Seguridad colaborativa multicapa: protección coordinada contra las principales amenazas

 

La web y las redes sociales también han revolucionado la forma de comunicarse y trabajar; crear y compartir información nunca había sido tan fácil. Sin embargo, este entorno abierto y siempre conectado ha supuesto una oportunidad de oro para los hackers. Como resultado, ningún proveedor o partner comercial/tecnológico está a salvo de sufrir un ataque informático.

No obstante, y dado que los métodos de protección y la sensibilización de los usuarios también se han incrementado en los últimos años, los hackers se han visto obligados a recurrir a técnicas más elaboradas para lograr sus objetivos, como la utilización de códigos maliciosos completamente desconocidos o la combinación de diversas técnicas de ataque -altamente discretas y con un nivel bajo de gravedad- para colarse a través de los filtros creados. 

Una Batalla en Tres Flancos

Las amenazas más elaboradas son conocidas como APTs. Altamente precisas, las Amenazas Persistentes Avanzadas utilizan insidiosas técnicas de ingeniería social, combinan diferentes tipos de vectores de ataque y se ejecutan, por lo general, en tres fases para pasar desapercibidas e infiltrarse en el sistema de una organización.

Una APT se prepara mediante la elección de la empresa objetivo y de su víctima. Un exploit de ingeniería social determina el vector ideal para el ataque inicial a fin de aumentar sus posibilidades de éxito. A continuación, el asalto se despliega con una infección primaria que aprovecha las vulnerabilidades presentes en las aplicaciones de la estación de trabajo de la víctima. El vector de ataque (un e-mail o una llave USB) contiene un documento adjunto especialmente preparado o con un enlace a un sitio web malicioso. Tras la infección, el ataque se propaga hasta alcanzar el host o los datos específicos a través de técnicas distintas y sucesivas que tienen un propósito definido (modificación del comportamiento del hardware, exfiltración o destrucción de datos sensibles, etc.)

En el caso de un servidor comprometido, la implementación de un ataque indica la presencia de código malicioso dentro de la corporación de destino. Aun así, no será erradicado instantáneamente. El servidor puede restablecerse hasta que el atacante decida exigir un nuevo rescate o destruir archivos de forma remota. Cuando se trata de una fuga de datos lo bastante discreta, el ataque APT no tiene por qué ser detectado. Puede seguir activo para recuperar información confidencial durante meses o años.

Seguridad coordinada frente a Protección convencional

Estos ataques avanzados han sido diseñados para eludir los sistemas de protección convencionales, por lo que la combinación de varias soluciones de seguridad en forma de silos no es suficiente, ni siquiera eficaz. Sin embargo, estos ataques dejan rastros que actúan como señales débiles, como el acceso a un sitio web no categorizado, por ejemplo.

Asociando estas señales débiles entre sí y correlacionándolas a un mapa de vulnerabilidad, una amenaza puede ser identificada, revelando así su verdadera naturaleza crítica. Los ataques multinivel pueden ser contrarrestados así mediante la asociación de varias capas de protección y haciéndolos interactuar entre sí.

En la práctica, esto puede hacerse de dos maneras distintas. Mediante la correlación de eventos a través de soluciones SIEM: los eventos e incidentes de seguridad son recogidos para, a continuación, ser analizados con el fin de identificar el comportamiento anormal. Destacar que estos eventos sólo pueden ser correlacionados una vez el ataque ha tenido lugar, por lo que el administrador sólo puede adoptar una acción reactiva en la política de seguridad.

En la segunda forma, con un enfoque basado en la integración de motores de seguridad y la interacción real entre diversas soluciones de defensa actuales, los diferentes métodos de protección colaboran para intercambiar datos y analizar el comportamiento de acuerdo con otros eventos detectados. La correlación se realiza en tiempo real y las diferentes señales débiles son tomadas en cuenta a nivel mundial. De esta manera, el nivel de protección se refuerza y ​​la política de seguridad puede ser adaptada de forma dinámica. El comportamiento anormal puede ser bloqueado más rápidamente, e incluso de forma proactiva.

Antonio Martínez Algora, Responsable Técnico de Stormshield en Iberia