SEGURIDAD | Noticias | 10 MAY 2017

Estrategias de defensa para la lucha contra las amenazas avanzadas

Los avances tecnológicos, intereses económicos, sociales y políticos han generado un nuevo contexto de amenazas avanzadas que nunca antes se habían presentado. Estas nuevas amenazas son mucho más sofisticadas tecnológicamente, disponen de más recursos y no son detectadas por las soluciones y servicios tradicionales de seguridad.
Fuente: ElevenPaths
Fuente: ElevenPaths

Esta problemática afecta hoy en día tanto a pequeñas como a grandes organizaciones y organismos públicos convirtiéndose todos ellos en un potencial objetivo dado que las soluciones de seguridad tradicionales (AV, firewall, IDS, DLP, etc.) no han sido capaces de dar respuesta de forma efectiva.

En este sentido, una protección efectiva frente a este nuevo tipo de amenazas debe combinar medidas de seguridad de infraestructura y perímetro tradicionales, junto con sistemas específicos para la detección de amenazas avanzadas con el fin de dificultar la intrusión inicial, reducir la posibilidad de escalada de privilegios, limitar el daño y detectar cualquier tipo de actividad sospechosa de forma temprana. Adicionalmente tras la materialización de una amenaza, debe ser posible recopilar la información que precisan los investigadores forenses para determinar el daño provocado, cuándo se ha producido y quién es el causante.

Diversidad de enfoques en la industria

Como respuesta al escenario actual, la industria está evolucionando ante las nuevas amenazas desarrollando soluciones, tanto ubicadas en la red como en el endpoint, para tratar de cubrir el espectro más amplio posible y así hacer frente a las diferentes variantes y particularidades que las caracterizan.

Centrando nuestra atención en las soluciones basadas en endpoint,  las cuales se denominan como Endpoint, Detection and Response (EDR, por sus siglas en inglés), pueden categorizarse en dos grandes grupos: aquellas que disponen de mayores capacidades de detección preventiva, es decir, aquellas que detienen la amenaza antes de que sea ejecutada,  o en aquellas basadas en detección analítica, es decir, las que monitorizan el comportamiento de todos los eventos del sistema en busca de patrones anómalos que indiquen un posible compromiso.

Otra de las visiones que los fabricantes han implementado en las soluciones parte de la premisa de que no existe riesgo cero, por lo que aportan funcionalidades de respuesta que centran su atención en ofrecer características forenses a los analistas para actuar tras la materialización de una amenaza.  Si bien por sí mismas, las capacidades de respuesta no ofrecen protección ante amenazas avanzadas, sí suponen un complemento que habitualmente incorporan las soluciones basadas en prevención o en detección. 

Fuente: ElevenPaths

Tras estudiar el problema, se considera que la protección en el endpoint es clave teniendo en cuenta los siguientes aspectos. En primer lugar, utilizar elementos de red resulta ineficaz, dada la movilidad, el uso de sistemas cloud y el crecimiento del uso de canales cifrados de los propios endpoints. En segundo lugar, los usuarios finales son los que interactúan con los sistemas de la información, incluso en algunas ocasiones con permisos de administración o con acceso a información muy sensible, por lo que no debe descartarse que de forma intencionada o no los usuarios sean uno de los principales riesgos a tener en cuenta.

Recomendaciones para seleccionar una solución

En primer lugar, la organización debería preguntarse si necesita una solución de nueva generación para protegerse de las amenazas avanzadas. Partiendo de la premisa de que dispone de alguna solución tradicional, debemos ser conscientes de que la mayoría de estas soluciones se basan en detección mediante firmas y no nos protegen de estas amenazas más avanzadas. Es necesario destacar que cualquier tipo de compañía, independientemente de su tamaño o sector es susceptible de sufrir un ataque avanzado, teniendo en cuenta que la información que albergan es la principal variable que definirá la estrategia de diseño ante amenazas avanzadas. Asimismo, a medida que las empresas más grandes y más maduras incrementan su capacidad de defensa, los cibercriminales ponen su punto de mira en empresas más pequeñas que colaboran con su objetivo final, como puerta de entrada más fácil de abrir.

La segunda consideración de la que tendríamos que partir es que no existen soluciones que cubran todo el espectro y que protejan de las amenazas avanzadas. En este sentido, existen diferentes aproximaciones que atienden diferentes necesidades, con ventajas e inconvenientes, pero que ninguna solución por sí sola ha ofrecido un resultado satisfactorio del 100% de las pruebas llevadas a cabo. 

Fuente: ElevenPaths

Para definir nuestra estrategia de protección, en primer lugar, debemos conocer el perfil de riesgo de nuestra organización. Este indicador vendrá definido tanto por la información de que se dispone como por el impacto producido tras un incidente. De la misma manera también debemos conocer para qué tipo de actores somos potenciales objetivos. Finalmente es importante añadir en la ecuación el presupuesto y la capacidad de operación interna, dado que no todas las soluciones tendrán el mismo impacto en términos de coste y de complejidad de operación. Como resultado, se muestra a continuación una tabla a alto nivel que relaciona el riesgo a sufrir un tipo de amenaza según la sensibilidad de información que se maneja, asociado con la capacidad de operación interna y los posibles atacantes. 

Tabla 1. Riesgo asociado a las organizaciones

Como conclusión, si se dispone de una capacidad de operación reducida y no se almacena información extremadamente sensible podrían desplegarse soluciones basadas en prevención o detección, teniendo en cuenta que la mayoría de estas soluciones incorporan ambas funcionalidades en mayor o menor medida. Por el contrario, si la capacidad de operación es alta y se maneja información de alta sensibilidad se recomienda de forma adicional a los sistemas de prevención o detección, soluciones basadas en respuesta. En ocasiones, también se puede considerar la incorporación de sistemas UEBA,  ante un  riesgo especial contra insider threats

El reportaje ha sido realizado por Miguel Ángel de Castro Simón - Senior Cybersecurity Analyst en ElevenPaths y Nikolaos Tsouroulas - Head of Cybersecurity Product Managemet en ElevenPaths.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información