimetral o que aprenda lo suficiente para abrir una.

Es difícil dar una receta rápida sobre cómo protegerse contra los APTs. Pero principalmente yo recomendaría ser proactivos. Formar equipos especializados que estudien, analicen y preparen defensas ante las nuevas amenazas. Equipos que aprovechen la potencia de las herramientas de seguridad estándares, pero que conozcan sus limitaciones y sepan solventarlas.

2 comentarios:

  1. Tener un equipo dedicado para intentar localizar un atacante ya inmerso en nuestros sistemas (un cron que lanza un correo con ficheros delicados adjuntos. Si ese cron es de un usuairo normal (oracle por ejemplo) y manda el mail a las 11:00 de la mañana y dicho cron no se llama "envio_mail_secreto.sh") es realmente complicado y encima con un ROI muy difícil de calcular y aceptar por la parte directiva.

    ResponderEliminar
  2. El otro gran problema asociado a las APT es de "percepción del riesgo". Aunque el dicho popular establece que "cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar", en seguridad parece que las cosas siempre les pasan a otros hasta que un día te toca "El Gordo" de la Lotería. Mientras tanto todo el mundo prefiere vivir en la falsa confianza de ignorar los problemas para creer que no existen. Es lo que traté de explicar en la entrada http://seguridad-de-la-informacion.blogspot.com/2011/07/la-dificultad-del-ser-humano-para-la.html

    Un saludo y felicidades por el blog, aportáis mucha luz e información relevante en estos temas tan oscuros y ocultos.

    ResponderEliminar