Alfonso Ramírez, ataque dirigido
Alfonso Ramírez, ataque dirigido

Un ataque dirigido es un proceso a largo plazo que pueden comprometer la seguridad y dan acceso a los atacantes el control de los sistemas TI de la víctima. Aunque algunos ataques utilicen APTs –muy efectivas, pero costosas de implementar—, otros pueden usar técnicas mucho más sencillas como malware avanzado o exploits de día cero.

Publicidad

En teoría, la cadena de un ataque dirigido parece bastante sencilla: Reconocimiento & Testing, Penetración, Propagación, Ejecución y Resultado. Esto podría dar a entender que bloquear de forma automática las primeras fases de un ataque podría ser suficiente para neutralizarlo. Pero, en realidad, los ataques dirigidos son muy sofisticados y no lineales, en términos de progresión y ejecución. Así, las funcionalidades de detección automática, monitorización continua y “threat hunting” deben ser parte de una estrategia en varias etapas.

Un ataque dirigido es un proceso lento que viola la seguridad y permite al cibercriminal evitar los procesos de autorización e interactuar con la infraestructura TI; es decir, “esquivando” las tradicionales medidas de detección.

Un ataque dirigido es un proceso lento que viola la seguridad y permite al cibercriminal evitar los procesos de autorización

En primer lugar, hay que ver estos ataques como proyectos en constante evolución más que como una acción maliciosa única. Según nuestra experiencia en la monitorización de ataques globales, este tipo de operaciones duran al menos 100 días e incluso años para agencias gubernamentales, grandes empresas e infraestructuras críticas.

En segundo lugar, el proceso de estos ataques suele centrarse en determinadas infraestructuras y está diseñado para acabar con ciertos mecanismos de seguridad e incluso pueden inicialmente dirigirse a determinados empleados a través del email o incluso de las redes sociales.

En tercer lugar, la operación es gestionada por un grupo organizado o grupo de profesionales, armados con las herramientas más sofisticadas. Sus actividades van más allá de un proceso y podrían definirse como una operación de combate. Por ejemplo, los atacantes recopilan una lista de empleados que podrían convertirse en la puerta de entrada de esa organización, y estudian sus perfiles online y su actividad en redes sociales. Después, toman el control del dispositivo de la víctima y una vez infectado, los intrusos se apoderan de las redes desde donde dirigen todas sus actividades criminales.

Un marco adaptativo de seguridad

Implementar un enfoque de seguridad adaptativo reduce de forma significativa el riesgo de ataques y, obviamente, los daños. Muchas de las amenazas pueden ser identificadas con tecnologías analíticas y preventivas; mientras que otras pueden ser detectadas y resultar inocuas a través de enfoques de protección más tradicionales. La prevención y predicción trabajan para parar un incidente antes de que se convierta en un “accidente”. La detección y la respuesta definen el descubrimiento y la remediación de un “accidente”. En este paradigma, cada paso supone un mayor coste en recursos para reaccionar que en el estadio anterior. A menudo, la seguridad recibe el presupuesto que se estima que merece, no el que en realidad necesita. La seguridad ha de ser prioritaria, también en cuanto a la inversión, para un despliegue con éxito y un tiempo de recuperación (RTO) óptimo.

Esencialmente, supone que los sistemas de prevención tradicional han de funcionar en coordinación con tecnologías de detección, analíticas de amenazas, capacidades de respuesta t técnicas de seguridad predictivas. Esto ayuda a crear un sistema de seguridad que constantemente se adapta y responde a los retos emergentes de las empresas.

Así, la implementación de una estrategia de seguridad adaptativa permite PREVENIR y reducir el número de amenazas avanzadas y ataques dirigidos; DETECTAR e identificar las actividades sospechosas (ataques dirigidos); RESPONDER, reducir las brechas de seguridad e investigar los ataques y PREDECIR dónde y cómo se producirán los próximos ataques.

Alfonso Ramírez, director general de Kaspersky Lab