Amenazas persistentes avanzadas ¿Está preparado?

Proteger a una organización contra ataques maliciosos es un asunto titánico que demanda tiempo, recursos y esfuerzo. Los ataques son cada vez más estructurados debido a que un nuevo tipo de vector conocido como ‘Amenazas Persistentes Avanzadas’ (APT) está siendo dirigido hacia todo tipo de empresas, desde entidades de gobierno hasta organizaciones militares y operadoras de telecomunicaciones.

Este tipo de ataque utiliza técnicas de ingeniería social para infiltrarse de forma sigilosa en las organizaciones y permanecer indetectable durante meses o incluso años antes de que explote. Lo que distingue a una APT de otras amenazas es que –al ser difícil de detectar con métodos tradicionales- puede activarse en el momento menos esperado para robar información (números de tarjetas de crédito, secretos industriales y propiedad intelectual), destruir ventajas competitivas y dañar la reputación de un negocio.

En este escenario, los directores de tecnología han estado lidiando por años con un montón de herramientas de seguridad dispersas para tratar de controlar las APT, pero han resultado insuficientes para detener los ataques dirigidos.

“En el último año, los ataques APT han aumentado de forma sorprendente tanto en intensidad como en cantidad”, dice Sebastián Brenner, Estratega de Seguridad para Latinoamérica de Symantec, una compañía californiana dedicada a la ciberseguridad que ha creado una nueva tecnología de ‘correlación’ que agrega inteligencia cibernética en los puntos finales para identificar y priorizar los sistemas amenazados que requieren reparación inmediata.

Para entender la dimensión del problema, vale la pena echar un vistazo a la definición dada por el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST), en donde un ataque APT se le considera una Amenaza, ya que un atacante con pericia y recursos tiene un objetivo ilícito para filtrar información hacia el exterior e impedir el curso de los negocios; es Persistente, ya que sucede en un periodo largo de tiempo y permanece indetectable esperando robar información; y es Avanzado, ya que utiliza vulnerabilidades y técnicas sofisticadas de programación y de ingeniería social, que se adaptan a las medidas de defensa y mantienen el nivel de interacción necesario para ejecutar su objetivo.

SEGURIDAD EN EL PUNTO FINAL

“El problema de las Amenazas Persistentes Avanzadas es que con la gran variedad de malware, los administradores de seguridad ya no pueden confiar en el uso de productos individuales para proteger cada punto de control”, prosigue Brenner. Por ‘puntos de control’, Symantec se refiere a las redes, al correo electrónico y a los gateways por donde transitan los paquetes de datos de las empresas y que son susceptibles de ataques.

Las amenazas críticas pueden ser contenidas y remediadas en minutos en lugar de semanas o meses.»

Debido a que –tradicionalmente- el proceso de descubrir las amenazas en estos puntos finales se hace de forma manual y demanda muchísimo tiempo, Symantec creó una solución llamada Advanced Thread Protection (ATP), que correlaciona las actividades sospechosas y prioriza aquellas que representan mayor riesgo para la organización. Una vez neutralizada la amenaza en un punto, el oficial de seguridad puede eliminarla de las demás instancias desde una consola de administración.

SIMULACIÓN Y DETONACIÓN

Para determinar la gravedad de una amenaza, Symantec ha echado mano de su tecnología Cynic –un espacio aislado de simulación y detonación basado en la nube- que opera como una ‘caja de arena’ (sandbox) y permite recolectar inteligencia luego de un incidente para reparar rápidamente los componentes objeto de ataque; esto incluye direcciones IP maliciosas, email y archivos infectados, que son restablecidos en los gateways, redes y puntos finales comprometidos.

Así las cosas, “las amenazas críticas pueden ser contenidas y remediadas en minutos en lugar de semanas o meses”, finaliza Brenner.

Utilizando la inteligencia de datos contenida en una solución como la que propone Symantec, las organizaciones pueden correlacionar y dar prioridad a incidentes de seguridad según sea su criticidad y –al mismo tiempo- supervisar y detener amenazas recién descubiertas sin necesidad de desarrollar reglas complejas de correlación.

En su carrera por brindar protección eficaz contra amenazas avanzadas, Symantec no está sola; le acompañan otros vendors de la talla de Fortinet, BlueCoat, Intel Security, FireEye, Trend Micro, Cisco y otros, quienes se repartirán una suculenta torta de 8.7 mil millones de dólares hasta 2020, una cifra alimentada no solo por la venta de software de seguridad, sino también por el hardware y los servicios profesionales de seguridad que serán demandados tanto por empresas grandes (gubernamentales, de defensa, bancos y telcos) como por organizaciones de tamaño intermedio.

Según un reporte de FireEye, el 95% de las redes empresariales están comprometidas y sus directivos no lo saben. ¿Y su negocio? ¿Ya está preparado?.