Professional Documents
Culture Documents
Definitive Guide
TM
para la
protección contra amenazas
de próxima generación
Ganando la guerra a la nueva
variedad de ciberataques
David DeWalt
Consejero Delegado de FireEye
Introducción
Iconos prácticos
SUGERENCIA
Las sugerencias proporcionan consejos prácticos que puede
aplicar en su empresa.
NO OLVIDE
Cuando vea este icono, tome nota ya que el contenido
relacionado contiene información clave que conviene recordar.
ATENCIÓN
Actúe con cautela porque, de lo contrario, puede salirle caro
a usted y a su empresa.
INFO TÉCNICA
El contenido asociado a este icono es de naturaleza más
técnica y está destinado a profesionales de TI.
EN LA WEB
¿Desea obtener más información? Visite la URL correspondiente
para acceder a contenido adicional disponible en la Web.
Capítulo 1
Estadísticas estremecedoras
Varios reputados organismos de investigación de
ciberseguridad supervisan las tendencias de los ciberataques
contra empresas. Entre estos se encuentra el equipo Verizon
RISK (Response, Intelligence, Solutions and Knowledge), que
publica un informe anual de investigaciones de fugas de datos
ampliamente reconocido.
En 2012, Verizon analizó 855 incidentes de seguridad de
datos que tuvieron lugar el año anterior y que dieron lugar
a 174 millones de registros afectados. El análisis de Verizon
generó algunas estadísticas estremecedoras:
EN LA WEB
Para descargar una copia gratuita del informe de Verizon,
visite www.verizonbusiness.com.
También en 2012, FireEye, líder en protección contra
amenazas de próxima generación, publicó su informe de
amenazas avanzadas (primera mitad de 2012). Según este
informe, las empresas sufren cada semana un promedio de
643 eventos maliciosos basados en la Web, que consiguen
superar las defensas de seguridad tradicionales, como
firewalls, sistemas de prevención de intrusiones y software
antivirus. En comparación con el mismo periodo en 2011,
el número de infecciones por empresa aumentó en un 225 %.
EN LA WEB
Para descargar una copia gratuita del informe de FireEye,
visite www.fireeye.com/info-center/.
Pese a los aumentos globales en gastos de seguridad de la
información (lo que equivale a más de 20 000 millones anuales
en servicios y productos de seguridad de la información), está
creciendo el porcentaje de fugas de datos como resultado de
la piratería externa y los ataques que incorporan malware,
y todavía se tarda varias semanas en descubrir los principales
ataques a la seguridad de los datos.
Capítulo 1 : Definición de las amenazas de próxima generación | 3
Víctimas recientes
A menos que las empresas y los organismos públicos adopten
un nuevo enfoque más sofisticado para mitigar las amenazas
de próxima generación, continuarán copando los titulares
de las noticias de maneras que jamás hubieran deseado.
A continuación se incluye una muestra de los últimos ataques
más relevantes dirigidos a empresas y a Administraciones,
que emplean técnicas de piratería avanzadas:
Amenazas tradicionales
Los ciberataques tradicionales descritos en esta sección son
antiguos, pero todavía cumplen su objetivo. Así que, no hay que
subestimarlos. Pese a que, por lo general, pueden ser detectados
por dispositivos IPS, firewalls de próxima generación (NGFW,
Next-Generation FireWalls) y software antivirus, a veces las
nuevas variantes pueden pasar inadvertidas.
Amenazas zero-day
Una amenaza zero-day es un ciberataque que aprovecha una
vulnerabilidad desconocida de una aplicación o de un sistema
operativo. Se llama así porque el ataque se lanza el mismo día
(día cero) que se hace pública la vulnerabilidad o, cada vez con
más frecuencia, incluso antes y, en muchos casos, antes de que
el proveedor la conociera. (En ocasiones, el proveedor ya tiene
constancia de la vulnerabilidad, pero no la ha hecho pública
porque todavía no se ha creado un parche).
NO OLVIDE Los ataques zero-day son extremadamente eficaces porque pueden
pasar inadvertidos durante largos periodos (normalmente, varios
meses, pero a veces durante años) y cuando finalmente son
identificados en circulación, la creación de un parche para la
vulnerabilidad todavía tarda días o incluso semanas.
Amenazas polimórficas
Una amenaza polimórfica es un ciberataque —como un virus,
gusano, spyware o troyano— que cambia constantemente
(se transforma), por lo que es prácticamente imposible de
detectar con defensas basadas en firmas. Las amenazas
polimórficas pueden evolucionar de varias formas, como
con cambios de nombre del archivo y nivel de compresión
(tamaño del archivo).
Aunque el aspecto del código de una amenaza polimórfica
cambia con cada "mutación", la función esencial sigue siendo,
por lo general, la misma. Por ejemplo, un programa de spyware
concebido para actuar como un keylogger (malware no
autorizado que registra las pulsaciones de las teclas) continuará
ejecutando esa función aunque su firma haya cambiado.
La evolución de las amenazas polimórficas ha dificultado con
creces el trabajo de los profesionales de seguridad de TI. Los
proveedores que fabrican productos de seguridad basados en
firmas se ven abocados a crear y distribuir constantemente
nuevas firmas de detección de amenazas (una opción muy
lenta y costosa, cabe añadir), mientras que las empresas
y los organismos públicos —a menudo con miles de hosts
que proteger (especialmente hosts de Microsoft Windows;
consulte el recuadro "Por qué Windows es tan propenso a los
ciberataques")— despliegan continuamente las firmas que
producen sus proveedores de seguridad. Es un círculo vicioso,
siempre a la zaga de los ciberdelincuentes, que parece no
tener fin.
Amenazas combinadas
Una amenaza combinada es un ciberataque que combina
elementos de varios tipos de malware y que, normalmente,
emplea varios vectores de ataque (con distintas rutas y objetivos
de ataque) para aumentar la gravedad del daño y la velocidad
del contagio. Nimda, CodeRed y Conficker son solo unos pocos
ejemplos conocidos de amenazas combinadas.
Una amenaza combinada generalmente presupone:
Conocer al enemigo
En este capítulo
•• Clasificación de los ciberenemigos en tres clases
•• Cómo sortean los atacantes la defensas de seguridad tradicionales
¿Quién es el enemigo?
La imagen de los ciberatacantes ha cambiado considerablemente
con el paso de cada década. En los años 70 y 80, estaba en boga
el phone phreaking (manipulación no autorizada de equipos de
conmutación telefónica, principalmente, para hacer llamadas
de larga distancia gratuitas). En 1983, la película "Juegos de
guerra", protagonizada por un joven Matthew Broderick, dio
a conocer al público en general la piratería mediante el uso de
un módem, y nació la leyenda de los hackers como ciberhéroes.
12 | Definitive Guide™ para la protección contra amenazas de próxima generación
Ciberdelincuentes
Dicho de manera simple, los ciberdelincuentes son personas
que cometen acciones de piratería informática para obtener
un beneficio económico. En la mayoría de los casos, penetran
en las redes de las empresas con el fin de robar números de
tarjetas de crédito (a veces, decenas o incluso cientos de miles)
y venderlos en el mercado libre. Aunque no son tan rentables,
las credenciales de cuentas de Facebook, Twitter y correo
electrónico también se venden por una buena suma.
Uno de los ciberdelincuentes más famosos jamás condenado
es Albert Gonzalez. En 2010, Gonzalez fue acusado de piratear
las bases de datos de una empresa regional de procesamiento
de pagos con tarjeta de crédito y robar más de 170 millones
de números de tarjetas de crédito a lo largo de dos años. Fue
condenado a 20 años de cárcel, la condena más dura impuesta
a un ciberdelincuente hasta la fecha.
Hacktivistas
El hacktivismo consiste en utilizar herramientas digitales
con fines políticos. A diferencia de los ciberdelincuentes que
tienen una motivación económica, los hacktivistas obedecen
a una motivación política. Entre los ciberataques típicos
realizados por hacktivistas se incluyen la manipulación
de sitios web, redireccionamientos, robo de información
y sentadas virtuales mediante ataques de denegación de
servicio distribuidos (DDoS) (colapsar sitios web con cientos
o miles de conexiones simultáneas y reiterativas).
Algunos hacktivistas han unido sus fuerzas contra un objetivo
común. En 2011, LulzSec reivindicó la autoría de varios
14 | Definitive Guide™ para la protección contra amenazas de próxima generación
Cibermercenarios a sueldo
En el informe "Defense Dossier" resultar especialmente abrumador
(Expediente de defensa) de agosto para muchos occidentales que
de 2012, el Consejo Americano de no pueden imaginar cómo un
Política Exterior (AFCP, American gobierno puede estar tan ligado a un
Foreign Policy Council: www.afpc. elemento delictivo.
org) alegaba que, presuntamente,
R u s i a s u b co nt rata a l g u n o s d e Rusia no es la única nación que
sus ciberataques de Estado colabora con ciberdelincuentes.
a ciberdelincuentes, incluidos Los expertos en seguridad de
miembros de la otrora famosa Red l a re d F i re Eye ( w w w.f i re e ye .
de Negocios Rusa (RBN, Russian com), líder en protección contra
Business Network). Hasta su supuesta amenazas de próxima generación,
desaparición en 2008, RBN participó hallaron pruebas que respaldan la
en casi todos los planes ciberdelictivos idea tan extendida de que China
imaginables —phishing, malware colabora con ciberdelincuentes
y ataques DDoS, entre otros. para comprar el acceso a equipos
previamente infectados como una
Según el informe de la AFPC, forma más eficaz de infiltrarse en
h ay d o s m o t i vo s p o r l o s q u e las organizaciones elegidas.
Rusia subcontrata trabajo a los
ciberdelincuentes o, como yo los En 2011, los investigadores de
llamo, cibermercenarios. En primer F i r e Ey e d e t e c t a r o n u n a A P T
lugar, es extremadamente rentable, de tipo malware asociada a
ya que estos cibermercenarios G h o s t n e t , u n a o p e ra c i ó n d e
se sacan un dinero extra cuando ciberespionaje a gran escala con
no trabajan para el Estado. Y en una infraestructura de comando
segundo lugar, incluso después de y control con base en China, en
investigaciones forenses cibernéticas un equipo que también llevaba
exhaustivas, sus ciberataques no malware tradicional asociado
pueden atribuirse a computadoras a operaciones ciberdelictivas.
de organismos públicos. Esto puede ¿Una coincidencia? No lo creo.
Capítulo 2 : Conocer al enemigo | 15
Anatomía de los
ciberataques avanzados
En este capítulo
•• Definición detallada de una amenaza persistente avanzada
(APT, Advanced Persistent Threat)
•• Examen de las APT más notorias de los titulares de la
prensa internacional
•• Descripción del ciclo de vida de los ataques APT
Flame (2012)
Flame, también conocido como Flamer, sKyWiper y Skywiper,
es una APT que identificaron en mayo de 2012 el centro
MAHER (equipo de respuesta ante emergencias informáticas
de Irán), Kaspersky Lab y la Universidad de Tecnología
y Economía de Budapest. Kaspersky Lab recibió de la Unión
Internacional de Telecomunicaciones de las Naciones Unidas
el encargo de investigar las denuncias de un virus que estaba
afectando a las computadoras del Ministerio de Petróleo iraní.
Los expertos informáticos consideran que Flame es el proyectil
de un ataque que en abril de 2012 obligó a los funcionarios
iraníes a desconectar Internet en sus instalaciones petrolíferas.
Ahora la opinión generalizada es que Estados Unidos e Israel
desarrollaron el malware Flame para reunir información
y preparar un cibersabotaje que debía ralentizar la capacidad
de Irán para desarrollar un arma nuclear.
Tras la primera fase del exploit, Flame pone en marcha un
complejo conjunto de operaciones, entre ellas contactar con
sus servidores de comando y control para descargar otros
módulos de malware. Completamente desplegado, Flame
es un programa inusitadamente grande para ser malware,
ya que suma 20 megabytes, un tamaño entre 20 y 30 veces
superior al de los típicos virus informáticos. Está ampliamente
reconocido como el malware más sofisticado creado jamás.
Los expertos creen que Flame, diseñado para hacerse pasar
por una actualización rutinaria de software de Microsoft,
se creó para cartografiar y vigilar en secreto las redes
informáticas iraníes y enviar constantemente datos en
preparación para una campaña de guerra cibernética.
Stuxnet (2010)
Stuxnet es un gusano informático muy sofisticado descubierto
en junio de 2010 que supuestamente llevaba implantado más
de un año y que se estaba utilizando junto con un ataque
APT contra la infraestructura de enriquecimiento de uranio
de Irán. En la primera fase, Stuxnet se propagó atacando
una vulnerabilidad de Microsoft Windows y después se
extendió lateralmente en la red hasta infectar selectivamente
equipos y software industrial de Siemens e impedir su buen
funcionamiento. Aunque no es la primera vez que los hackers
atacan sistemas industriales, sí es el primer caso documentado
de malware que incluye un rootkit para controladores lógicos
programables (PLC).
Siemens afirmó que el gusano no había causado ningún
daño a sus clientes, pero las instalaciones nucleares iraníes
adquireron de manera clandestina material de Siemens
embargado, que había resultado dañado por Stuxnet durante
el ataque. Curiosamente, debido a sus múltiples mecanismos
de propagación, Stuxnet salió de las instalaciones iraníes
e infectó Chevron, el gigante del petróleo. Sin embargo, según
los directivos de esta compañía, Stuxnet se percató de que
Chevron no era el blanco previsto y, al estar programado para
contener su carga perjudicial en tales casos, puso fin al ciclo
de vida del ataque. Como resultado, no dañó los sistemas de
Chevron y la empresa pudo eliminar el gusano.
22 | Definitive Guide™ para la protección contra amenazas de próxima generación
La reacción en cadena de un
ataque APT nacional
En el capítulo 1 (en el apartado "El costo del fracaso"),
enumeraba los costos más frecuentes a los que se enfrentan
las empresas cuando son víctimas de una fuga de datos a gran
escala, incluidos los de análisis forenses, sanciones oficiales y
pérdidas de ingresos. Pero, ¿qué ocurriría si los responsables
de una APT decidieran atacar algo un poco más estratégico
que los datos de una empresa?
Imaginemos, por ejemplo, un ataque APT coordinado
contra las compañías eléctricas de una región extensa de
Estados Unidos, como el Nordeste. Imaginemos ahora
que los delincuentes lograran infectar los sistemas SCADA
(supervisión de control y adquisición de datos) que controlan
la red eléctrica de varios Estados y que desactivaran el servicio
durante días o incluso semanas. ¿Puede imaginar la reacción
en cadena de un ataque como este?
Capítulo 3: Anatomía de los ciberataques avanzados | 23
ATENCIÓN
Desconfíe especialmente si encuentra datos comprimidos
en formatos que su empresa no suele utilizar.
Introducción a la protección
contra amenazas de
próxima generación
En este capítulo
•• Visualización de una solución perfecta para mitigar los
modernos ciberataques actuales
•• Definición de la protección contra amenazas de próxima
generación y revisión de sus componentes principales
•• Comparación de la protección contra amenazas de próxima
generación con las tecnologías tradicionales de defensa
basadas en firmas y entornos de prueba o sandbox
Soluciones Defensas
Comparación de protección NGTP tradicionales
Detección de malware conocido
mediante firmas de IPS
Identificación de ataques
en binarios codificados
Reproducción del tráfico sospechoso
en un entorno virtual seguro
Inspección del tráfico saliente para
bloquear los canales de devolución
de llamadas dinámicos
Generación automática de
información sobre amenazas para
defenderse de ataques selectivos
Componentes fundamentales
Ahora que ya se ha hecho una idea de lo que es la protección
contra amenazas de próxima generación, incluidas sus
analogías con las defensas de seguridad tradicionales y sus
diferencias con la tecnología estándar de entorno de prueba,
seguiremos profundizando y analizaremos los componentes
fundamentales de las principales soluciones NGTP.
Capítulo 4 : Introducción a la protección contra amenazas de próxima generación | 39
Análisis de la protección
contra amenazas de
próxima generación
En este capítulo
•• Cómo mitiga la tecnología NGTP las amenazas de próxima
generación en los mensajes de correo electrónico,
las comunicaciones web y los archivos en reposo
•• Análisis de las características fundamentales de las
principales soluciones NGTP
•• Integración de NGTP en la infraestructura de red existente
Cómo funciona
Empecemos por describir la ubicación de los dispositivos MPS en
función de cómo llegan las amenazas a la organización. Por norma
general, los administradores sitúan los dispositivos MPS en la
última línea de defensa para examinar las amenazas recibidas
a través del tráfico de correo electrónico o la Web que logran
eludir los firewall y sistemas IPS. Los dispositivos web MPS se
sitúan detrás de las puertas de enlace de la Web seguras, mientras
42 | Definitive Guide™ para la protección contra amenazas de próxima generación
Servicio en la nube
(correo electrónico)
Internet
Puerta de enlace
antispam
Servidores
Router de correo
de salida
Firewall
Web MPS
(comprobar
contenido
malicioso CMS
en las URL)
Email MPS
(analizar
Conmutador adjuntos de
correo para
central descubrir APT)
Usuarios
SIEM
Características fundamentales
Como ya sabe de qué trata NGTP y tiene una idea de cómo
funciona, repasemos las características fundamentales que
Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 45
Bloqueo fast-path
El bloqueo de devolución de llamadas salientes y amenazas
conocidas entrantes está relacionado con el análisis sin el uso
de firmas. Aunque he dedicado bastante tiempo a describir las
limitaciones de las defensas basadas en firmas tradicionales,
también he admitido que son importantes para neutralizar
ataques conocidos en una estrategia de defensa en profundidad.
Para protegerse de forma eficaz contra ataques conocidos
y desconocidos se precisan soluciones NGTP que incorporen
técnicas de defensa basada en firmas y sin el uso de firmas.
46 | Definitive Guide™ para la protección contra amenazas de próxima generación
Administración centralizada
Es muy recomendable que las organizaciones que cuentan
con tres o más dispositivos MPS adquieran un dispositivo
de administración centralizada (a veces denominado Central
Management System) para supervisar y administrar el sistema
NGTP de forma centralizada a través de una interfaz basada en
la Web de fácil uso. Entre las tareas que suelen llevarse a cabo
mediante la consola de administración se incluyen:
Reglas personalizadas
Los principales sistemas NGTP permiten a los usuarios
más avanzados importar reglas de detección de malware
personalizadas que se crean con el lenguaje YARA. (YARA
es una herramienta diseñada para ayudar a los investigadores
de malware a identificar y clasificar las muestras de malware).
Cuando el dispositivo MPS activa una regla YARA importada,
el motor Virtual Execution analiza de inmediato los objetos
asociados para detectar posibles ciberataques. Esto es útil
para organizaciones que suelen ser el blanco de una clase
concreta de ciberataques.
EN LA WEB
Puede obtener más información sobre YARA en
http://code.google.com/p/yara-project/.
Panel
El panel de NGTP (consulte la Figura 5-4) es la principal
interfaz que utilizan los analistas de seguridad para supervisar
la seguridad de la red y la carga de trabajo de los dispositivos
MPS de la organización. Los paneles son fáciles de interpretar
y su acceso se realiza a través de navegadores web. Los mejores
paneles ofrecen la posibilidad de acceder a los detalles de los
eventos para descubrir los pormenores de los ciberataques
y ayudar al analista de seguridad a decidir los pasos siguientes.
50 | Definitive Guide™ para la protección contra amenazas de próxima generación
Informes
Las soluciones NGTP actuales ofrecen formas cómodas y eficaces
de rastrear tipos específicos de ciberataques por nombre o tipo,
y generar informes sobre ellos. Las organizaciones pueden ver
resúmenes de eventos, como los principales host infectados y los
eventos de devolución de llamadas y malware más importantes,
además de los detalles de geolocalización. Algunas soluciones
NGTP incluso ofrecen la posibilidad de mostrar los datos del
evento de seguridad en Google Earth.
Aunque los usuarios de NGTP pueden generar los informes
al instante, la consola de administración centralizada también
permite crear automáticamente los informes a intervalos de
tiempo establecidos (a diario, cada semana, cada mes).
NO OLVIDE
En particular, los informes de tendencias pueden ayudar
a demostrar cómo progresa la reducción del número de
sistemas comprometidos.
Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 51
Alertas
Las alertas ayudan a los analistas de seguridad a mantenerse
al tanto de las posibles infracciones de la seguridad. Las
notificaciones de alerta se pueden enviar a través de SMTP,
SNMP, syslog o HTTP POST. Las alertas también se muestran
en la interfaz basada en la Web del dispositivo Central
Management System (CMS) (consulte la Figura 5-5).
Integración de NGTP en la
infraestructura de TI existente
Ningún sistema de seguridad de la información debería
funcionar de manera aislada en ningún momento.
Los productos de seguridad, y la infraestructura de red que
los soporta, deben funcionar de forma conjunta para que las
tecnologías de la información dispongan de un contexto más
amplio sobre el entorno que protegen y, en última instancia,
reduzcan el riesgo de que los ciberataques prosperen.
52 | Definitive Guide™ para la protección contra amenazas de próxima generación
SIEM
SIEM (administración de eventos e información de
seguridad) es una de las plataformas de integración de
NGTP más solicitadas, especialmente en los despliegues
fuera de banda. No es extraño, puesto que la finalidad de las
plataformas SIEM es reunir los eventos de seguridad de toda
la organización y establecer la relación entre ellos (mediante
el uso de docenas de reglas de correlación predefinidas
y personalizadas) con el fin de descubrir ciberataques ocultos.
Para analizarlos en profundidad, los eventos de seguridad se
pueden exportar en secuencias en tiempo real a las plataformas
SIEM en formato syslog, Common Event Format (CEF) y otros
formatos de proveedor que ofrezcan más detalles del ataque.
SUGERENCIA También es frecuente que las organizaciones integren los
sistemas NGTP con productos de administración de registros.
Al igual que una plataforma SIEM, un administrador de
registros reúne los eventos de seguridad (por medio de datos
syslog), pero, a diferencia de SIEM, por lo general, no puede
establecer la correlación de los datos. Aunque su elección suele
estar motivada por la necesidad de cumplir una normativa
(como PCI DSS), los administradores de registros constituyen
también un medio útil para recopilar datos de registro.
Entre los proveedores se incluyen HP ArcSight, IBM Q1 Labs,
LogRhythm, McAfee, RSA y Splunk.
Administración de incidentes
Hace años que existen las plataformas de administración
de incidentes (o ticketing). Los usuarios habituales de estas
plataformas son el personal de TI interno y el personal del
servicio de asistencia, quienes las emplean para rastrear
y administrar los incidentes de TI. Un incidente puede ser algo
tan sencillo como una consulta al servicio de asistencia o tan
complejo como erradicar una APT.
Es frecuente que las organizaciones deseen incluir alertas
NGTP en la plataforma de administración de incidentes
existente. Esto se consigue enviando alertas SMTP con
formato especial al sistema de administración de incidentes
desde el Central Management System de NGTP o efectuando
el análisis sintáctico de las alertas con formato XML para
adecuarlas a las plantillas de alerta de incidentes existentes.
Entre los proveedores se incluyen BMC Remedy, Numara
Software y RSA Archer.
54 | Definitive Guide™ para la protección contra amenazas de próxima generación
Selección de la solución
de NGTP adecuada
En este capítulo
•• Lo que hay que evitar al evaluar soluciones de NGTP
•• Compilación de una lista de criterios para la compra de NGTP
Qué evitar
A continuación se incluye una lista de qué conviene evitar
al evaluar soluciones de NGTP:
Evite soluciones que solo detecten. Las mejores ofertas en
NGTP disponen de modos de funcionamiento en línea y fuera de
banda. Muchas empresas empiezan con un modo fuera de banda
para obtener un nivel de confort inicial y luego progresan hasta
una configuración de NGTP en línea para bloquear amenazas
conocidas, devolución de llamadas del malware y reapariciones de
malware recién descubierto. Además, al evaluar dispositivos MPS
con conexiones de cobre, asegúrese de que admitan el desbloqueo
en caso de error (fail-open) para los despliegues en línea.
56 | Definitive Guide™ para la protección contra amenazas de próxima generación