Actualizaciones constantes del sistema, despliegues de seguridad inteligente y usuarios bien informados, principales armas de las empresas para luchar contra las APT (Amenazas Avanzadas Persistentes).
Por Graeme Nash, Director de Soluciones Estratégicas de Fortinet
Una de las mayores amenazas a nivel empresarial está protagonizada por los criminales que se infiltran en las redes para robar información de alto valor. Ghostnet (una botnet desplegada en distintas oficinas y embajadas para controlar la agenda del Dalai Lama), Shady RAT (similar a Ghostnet pero con objetivos corporativos globales y gubernamentales), Operation Aurora (para controlar las cuentas de Gmail de disidentes chinos en 2009) y Stuxnet (un intentó para interrumpir el programa de enriquecimiento con uranio de Irán) en 2010, son sólo algunos de los casos más sonados.
En los últimos meses, las conocidas “Amenazas Avanzadas Persistentes" (Advanced Persistent Threats -APT) se han extendido con tal rapidez que las empresas se han visto obligadas a replantearse el actual paradigma de la seguridad. Las compañías han empezado a preguntarse si tiene más sentido dedicarse a protegerse frente a estos ataques o aceptar que es posible que los criminales accedan alguna vez a los sistemas y centrarse en detectarles tan pronto sea posible para minimizar los daños.
Las APT van especialmente dirigidas a una organización específica y suelen ir penetrando de forma silenciosa y lenta en los sistemas con el objetivo de ir consiguiendo datos interesantes en lugar de buscar una recompensa económica inmediata. Las definiciones precisas de APT varían pero todas coinciden en señalar unas características comunes:
• Advanced – Los autores de la amenaza disponen de una gran variedad de técnicas a su disposición. Entre ellas se encuentran las tecnologías y técnicas de intrusión para acceder al PC, pero también cuentan con otras herramientas para la obtención de inteligencia y de métodos de creación de perfiles. El malware también puede apropiarse de información específica de individuos concretos con el objetivo de utilizarla en una segunda fase del ataque. Las técnicas de ingeniería social son desplegadas normalmente en esta etapa. Mientras que los componentes individuales del ataque pueden no ser especialmente avanzados, sus operadores sí pueden desarrollar herramientas más avanzadas. Los atacantes normalmente combinan múltiples métodos para llegar a su objetivo, comprometerlo y mantener el acceso al mismo.
• Persistent – Los cibercriminales dan prioridad a una tarea específica más que a buscar información de manera oportunista para obtener beneficios financieros o de otro tipo. Uno de los requerimientos clave para las APT, a diferencia de una botnet habitual, es mantenerse invisible el mayor tiempo posible. Así, la APT tiende a centrarse en ataques “silenciosos y lentos” que les permiten moverse de un host infectado a otro sin generar tráfico de red previsible o regular, para llegar a sus datos específicos u objetivos del sistema. Su mayor esfuerzo está en asegurarse de que esas acciones maliciosas no son observadas por los legítimos operadores de los sistemas.
• Threat – Las APT son una auténtica amenaza tanto por su capacidad como por su intención. El componente humano es básico, ya que va más allá de una simple pieza de código. Los cibercriminales que se dirigen a estos activos de alto valor están capacitados, motivados, organizados y bien remunerados.
La debilidad de la infraestructura agrava las brechas producidas por las APT
Las APT rompen las redes corporativas a través de una gran variedad de vectores, incluyendo la infección por malware basado en internet, infección de malware físico y explotación externa. Los autores de una APT no necesitan obligatoriamente romper el perímetro de la red externa – pueden, y con frecuencia lo hacen, aprovechar los vectores internos y las “conexiones seguras” para acceder a los sistemas objetivo.
Una vez que los atacantes entran en los sistemas, hay determinadas deficiencias en la infraestructura de la organización que facilitan la consecución de la información deseada:
1. A medida que una organización se expande, tiende a combinar sistemas distintos, unir redes e integrarlas con proveedores de servicio externos. La complejidad creada permite a los hackers esconderse con más facilidad y encontrar vulnerabilidades desconocidas. Además, los dispositivos propios del empleado y las aplicaciones cloud añaden más caos a este conjunto.
2. El diseño de una red plana es también una debilidad. Mientras que un dominio de difusión cuesta menos y es más flexible que redes segregadas, esto ayuda a que los atacantes se muevan por la red y posiblemente alcancen sistemas de alto valor.
3. Normalmente las aplicaciones de negocio contienen millones de líneas de código, hacienda inevitables los agujeros de seguridad. Y lo que es peor, ese software no se actualiza con frecuencia con los últimos parches para ayudar a cerrar los agujeros cuando son descubiertos.
4. Muchos equipos de seguridad son incapaces de detector ataques sofisticados. Si bien las herramientas convencionales permiten identificar eventos individuales, no son capaces de asociar los eventos para ofrecer una imagen que los contemple todos.
5. Una estructura organizacional debería ser otra limitación. Los equipos de seguridad están normalmente muy aislados para interpretar ataques de distinto tipo.
Proteger a las organizaciones de las APT 
Las reglas de oro de la seguridad ayudan a las empresas a luchar contra las APT:
1. Educar a los usuarios y mantener la relevancia de las políticas de seguridad
Los usuarios son considerados generalmente el punto débil de la cadena por los criminales y son con frecuencia el primer objetivo. Las compañías necesita