¿Todas las de perder en la lucha contra la nueva TM variedad de ciberataques actuales? Aprenda cómo derrotar a sus ciberenemigos con protección contra Definitive Guide amenazas de próxima generación (NGTP). para la A pesar de gastar más de 20 000 millones de dólares en sistemas de seguridad tradicionales, las organizaciones se enfrentan a una nueva variedad de ciberataques, Protección contra amenazas con exploits zero-day, malware polimórfico y amenazas avanzadas persistentes (APT) a la cabeza. Nuestra única opción de vencer a estos adversarios hoy día, dada su sobrada financiación y su alta motivación, pasa por cambiar de forma de pensar. de próxima generación Si se ocupa de la seguridad de la red de su empresa, no debe perderse esta guía. • Definición de las amenazas de próxima generación: comparación de los ciberataques tradicionales con una nueva variedad de amenazas Ganando la guerra a la nueva de próxima generación. variedad de ciberataques • Conocer al enemigo: examen de tres tipos de ciberenemigos y sus métodos para derrotar los sistemas de seguridad tradicionales. • Anatomía de los ciberataques avanzados: descripción de las cinco fases del ciclo de vida de los ataques avanzados y señales que permiten detectar las amenazas avanzadas persistentes (APT). • Introducción a la protección contra amenazas de próxima generación: revisión de los componentes clave de las soluciones de NGTP y comparación con las defensas de seguridad tradicionales. • Análisis de la protección contra amenazas de próxima generación: información sobre cómo mitigar las amenazas de próxima generación en los mensajes de correo electrónico, las comunicaciones a través de la Web y los archivos en reposo. • Selección de la solución de NGTP adecuada: descripción exacta sobre qué buscar (y, lo que es más importante, qué evitar) a la hora de evaluar una solución de NGTP.

Acerca del autor Steve Piper es un experto en seguridad de la información con Steve Piper, CISSP más de 20 años de experiencia en el sector de las tecnologías. Cortesía de: Como escritor y consultor freelance, Steve es autor de numerosos libros sobre seguridad de la información, infraestructuras de red y gestión de grandes volúmenes de datos (Big Data). Cuenta con Prohibida la venta PRÓLOGO DE: un certificado en seguridad CISSP del ISC2 y una licenciatura en ciencias y un MBA de la George Mason University. Encontrará David DeWalt más información en www.stevepiper.com. LA NUEVA GENERACIÓN DE CIBERATAQUES Acerca de FireEye HAN PENETRADO EN EL 95 % DE LAS REDES. FireEye es el líder en la lucha contra la nueva variedad de ciberataques actuales, como los ataques desconocidos ¿CREE QUE ESTÁ ENTRE EL 5 % RESTANTE? (zero‑day) y APT, que sortean las defensas tradicionales y afectan a más del 95 % de las redes. La plataforma de FireEye complementa los firewalls, sistemas IPS, antivirus y puertas de enlace basados en firmas, y proporciona el único sistema de protección del mundo eficaz para distintas empresas y que prescinde del uso de firmas, contra vectores de ataque a través de la Web y el correo electrónico, así como malware residente en recursos compartidos. Es la única plataforma integrada de la industria que detiene los ataques en todas las fases de su ciclo de vida, desde el exploit a la filtración. Gracias a su tecnología Virtual Execution patentada, la plataforma de FireEye está especialmente capacitada para proteger contra la nueva variedad de ciberataques. Las soluciones de FireEye se han desplegado en más de 40 países y en más del 25 % de las empresas del índice Fortune 100. Es posible que crea que sus defensas de seguridad actuales impiden a los nuevos ciberataques entrar en su • Puesto 4 en el programa de premios Deloitte 2012 red y apoderarse de sus datos. Pero no es así. Technology Fast 500™ de Norteamérica Los ciberataques actuales sortean los firewalls, IPS, antivirus • Premio Wall Street Journal 2012 Technology Innovation y puertas de enlace tradicionales y de nueva generación. • Investido como JPMorgan Chase Hall of Innovation

FireEye es su mejor medio de defensa. Ponga fin a la nueva variedad de ciberataques con protección contra amenazas de próxima generación. Visítenos hoy en www.FireEye.com y permítanos cerrar las brechas en la protección de su red.

© 2013 FireEye, Inc. Todos los derechos reservados. Definitive GuideTM para la protección contra amenazas de próxima generación

Ganando la guerra a la nueva variedad de ciberataques

Steve Piper, CISSP Prólogo de David DeWalt Definitive Guide™ para la protección contra amenazas de próxima generación Publicada por: CyberEdge Group, LLC 1997 Annapolis Exchange Parkway Suite 300 Annapolis, MD 21401 (800) 327-8711 www.cyber-edge.com Copyright © 2013, CyberEdge Group, LLC. Reservados todos los derechos. Definitive Guide™ y el logotipo de CyberEdge Press son marcas comerciales de CyberEdge Group, LLC en los Estados Unidos y otros países. Todas las demás marcas comerciales y marcas comerciales registradas son propiedad de sus respectivos propietarios. Sin perjuicio de lo dispuesto por la Ley de propiedad intelectual de los Estados Unidos de 1976, ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación o transmitida, de ninguna forma ni por ningún medio, sea electrónico, mecánico, por fotocopia, grabación, escaneado u otros, sin la autorización previa por escrito del editor. Las solicitudes de autorización del editor deben remitirse a Permissions Department, CyberEdge Group, 1997 Annapolis Exchange Parkway, Suite 300, Annapolis, MD, 21401 (Estados Unidos) o enviarse por correo electrónico a [email protected].

LÍMITE DE RESPONSABILIDAD/EXENCIÓN DE RESPONSABILIDAD: EL EDITOR Y EL AUTOR NO OFRECEN DECLARACIONES NI GARANTÍAS CON RESPECTO A LA EXACTITUD O INTEGRIDAD DEL CONTENIDO DE ESTA OBRA Y RENUNCIAN ESPECÍFICAMENTE A TODAS LAS GARANTÍAS, INCLUIDAS, SIN LIMITACIÓN, LAS GARANTÍAS DE ADECUACIÓN PARA UN FIN PARTICULAR. LOS CONSEJOS Y LAS ESTRATEGIAS CONTENIDOS EN LA PRESENTE OBRA PUEDEN NO SER CONVENIENTES PARA TODAS LAS SITUACIONES. NI EL EDITOR NI EL AUTOR ACEPTAN RESPONSABILIDADES POR LOS DAÑOS QUE PUDIERAN DERIVARSE DE LOS MISMOS. EL QUE UNA EMPRESA O SITIO WEB SEA MENCIONADO EN ESTA OBRA A MODO DE CITACIÓN Y/O POSIBLE FUENTE DE INFORMACIÓN ADICIONAL NO SIGNIFICA QUE EL AUTOR O EL EDITOR SUSCRIBAN LA INFORMACIÓN QUE LA EMPRESA O EL SITIO WEB PUEDAN PROPORCIONAR O LAS RECOMENDACIONES QUE PUEDAN FORMULAR. ASIMISMO, LOS LECTORES DEBEN TENER PRESENTE QUE LOS SITIOS WEB MENCIONADOS EN ESTA OBRA PUEDEN HABER CAMBIADO O DESAPARECIDO ENTRE EL MOMENTO DE PUBLICACIÓN DE ESTA OBRA Y SU LECTURA.

Para obtener información general sobre los servicios de investigación y consultoría de marketing o para crear un libro Definitive Guide(Guía definitiva) personalizado para su empresa, póngase en contacto con nuestro departamento de ventas en el 800-327-8711 o en [email protected]. ISBN: 978-0-9888233-0-3 (libro en rústica); ISBN: 978-0-9888233-1-0 (libro electrónico) Impreso en los Estados Unidos de América. 10 9 8 7 6 5 4 3 2 1

Agradecimientos del editor CyberEdge Group agradece a las siguientes personas sus contribuciones: Editor: Susan Shuttleworth Diseño gráfico: Debbi Stocco, Christian Brennan Coordinadora de producción: Valerie Lowery Ayuda especial de FireEye: Phil Lin, Lisa Matichak, Brent Remai, David DeWalt Contenido

Prólogo...... v Introducción...... vii Resumen de los capítulos...... vii Iconos prácticos...... viii Definición de las amenazas de próxima generación...... 1 Estadísticas estremecedoras...... 2 Víctimas recientes...... 3 Ataques contra empresas...... 3 Ataques contra la Administración...... 3 El costo del fracaso...... 4 Panorama de amenazas actual...... 5 Amenazas tradicionales...... 5 Amenazas de próxima generación...... 7 Conocer al enemigo...... 11 ¿Quién es el enemigo?...... 11 Ciberdelincuentes...... 12 Ejecutores de amenazas de Estado...... 12 Hacktivistas...... 13 Cómo se impone el enemigo...... 15 Sortear las defensas basadas en firmas...... 15 Elusión de las defensas basadas en anomalías...... 15 Anatomía de los ciberataques avanzados...... 17 Las APT en profundidad...... 17 Lo que una APT no es...... 18 Las APT en las noticias...... 19 Flame (2012)...... 20 Ataque a RSA SecurID (2011)...... 20 Stuxnet (2010)...... 21 Operación Aurora (2009)...... 22 La reacción en cadena de un ataque APT nacional...... 22 Ciclo de vida de los ataques APT...... 23 Fase 1: intrusión inicial aprovechando las vulnerabilidades del sistema...... 24 Fase 2: se instala malware en el sistema afectado ...... 25 Fase 3: se inicia la conexión de salida...... 25 Fase 4: el atacante se propaga lateralmente...... 25 Fase 5: se extraen los datos comprometidos...... 26 El atacante oculta sus huellas y pasa inadvertido...... 27 Indicadores de un ataque APT...... 29 iv | Guía definitiva sobre la protección contra amenazas de próxima generación

Introducción a la protección contra amenazas de próxima generación... 31 Qué se necesita realmente...... 32 Defensas sin el uso de firmas...... 32 Protección además de detección...... 32 Arquitectura de protección multinivel...... 33 Motor de detección de gran precisión ...... 33 Con el respaldo de información sobre amenazas globales...... 33 Definición de la protección contra amenazas de próxima generación....34 Comparación con las defensas basadas en firmas tradicionales... 35 Comparación con las tecnologías de prueba (sandbox)...... 36 Componentes fundamentales...... 38 Malware Protection System...... 39 Motor Virtual Execution...... 39 Central Management System...... 40 Red de información sobre amenazas en la nube...... 40 Análisis de la protección contra amenazas de próxima generación...... 41 Cómo funciona...... 41 Despliegues en línea y fuera de banda...... 44 Características fundamentales...... 44 Ejecución virtual de objetos sospechosos...... 45 Bloqueo fast-path...... 45 Archivos maliciosos en cuarentena...... 46 Administración centralizada...... 47 Reglas personalizadas...... 48 Integración con la suite antivirus...... 48 Controles de acceso basados en funciones...... 49 Panel...... 49 Informes...... 50 Alertas...... 51 Integración de NGTP en la infraestructura de TI existente...... 51 SIEM...... 52 Security Intelligence and Analytics...... 52 Administración de incidentes...... 53 Selección de la solución de NGTP adecuada...... 55 Qué evitar...... 55 Criterios importantes para la compra...... 56 Plataforma de NGTP integrada para inspección de la Web, el correo electrónico y los archivos...... 57 Supervisión del tráfico entrante y saliente...... 57 Inspección de una gran variedad de tipos de archivo...... 57 Solución con análisis manual de malware...... 58 Sin falsos positivos ni falsos negativos...... 59 Posibilidad de reglas personalizadas...... 59 Interfaz de usuario intuitiva...... 59 Asistencia al cliente que responda...... 60 Glosario...... 61 Prólogo

ras mis reuniones con líderes nacionales y con clientes Tde todo el mundo, he descubierto que existe una enorme disparidad entre el nivel de seguridad que demandan ellos para sus redes y el disponible cuando usan herramientas de seguridad tradicionales. La razón es que la nueva generación de ciberataques ya forma parte de sus vidas diarias, pero ellos siguen trabajando con herramientas basadas en modelos tecnológicos con décadas de antigüedad. Todo el sector de la seguridad debe cambiar de mentalidad porque a base de mejoras graduales no pueden llenarse los vacíos que crea la amenaza de los sofisticados ciber­ delincuentes de la actualidad. Ya he dicho en público que el modelo actual de ciberseguridad no puede alargarse más y requiere un planteamiento totalmente nuevo. Por eso me siento tan animado después de leer esta guía definitiva. Estoy más convencido que nunca de que necesitamos educarnos unos a otros y actuar en función de la realidad de los ciberataques de hoy día. Nos encontramos en una “carrera armamentística” que sostienen organizaciones delictivas y estados nacionales con intereses lucrativos y agendas geopolíticas interdependientes. El panorama no pinta bien. Tengo el honor de pertenecer al Comité Asesor en Tele­ comunicaciones para la Seguridad Nacional del Presidente de los Estados Unidos, Barack Obama, y a los consejos de administración de Delta Airlines, Mandiant y Polycom. Desde esta perspectiva, contamos con una oportunidad única para unir el sector público y el privado en una causa común. Juntos, confío en que encontraremos soluciones innovadoras para proteger la infraestructura crítica que compartimos. Sigue causándome asombro que, a pesar de los más de 20 000 millones de dólares que se invirtieron en tecnologías de seguridad informática el año pasado, los ciberdelincuentes y los responsables de las amenazas persistentes avanzadas (APT) puedan entrar de forma ilegal en prácticamente cualquier red y robar datos y perturbar la marcha de los negocios. Esta guía trata sobre cómo paliar estas carencias en la defensa de nuestras redes para plantar cara a la “nueva generación de ciberataques”, tal como Steve lo describe en vi | Definitive Guide™ para la protección contra amenazas de próxima generación

este libro. El espectacular aumento de incidentes relacionados con la ciberseguridad en todo el mundo demuestra hasta qué punto se han intensificado las amenazas y se han sofisticado e intrincado estos ciberataques. Le recomiendo encarecidamente la lectura de esta guía, así como que comparta lo aprendido con sus compañeros y con sus contactos profesionales. Sin tecnologías más avanzadas, una mejor cooperación entre todos los sectores y unos lazos más fuertes entre el sector público y el privado, no podemos detener esta próxima generación de ciberataques. Por mi parte, incorporándome a FireEye, ratifico mi empeño en producir plataformas de vanguardia para afrontar los problemas de ciberseguridad más difíciles de estos tiempos. Desde mi salida de McAfee se me han presentado numerosas oportunidades de dirigir otras empresas, pero llevo años siguiendo a FireEye a la distancia. Es con mucha ilusión que me incorporo a una empresa con una tecnología tan revolucionaria. Respecto a esta guía, espero que ofrezca una base para desplegar una plataforma de protección frente a las amenazas de próxima generación y que sirva para configurar una red más segura y más resistente a los ataques.

David DeWalt Consejero Delegado de FireEye Introducción

n los últimos años, empresas y organismos públicos han Esido víctimas de un sinfín de ciberataques consumados de una sofisticación y un alcance sin precedentes. A pesar de los 20 000 millones de dólares gastados al año en defensas de seguridad tradicionales, las empresas se encuentran luchando contra una nueva generación de ciberataques, como malware avanzado y amenazas persistentes avanzadas (APT, Advanced Persistent Threats), que son dinámicos, sigilosos y que comprometen con gran éxito las redes actuales. Si existe alguna posibilidad de impedir que estos adversarios motivados ataquen nuestros sistemas, roben nuestros datos y dañen nuestra infraestructura crítica, pasa por que cambiemos de forma de pensar. Debemos ser conscientes de las limitaciones de las defensas tradicionales basadas en firmas y aprovechar la nueva tecnología para detectar y detener la nueva generación de ciberataques. Afortunadamente, hay una solución: introducir protección contra amenazas de próxima generación (NGTP, Next-Generation Threat Protection), una nueva e innovadora plataforma de seguridad para redes que ha demostrado ser de ayuda para ganar la batalla contra las amenazas de próxima generación. Si es el responsable de la seguridad de la red de su empresa, no debe perderse esta guía. Resumen de los capítulos Capítulo 1, "Definición de las amenazas de próxima generación": analiza asombrosas estadísticas sobre las fugas de datos más importantes, describe los ciberataques contra empresas y organismos públicos recientes más sonados, expone los costos típicos asociados a ataques consumados y compara los ciberataques tradicionales con los de próxima generación. Capítulo 2, "Conocer al enemigo": define tres tipos de ciberenemigos (ciberdelincuentes, ejecutores de amenazas de Estado y hacktivistas) y describe por qué consiguen sortear las defensas de seguridad tradicionales. Capítulo 3, "Anatomía de los ciberataques avanzados": define las APT y examina los ejemplos más notorios de los titulares de la prensa internacional. El capítulo profundiza después en la posible "reacción en cadena" de una APT viii | Definitive Guide™ para la protección contra amenazas de próxima generación

consumada en una infraestructura crítica, analiza en detalle cada una de las cinco fases del ciclo de vida de las APT y enumera los indicadores para detectar APT en su empresa. Capítulo 4, "Introducción a la protección contra amenazas de próxima generación": llega al fondo de la cuestión y define la NGTP, describe las características de una solución de NGTP ideal y compara la NGTP con las defensas tradicionales basadas en firmas y las tecnologías de entorno de prueba (sandbox). Capítulo 5, "La protección contra amenazas de próxima generación al detalle": amplía el capítulo 4 con detalles precisos sobre la forma en que la NGTP mitiga la nueva generación de ciberataques en mensajes de correo electrónico, comunicaciones web y archivos en reposo. Explora las características clave de las principales soluciones de NGTP y describe formas habituales de integrarlas en una infraestructura de red existente. Capítulo 6, "Selección de la solución de NGTP adecuada": proporciona una descripción exacta sobre qué buscar (y, lo que es más importante, qué evitar) a la hora de comprar una solución de NGTP. Glosario proporciona definiciones prácticas de terminología clave (que aparece en cursiva) utilizada en este libro.

Iconos prácticos

SUGERENCIA Las sugerencias proporcionan consejos prácticos que puede aplicar en su empresa.

NO OLVIDE Cuando vea este icono, tome nota ya que el contenido relacionado contiene información clave que conviene recordar.

ATENCIÓN Actúe con cautela porque, de lo contrario, puede salirle caro a usted y a su empresa.

INFO TÉCNICA El contenido asociado a este icono es de naturaleza más técnica y está destinado a profesionales de TI.

EN LA WEB ¿Desea obtener más información? Visite la URL correspondiente para acceder a contenido adicional disponible en la Web.

Capítulo 1

Definición de las amenazas de próxima generación

En este capítulo

•• Revisión de estadísticas recientes sobre fugas de datos •• Análisis de ciberataques tradicionales •• Descripción del malware avanzado, las amenazas zero-day y las amenazas persistentes avanzadas

os ciberataques actuales son más sofisticados que Lnunca. En el último año, hemos presenciado fugas de datos alarmantes de una complejidad y una magnitud sin precedentes. Como consecuencia, todos los CISO se han visto obligados a reconsiderar la seguridad de la red de sus empresas. Al mismo tiempo, el sector de la ciberdelincuencia se ha transformado completamente, pasando desde la piratería por pura diversión a los ciberataques con ánimo de lucro o, en algunos casos, con fines políticos. Los ciberdelincuentes actuales están bien formados e incorporan técnicas de ataque sofisticadas que no pueden ser combatidas con las defensas tradicionales basadas en firmas, que son insuficientes. Actualmente, las empresas se enfrentan a una nueva generación de ciberataques. Estas amenazas multivectoriales y multifase eluden fácilmente las defensas de seguridad tradicionales, como firewalls, sistemas de prevención de intrusiones (IPS, Intrusion Prevention Systems), puertas de enlace seguras de la Web y del correo electrónico, y plataformas antivirus. Entonces, ¿cuál es la gravedad del problema? Veamos algunas estadísticas y referencias recientes a algunos de los ciberataques más nefastos de nuestra época. 2 | Definitive Guide™ para la protección contra amenazas de próxima generación

Estadísticas estremecedoras Varios reputados organismos de investigación de ciberseguridad supervisan las tendencias de los ciberataques contra empresas. Entre estos se encuentra el equipo Verizon RISK (Response, Intelligence, Solutions and Knowledge), que publica un informe anual de investigaciones de fugas de datos ampliamente reconocido. En 2012, Verizon analizó 855 incidentes de seguridad de datos que tuvieron lugar el año anterior y que dieron lugar a 174 millones de registros afectados. El análisis de Verizon generó algunas estadísticas estremecedoras:

;; El 98 % de los incidentes fue originado por agentes externos (aumento del 6 % respecto del año anterior) ;; El 85 % tardó semanas en descubrirse (aumento del 6 %) ;; El 81 % estaba asociado a algún tipo de piratería (aumento del 31 %) ;; El 69 % incorporaba malware (aumento del 20 %)

EN LA WEB Para descargar una copia gratuita del informe de Verizon, visite www.verizonbusiness.com. También en 2012, FireEye, líder en protección contra amenazas de próxima generación, publicó su informe de amenazas avanzadas (primera mitad de 2012). Según este informe, las empresas sufren cada semana un promedio de 643 eventos maliciosos basados en la Web, que consiguen superar las defensas de seguridad tradicionales, como firewalls, sistemas de prevención de intrusiones y software antivirus. En comparación con el mismo periodo en 2011, el número de infecciones por empresa aumentó en un 225 %. EN LA WEB Para descargar una copia gratuita del informe de FireEye, visite www.fireeye.com/info-center/. Pese a los aumentos globales en gastos de seguridad de la información (lo que equivale a más de 20 000 millones anuales en servicios y productos de seguridad de la información), está creciendo el porcentaje de fugas de datos como resultado de la piratería externa y los ataques que incorporan malware, y todavía se tarda varias semanas en descubrir los principales ataques a la seguridad de los datos. Capítulo 1 : Definición de las amenazas de próxima generación | 3

Víctimas recientes A menos que las empresas y los organismos públicos adopten un nuevo enfoque más sofisticado para mitigar las amenazas de próxima generación, continuarán copando los titulares de las noticias de maneras que jamás hubieran deseado. A continuación se incluye una muestra de los últimos ataques más relevantes dirigidos a empresas y a Administraciones, que emplean técnicas de piratería avanzadas: Ataques contra empresas ;; Global Payments (marzo de 2012): ataque ocurrido en enero de 2011, en el que un hacker filtró datos de más de 7 millones de tarjetas de crédito. El incidente le costó a este procesador de tarjetas de crédito cerca de 85 millones de dólares y su exclusión temporal de la lista de Visa y MasterCard. ;; Citigroup (junio de 2011): la empresa reveló que un ciberataque dio lugar al robo de más de 360 000 números de tarjetas de crédito, 3400 de los cuales fueron utilizados para robar más de 2,7 millones de dólares. ;; RSA Security (marzo de 2011): los ciberatacantes robaron datos relacionados con tokens SecurID comprometiendo así su seguridad.

SUGERENCIA Vaya al recuadro “RSA Security describe el ataque APT” del capítulo 3 para obtener más información sobre este ataque. Ataques contra la Administración ;; Departamento de Hacienda de Carolina del Sur (octubre de 2012): un hacker filtró cerca de 3,6 millones de números de la Seguridad Social y 387 000 números de tarjetas de crédito y débito a través de un ciberataque externo. ;; Agencia de Protección Ambiental de los Estados Unidos (EPA) (agosto de 2012): los números de la Seguridad Social, las claves bancarias y las direcciones postales de más de 5000 empleados de la EPA quedaron expuestos al público después de que un empleado hiciera clic en un adjunto de correo electrónico malicioso. ;; Irán (mayo de 2012): se desplegó el malware Flame supuestamente desarrollado por los Estados Unidos e Israel para frenar el programa nuclear de Irán. 4 | Definitive Guide™ para la protección contra amenazas de próxima generación

El costo del fracaso

NO OLVIDE Con el fin de mitigar las amenazas tradicionales y de próxima generación, las empresas de seguridad de TI deben implementar una estrategia de defensa en profundidad (capas de defensas de seguridad de redes y endpoints). No hacerlo les podría salir caro. De hecho, podría llevar a una empresa a la bancarrota. En 2012, el Ponemon Institute (www.ponemon.org) publicó su tercer informe anual titulado "2012 Cost of Cyber Crime Study: United States" (Estudio sobre el costo de la ciberdelincuencia en 2012: Estados Unidos). Tras analizar el costo de las fugas de datos de 56 empresas establecidas en los Estados Unidos, Ponemon puso de manifiesto que el costo medio anualizado del ciberdelito para cada empresa era de 8,9 millones de dólares, en un rango de 1,4 a 46 millones de dólares. Esto supone 8,4 millones de dólares más que en 2011 (aumento del 6 %). Ponemon también calculó que el promedio de ciberataques consumados por semana para cada empresa era de 102, 72 más por semana que en 2011 (aumento del 42 %). EN LA WEB Para descargar una copia gratuita del informe de Ponemon, visite www.ponemon.org/library. Las empresas víctimas de fugas de datos a gran escala se enfrentan a enormes costos, incluidos:

;; Costos de investigaciones y análisis forenses ;; Costos de comunicaciones con clientes y socios ;; Costos de relaciones públicas ;; Pérdidas de ingresos debido a daños en la reputación ;; Sanciones por el incumplimiento de normativas oficiales ;; Demandas civiles y honorarios de representación

En lo que respecta a la protección contra los ciberataques, se aplica el viejo dicho de "más vale prevenir que curar". Las empresas deben incorporar protección contra amenazas de próxima generación en su arquitectura de defensa en profundidad para mantenerse a la vanguardia de la nueva generación de ciberataques, por su propio bien y por el bien de sus clientes y accionistas. Capítulo 1 : Definición de las amenazas de próxima generación | 5

Panorama de amenazas actual Las empresas y los organismos públicos actuales se enfrentan a decenas de ciberataques. Voy a simplificar el panorama de las amenazas agrupando los ciberataques en dos grandes categorías: amenazas tradicionales y amenazas de próxima generación. Amenazas tradicionales Los ciberataques tradicionales descritos en esta sección son antiguos, pero todavía cumplen su objetivo. Así que, no hay que subestimarlos. Pese a que, por lo general, pueden ser detectados por dispositivos IPS, firewalls de próxima generación (NGFW, Next-Generation FireWalls) y software antivirus, a veces las nuevas variantes pueden pasar inadvertidas. Gusanos, troyanos y virus Un gusano informático es un programa de malware independiente que se autorreplica —normalmente gracias a las vulnerabilidades de los sistemas operativos— en una red para propagarse. Los gusanos causan problemas en la redes consumiendo ancho de banda, pero también proporcionan un vector de ataque "lateral" que puede infectar sistemas internos supuestamente protegidos o extraer datos. A diferencia de un virus informático, un gusano no se anexa a otros programas o archivos. Un troyano (o caballo troyano) suele hacerse pasar por una aplicación de software útil, con el propósito final de persuadir a un usuario para que proporcione acceso a una computadora. Los troyanos pueden autorreplicarse en el sistema infectado, pero no pueden propagarse a otras computadoras vulnerables por sí solos; suelen incorporarse a redes de equipos infectados (denominadas "redes de bots"; consulte la sección siguiente) donde esperan para recibir más instrucciones y en las que envían información robada. Los troyanos pueden descargarse a través de spam o de redes sociales, o pueden camuflarse como el programa de instalación pirateado de un juego o una aplicación conocidos. Un virus informático es un código malicioso que puede ser más o menos grave, desde ser una ligera molestia hasta tener consecuencias devastadoras. Se adjunta a un programa o archivo para poder propagarse de una computadora a otra y dejar así infecciones a su paso. Sin embargo, a diferencia de un gusano, un virus no puede distribuirse sin intervención humana. 6 | Definitive Guide™ para la protección contra amenazas de próxima generación

Spyware y redes de bots El spyware es software que recopila encubiertamente información del usuario a través de una conexión a Internet sin que el usuario se dé cuenta, normalmente con fines publicitarios (adware, software que muestra anuncios emergentes), pero a veces para robar datos confidenciales como nombres de usuario, contraseñas y números de tarjetas de crédito. Las aplicaciones de spyware suelen agruparse como un componente oculto de programas shareware o freeware descargados de Internet. Una vez instalado, el spyware supervisa la actividad del usuario y luego transmite encubiertamente esa información en segundo plano a otra persona.

INFO TÉCNICA Una red de bots es un grupo de computadoras conectadas por Internet en las que se ejecuta el malware. Cada dispositivo afectado se denomina bot (o zombi) y el humano que controla una red de bots recibe el nombre de dueño de la red de bots (o botmaster). El comando y control de una red de bots suele requerir servidores web (denominados servidores de comando y control o CnC, por sus siglas en inglés) utilizados con el fin específico de controlar bots, aunque algunas redes de bots más antiguas son gestionadas por el dueño de la red de bots mediante Internet Relay Chat (IRC). Los bots se utilizan con frecuencia para cometer ataques de denegación de servicio, transmitir spam, almacenar datos robados y/o descargar malware adicional en la computadora host infectada. Ataques de ingeniería social Los ataques de ingeniería social —como phishing y baiting— son extremadamente comunes. Como mencionaré en el capítulo 3, estos ataques, cuando tienen éxito, pueden dar lugar a ciberataques mucho más amplios y sofisticados. El phishing es un intento de adquirir información (y, de forma indirecta, dinero), como nombres de usuarios, contraseñas, información de tarjetas de crédito y números de documentos de identidad, haciéndose pasar por una entidad de confianza en una comunicación por correo electrónico. Tras hacer clic en un hipervínculo (aparentemente inocente), el usuario recibe instrucciones para introducir sus datos personales en un sitio web falso que tiene un diseño casi idéntico al legítimo. El phishing puede tener un propósito en particular, como en los siguientes casos: ;; Phishing selectivo: se dirige a una o varias personas concretas de una empresa. Los agresores suelen recabar con antelación información personal sobre su objetivo con el fin de aumentar sus probabilidades de éxito. Capítulo 1 : Definición de las amenazas de próxima generación | 7

;; Whaling: phishing dirigido específicamente a altos ejecutivos y otros objetivos de peso de una empresa.

Baiting: tiene lugar cuando un delincuente deja a propósito una memoria USB o un CD-ROM en un parking o un cibercafé. La unidad o disco suele tener escritas palabras como "sueldos de los ejecutivos" o "confidencial de la empresa" con el fin de despertar el interés de quienquiera que lo encuentre. Cuando la víctima accede al soporte, instala el malware en su computadora. Desbordamientos de búfer e inyecciones SQL Los desbordamientos de búfer y los ataques de inyección SQL son dos técnicas de uso frecuente que aprovechan vulnerabilidades. Un desbordamiento de búfer es un ciberataque en el que el hacker escribe más datos en un búfer de memoria de los que admite el búfer, según su diseño original. Algunos de estos datos invaden la memoria adyacente y hacen que la aplicación de escritorio o basada en la Web ejecute arbitrariamente código con privilegios superiores o que incluso se bloquee. Por lo general, los desbordamientos se activan mediante entradas de hackers o archivos/objetos web maliciosos diseñados para ejecutar código o alterar el funcionamiento del programa. Una inyección SQL ataca bases de datos a través de un sitio web o una aplicación basada en la Web. El atacante envía instrucciones SQL en un formulario web en un intento de lograr que la aplicación web transmita el comando SQL malicioso a la base de datos. Un ataque de inyección SQL consumado puede revelar contenido de la base de datos (como números de tarjetas de crédito y de documentos de identidad, entre otros) al atacante. Amenazas de próxima generación Las defensas de seguridad tradicionales basadas en firmas — incluidas las soluciones IPS, NGFW y antivirus— están diseñadas principalmente para detectar amenazas conocidas. Pero en la actualidad, los principales titulares están protagonizados por amenazas desconocidas. SUGERENCIA Esta sección analiza en detalle los ciberataques más peligrosos a los que se enfrentan las empresas y los organismos públicos en la actualidad. En el capítulo 2, explicaré por qué las defensas de seguridad tradicionales son inadecuadas para detectarlos y prevenirlos. 8 | Definitive Guide™ para la protección contra amenazas de próxima generación

Amenazas zero-day Una amenaza zero-day es un ciberataque que aprovecha una vulnerabilidad desconocida de una aplicación o de un sistema operativo. Se llama así porque el ataque se lanza el mismo día (día cero) que se hace pública la vulnerabilidad o, cada vez con más frecuencia, incluso antes y, en muchos casos, antes de que el proveedor la conociera. (En ocasiones, el proveedor ya tiene constancia de la vulnerabilidad, pero no la ha hecho pública porque todavía no se ha creado un parche).

NO OLVIDE Los ataques zero-day son extremadamente eficaces porque pueden pasar inadvertidos durante largos periodos (normalmente, varios meses, pero a veces durante años) y cuando finalmente son identificados en circulación, la creación de un parche para la vulnerabilidad todavía tarda días o incluso semanas. Amenazas persistentes avanzadas Las amenazas persistentes avanzadas (APT) (también conocidas como ataques selectivos avanzados o ATA) son sofisticados ataques en los que una persona no autorizada obtiene acceso a una red y permanece en ella durante un largo periodo sin ser detectada. El propósito de una APT es robar datos más que causar daños en la red. Las APT van dirigidas a empresas de sectores con información muy valiosa, como procesadores de tarjetas de crédito, organismos públicos e instituciones financieras. Las APT suelen recurrir al phishing selectivo (consulte la sección "Ataques de phishing y baiting" anterior) para obtener acceso inicial a la red. Una vez que se ha infectado un host inicial, la APT utiliza una estrategia lenta y discreta para eludir la detección. SUGERENCIA El capítulo 3 está dedicado al tema de las APT y describe cómo algunos ciberdelincuentes sofisticados han utilizado tácticas lentas y discretas en algunas de las fugas de datos más importantes hasta la fecha. Aunque yo he propuesto una definición para las APT en esta guía, existen distintas definiciones en el sector de seguridad de la información. Algunos afirman que las ATP solo las cometen las naciones (como China y Rusia) por intereses políticos y reservan el término ATA para ataques con intereses económicos. Otros utilizan el término para definir cualquier ciberataque "sofisticado", independientemente de la metodología empleada. Sin embargo, creo que mi definición refleja la opinión mayoritaria de los profesionales de seguridad de la información. Capítulo 1 : Definición de las amenazas de próxima generación | 9

Amenazas polimórficas Una amenaza polimórfica es un ciberataque —como un virus, gusano, spyware o troyano— que cambia constantemente (se transforma), por lo que es prácticamente imposible de detectar con defensas basadas en firmas. Las amenazas polimórficas pueden evolucionar de varias formas, como con cambios de nombre del archivo y nivel de compresión (tamaño del archivo). Aunque el aspecto del código de una amenaza polimórfica cambia con cada "mutación", la función esencial sigue siendo, por lo general, la misma. Por ejemplo, un programa de spyware concebido para actuar como un keylogger (malware no autorizado que registra las pulsaciones de las teclas) continuará ejecutando esa función aunque su firma haya cambiado. La evolución de las amenazas polimórficas ha dificultado con creces el trabajo de los profesionales de seguridad de TI. Los proveedores que fabrican productos de seguridad basados en firmas se ven abocados a crear y distribuir constantemente nuevas firmas de detección de amenazas (una opción muy lenta y costosa, cabe añadir), mientras que las empresas y los organismos públicos —a menudo con miles de hosts que proteger (especialmente hosts de Microsoft Windows; consulte el recuadro "Por qué Windows es tan propenso a los ciberataques")— despliegan continuamente las firmas que producen sus proveedores de seguridad. Es un círculo vicioso, siempre a la zaga de los ciberdelincuentes, que parece no tener fin. Amenazas combinadas Una amenaza combinada es un ciberataque que combina elementos de varios tipos de malware y que, normalmente, emplea varios vectores de ataque (con distintas rutas y objetivos de ataque) para aumentar la gravedad del daño y la velocidad del contagio. Nimda, CodeRed y Conficker son solo unos pocos ejemplos conocidos de amenazas combinadas. Una amenaza combinada generalmente presupone:

;; Varios medios de propagación ;; El aprovechamiento de vulnerabilidades de sistemas operativos y/o aplicaciones ;; El intento de causar daño a hosts de redes 10 | Definitive Guide™ para la protección contra amenazas de próxima generación

ATENCIÓN En general, las amenazas combinadas están consideradas por los profesionales de seguridad de la información como el peor riesgo para la seguridad de una red desde la aparición de los virus, ya que la mayoría de ellas no requieren intervención humana para propagarse.

Por qué Windows es tan propenso a los ciberataques Prácticamente todas las fugas de claramente, con la seguridad como datos sonadas que encontramos en un aspecto secundario. En otras la prensa especializada —cuando palabras, Windows fue diseñado menos las originadas por amenazas para que el usuario tuviera acceso procedentes de Internet, más que completo a todo el sistema operativo. las relacionadas con el robo físico de Sin embargo, años después —a partir portátiles o unidades de memoria de Windows NT— Windows se USB— son fruto de un ciberataque modificó para que admitiera varios contra un host Microsoft Windows. usuarios. Pero, en lugar de rediseñar Windows desde cero como un sistema ¿Significa esto que los hosts con operativo multiusuario, Microsoft Windows son más propensos a los prefirió mantener la compatibilidad ciberataques? Los expertos en con programas creados para versiones seguridad de TI creen que es así y, de Windows más antiguas. en términos generales, ofrecen dos explicaciones —que yo considero De esta forma, Microsoft dejó perfectamente válidas. Windows llenó de agujeros (vulnerabilidades) para uso y disfrute La primera explicación está meramente de los hackers. Tantos, de hecho, que relacionada con la cuota de mercado el segundo martes de cada mes ha de los sistemas operativos de sistemas pasado a conocerse como "Patch de escritorio de cuasimonopolio que Tuesday" (martes de parches): posee Microsoft, especialmente en cuando Microsoft publica nuevos entornos empresariales. Si bien las parches (a través de sus boletines estimaciones de los analistas varían, de seguridad) para hacer frente a la mayoría ponen de manifiesto las vulnerabilidades en los sistemas que aproximadamente 9 de cada operativos Windows. Aunque los 10 dispositivos informáticos de martes de parches se remontan usuarios finales utilizan un sistema a 2004, todavía se hallan en pleno operativo Windows. Por lo tanto, funcionamiento en la actualidad. cuando los hackers más sofisticados desarrollan gusanos, troyanos, ¿Significa esto que los sistemas redes de bots y ataques de phishing operativos que no están basados selectivo complejos, Windows es en Windows están completamente claramente el objetivo elegido. a salvo de virus, malware y otros ciberataques? Obviamente, no. La segunda explicación tiene un Pero como Mac OS X y Linux fueron carácter más "técnico". Windows, así diseñados desde cero con la seguridad como su antecesor Microsoft DOS, como prioridad, estas plataformas son fue diseñado para ser un sistema mucho menos susceptibles. operativo de un solo usuario —

Capítulo 2

Conocer al enemigo

En este capítulo

•• Clasificación de los ciberenemigos en tres clases •• Cómo sortean los atacantes la defensas de seguridad tradicionales

"Si conoces al enemigo y te conoces a ti mismo, ni en cien batallas correrás peligro. Si te conoces a ti mismo pero no conoces al enemigo, perderás una batalla y ganarás otra". — Sun Tzu, El arte de la guerra

onocer al enemigo” es un tema crucial del manuscrito “CEl arte de la guerra de Sun Tzu que, sin lugar a dudas, está estrechamente relacionado con la guerra contra los ciberataques actuales (y ahora, contra el ciberterrorismo). Antes de pasar a explicar en profundidad la anatomía de las amenazas persistentes avanzadas (capítulo 3) y cómo protegernos de ellas (capítulo 4), vamos a dedicar algo de tiempo a conocer a nuestros enemigos, así como a entender sus motivaciones y el porqué de su éxito. ¿Quién es el enemigo? La imagen de los ciberatacantes ha cambiado considerablemente con el paso de cada década. En los años 70 y 80, estaba en boga el phone phreaking (manipulación no autorizada de equipos de conmutación telefónica, principalmente, para hacer llamadas de larga distancia gratuitas). En 1983, la película "Juegos de guerra", protagonizada por un joven Matthew Broderick, dio a conocer al público en general la piratería mediante el uso de un módem, y nació la leyenda de los hackers como ciberhéroes. 12 | Definitive Guide™ para la protección contra amenazas de próxima generación

La década de los 90 trajo consigo la adopción generalizada de Internet, incluida la aparición de la World Wide Web. En aquel entonces, los hackers manipulaban los sitios web públicos con el objetivo principal de presumir sobre sus habilidades —hasta el cambio de siglo. NO OLVIDE La piratería se ha transformado ahora en una industria que mueve miles de millones de dólares. Atrás quedaron los días de la piratería por pura diversión. En la actualidad los autores de los ciberataques a los que deben enfrentarse las empresas y los organismos públicos se pueden dividir en tres categorías: ciberdelincuentes, ejecutores de amenazas auspiciadas por Estados y hacktivistas. Ciberdelincuentes Dicho de manera simple, los ciberdelincuentes son personas que cometen acciones de piratería informática para obtener un beneficio económico. En la mayoría de los casos, penetran en las redes de las empresas con el fin de robar números de tarjetas de crédito (a veces, decenas o incluso cientos de miles) y venderlos en el mercado libre. Aunque no son tan rentables, las credenciales de cuentas de Facebook, Twitter y correo electrónico también se venden por una buena suma. Uno de los ciberdelincuentes más famosos jamás condenado es Albert Gonzalez. En 2010, Gonzalez fue acusado de piratear las bases de datos de una empresa regional de procesamiento de pagos con tarjeta de crédito y robar más de 170 millones de números de tarjetas de crédito a lo largo de dos años. Fue condenado a 20 años de cárcel, la condena más dura impuesta a un ciberdelincuente hasta la fecha. Ejecutores de amenazas de Estado Podría decirse que el cambio más notable en la comunidad de hackers en la última década ha sido la aparición de personas que llevan a cabo amenazas auspiciadas por un país. Se trata de personas contratadas por un gobierno (no necesariamente su propio gobierno) para introducirse en sistemas informáticos de empresas y/o Administraciones públicas de otros países con el propósito de comprometer datos, sabotear sistemas informáticos o, incluso, entablar una guerra cibernética. China y Rusia se cuentan entre los países más frecuentemente citados por reclutar personal para llevar a cabo este tipo de amenazas. Pero no son los únicos. A continuación, se enumeran ejemplos conocidos de ciberataques supuestamente perpetrados por naciones, incluidos los Estados Unidos: Capítulo 2 : Conocer al enemigo | 13

;; Se acusa a Irán de ciberataques contra bancos estadounidenses y compañías petroleras en Arabia Saudí y Qatar (2012). ;; Se acusa a los Estados Unidos e Israel de crear el malware Flame contra Irán, Siria y otros países (2012). ;; China decodifica tokens SecurID de RSA (2011). ;; Se acusa a los Estados Unidos e Israel de lanzar el gusano Stuxnet contra unas instalaciones de enriquecimiento de uranio en Irán (2010). ;; China ataca a Google (la llamada "Operación Aurora") para acceder a las cuentas de Gmail de activistas chinos de los derechos humanos; el mismo ataque se dirige a Adobe, Juniper, Dow Chemical y Northop Grumman, entre otros (2009). ;; China roba planos de nuevos cazabombarderos de ataque conjunto norteamericanos, el F-35 y F-22 (2009). ;; Rusia ataca los sitios web del parlamento, ministerios, bancos y periódicos estonios durante el traslado del Soldado de bronce de Tallinn (2007).

Irán lanzó recientemente un ambicioso programa gubernamental de 1000 millones de dólares para potenciar las capacidades cibernéticas nacionales. Los expertos consideran que aunque la capacidad de guerra cibernética de China y Rusia es muy superior a la de Irán, en términos políticos, es mucho más probable que Irán ataque la infraestructura cibernética de los Estados Unidos a la vista del actual estancamiento internacional respecto del programa nuclear iraní. Hacktivistas El hacktivismo consiste en utilizar herramientas digitales con fines políticos. A diferencia de los ciberdelincuentes que tienen una motivación económica, los hacktivistas obedecen a una motivación política. Entre los ciberataques típicos realizados por hacktivistas se incluyen la manipulación de sitios web, redireccionamientos, robo de información y sentadas virtuales mediante ataques de denegación de servicio distribuidos (DDoS) (colapsar sitios web con cientos o miles de conexiones simultáneas y reiterativas). Algunos hacktivistas han unido sus fuerzas contra un objetivo común. En 2011, LulzSec reivindicó la autoría de varios 14 | Definitive Guide™ para la protección contra amenazas de próxima generación

ciberataques sonados, incluidos numerosos ataques contra Sony y el colapso del sitio web de la Agencia Central de Inteligencia (CIA) de los Estados Unidos. En 2012, Anonymous se atribuyó la responsabilidad de colapsar varios sitios web públicos israelíes tras los ataques aéreos de Israel en Gaza.

Cibermercenarios a sueldo En el informe "Defense Dossier" resultar especialmente abrumador (Expediente de defensa) de agosto para muchos occidentales que de 2012, el Consejo Americano de no pueden imaginar cómo un Política Exterior (AFCP, American gobierno puede estar tan ligado a un Foreign Policy Council: www.afpc. elemento delictivo. org) alegaba que, presuntamente, Rusia subcontrata algunos de Rusia no es la única nación que sus ciberataques de Estado colabora con ciberdelincuentes. a ciberdelincuentes, incluidos Los expertos en seguridad de miembros de la otrora famosa Red la red FireEye (www.fireeye. de Negocios Rusa (RBN, Russian com), líder en protección contra Business Network). Hasta su supuesta amenazas de próxima generación, desaparición en 2008, RBN participó hallaron pruebas que respaldan la en casi todos los planes ciberdelictivos idea tan extendida de que China imaginables —phishing, malware colabora con ciberdelincuentes y ataques DDoS, entre otros. para comprar el acceso a equipos previamente infectados como una Según el informe de la AFPC, forma más eficaz de infiltrarse en hay dos motivos por los que las organizaciones elegidas. Rusia subcontrata trabajo a los ciberdelincuentes o, como yo los En 2011, los investigadores de llamo, cibermercenarios. En primer FireEye detectaron una APT lugar, es extremadamente rentable, de tipo malware asociada a ya que estos cibermercenarios Ghostnet, una operación de se sacan un dinero extra cuando ciberespionaje a gran escala con no trabajan para el Estado. Y en una infraestructura de comando segundo lugar, incluso después de y control con base en China, en investigaciones forenses cibernéticas un equipo que también llevaba exhaustivas, sus ciberataques no malware tradicional asociado pueden atribuirse a computadoras a operaciones ciberdelictivas. de organismos públicos. Esto puede ¿Una coincidencia? No lo creo. Capítulo 2 : Conocer al enemigo | 15

Cómo se impone el enemigo Ahora que tiene un sólido conocimiento de los tres principales tipos de ciberatacantes —ciberdelincuentes, ejecutores de amenazas de Estado y hacktivistas—, explicaré por qué sus ataques tienen tanto éxito. Sortear las defensas basadas en firmas Los productos de seguridad tradicionales para redes y endpoints —como sistemas de prevención de intrusiones (IPS), firewalls de próxima generación (NGFW), puertas de enlace de la Web seguras y soluciones antivirus— se basan en firmas que emplean la correspondencia con patrones (a veces denominados reglas o filtros) para detectar ciberataques conocidos y, en algunos casos, desconocidos contra vulnerabilidades conocidas. Estas defensas de seguridad son sumamente eficaces para detectar ciberataques tradicionales conocidos, como gusanos, troyanos, spyware, redes de bots y virus informáticos básicos. Pero como ya apunté en el capítulo 1, resultan tremendamente ineficaces para detectar la nueva generación de ciberataques, como ataques selectivos, zero-day, malware polimórfico, ataques combinados y APT. De hecho, en la mayoría de los casos, la nueva generación de ciberataques atraviesa las defensas de seguridad tradicionales como si ni siquiera estuvieran allí. Esto se debe simplemente a que no existen firmas para detectar las tácticas avanzadas utilizadas en la primera fase de un ataque general que acaba dando rienda suelta a los ciberatacantes en la red.

ATENCIÓN No me malinterprete. Las defensas tradicionales basadas en firmas son elementos decisivos de una estrategia de defensa en profundidad equilibrada. Simplemente mantengo que no son suficientes para protegerse contra la nueva generación de ciberataques que trascienden los canales de comunicación (por ejemplo, la Web y el correo electrónico) y tienen lugar en varias fases. Elusión de las defensas basadas en anomalías Las mejores soluciones de IPS y análisis del comportamiento de la red (NBA, Network Behavior Analysis) incorporan métodos de detección basados en anomalías para ayudar a identificar ciberataques sofisticados. Agregan registros 16 | Definitive Guide™ para la protección contra amenazas de próxima generación

de flujo (por ejemplo, NetFlow, sFlow, cFlow) de routers y conmutadores de red, y analizan el tráfico "normal" de la red durante algunos días o incluso semanas. Una vez que se han establecido los valores de referencia, es posible detectar anomalías de la red, como un host que envía cantidades desorbitadas de datos fuera de la empresa o un dispositivo informático de un usuario final que se comunica directamente con otros dispositivos de usuarios finales. Si bien las defensas de seguridad basadas en anomalías pueden detectar ciertos eventos causados por amenazas de próxima generación, tienen escaso éxito porque son bastante proclives a falsos positivos (clasificación errónea del tráfico bueno como malo). Asimismo, también son proclives a falsos negativos (clasificación errónea del tráfico malo como bueno) debido a la naturaleza "lenta y discreta" de las amenazas persistentes avanzadas. Capítulo 3

Anatomía de los ciberataques avanzados

En este capítulo

•• Definición detallada de una amenaza persistente avanzada (APT, Advanced Persistent Threat) •• Examen de las APT más notorias de los titulares de la prensa internacional •• Descripción del ciclo de vida de los ataques APT

n el capítulo 1 he explicado las diferencias entre los Eciberataques tradicionales y los de nueva generación. En el capítulo 2 hemos visto por qué las amenazas de próxima generación están tan bien equipadas que son capaces de sortear las defensas de seguridad tradicionales. Ahora me gustaría analizar la categoría de ciberataques avanzados que acapara con diferencia el mayor número de titulares en la prensa. Me refiero, por supuesto, a las amenazas persistentes avanzadas, o APT por sus siglas en inglés. En este capítulo ampliaré la definición de APT que proporcioné en el capítulo 1. Expondré algunos de los titulares más destacados que han suscitado las APT en los últimos años y después analizaré su efecto perjudicial en las empresas y organismos públicos afectados. El capítulo concluye con la descripción del ciclo de vida de los ataques APT y con una lista de indicadores que ayudan a determinar si una red ha sido víctima de uno de estos ataques. Las APT en profundidad En el capítulo 1, definíamos una APT, o amenaza persistente avanzada, como "un ataque sofisticado en el que una persona no autorizada obtiene acceso a una red y permanece en ella durante un largo periodo de tiempo sin ser detectada". Aunque es una 18 | Definitive Guide™ para la protección contra amenazas de próxima generación

definición perfectamente cierta, solo revela parte de la realidad. Las APT no se parecen a ningún ciberataque conocido hasta ahora. En realidad, la expresión "amenaza persistente avanzada" fue acuñada en 2006 por los analistas de seguridad de la información de las Fuerzas Aéreas estadounidenses. Describe tres aspectos de los atacantes, a saber, su perfil, su intención y su estructura: ;; Avanzados: el atacante es un experto en métodos de ciberintrusión y sabe diseñar herramientas y exploits personalizados. ;; Persistentes: el atacante tiene un objetivo a largo plazo y trabaja con persistencia para alcanzarlo sin ser detectado y sin preocuparse del factor tiempo. ;; Amenazas: el atacante está organizado, financiado, bien formado y sumamente motivado.

NO OLVIDE En general las APT están consideradas como el tipo de ciberataque más peligroso de nuestros días. Los ciberdelincuentes que emplean ataques APT son de una especie distinta. Son expertos en "volar por debajo del radar" para evitar ser detectados mientras extraen datos altamente confidenciales de empresas y organismos gubernamentales. Por desgracia, la mayoría de las organizaciones no saben que son víctimas de un ataque APT hasta que es demasiado tarde. Según el mismo informe de Verizon que mencionaba en el capítulo 1, el 2012 Data Breach Investigations Report, el 59 % de las organizaciones encuestadas que experimentaron fugas de datos importantes en 2011 tuvieron conocimiento del ataque ¡al recibir una notificación de las fuerzas de seguridad! Lo que una APT no es Aunque es importante comprender qué es una APT, es igualmente importante comprender lo que no es. Una APT no es una muestra aislada de malware, ni siquiera varias juntas. No es una actividad independiente y nunca se inicia sin tener pensado un blanco u objetivo específico. Ya se originen por beneficios económicos, opiniones políticas personales o intereses nacionales, las APT son campañas prolongadas y bien coordinadas cuya intención es conseguir un objetivo contra un blanco específico. Como descubrirá muy pronto (consulte el apartado "Ciclo de vida de los ataques APT" más adelante en este capítulo), las APT incorporan múltiples técnicas de ciberataque y tienen lugar en varias fases que forman un único ataque coordinado. Capítulo 3: Anatomía de los ciberataques avanzados | 19

Tres mitos sobre los ataques APT

Las APT figuran entre los temas portátiles y de escritorio) rara vez más candentes de debate en el se ven afectados. Esta idea es una mundo actual de la seguridad de completa falacia y en realidad ocurre la información. Lamentablemente, todo lo contrario. En casi todos los sobre las APT circula casi tanta casos, el punto inicial de entrada de desinformación como información una APT es el dispositivo informático precisa. Dediquemos un momento de un usuario final comprometido a reflexionar sobre los tres mitos por un ataque de phishing selectivo, más comunes que rodean las un troyano u otra forma de malware. amenazas persistentes avanzadas. Mito n.º 3: las APT pueden Mito n.º 1: solo determinados detenerse con las defensas de sectores son blanco de las APT. seguridad tradicionales. Una de las ideas equivocadas es Casi todos los proveedores de que solo las grandes empresas de seguridad de la información se determinados sectores son blanco atribuyen al menos cierta capacidad de las APT. Sabemos que es falsa para detectar y, en algunos casos simplemente por los titulares (lea el impedir, ataques APT. Lo cierto es apartado "Las APT en las noticias"). que muy pocos pueden. Las defensas Se han denunciado APT en una gran de seguridad tradicionales a base de variedad de sectores, como el sector firmas de detección de amenazas público, los servicios financieros, las (como las soluciones de prevención telecomunicaciones, la energía, el de intrusiones, los firewalls de transporte e incluso la seguridad de próxima generación y los antivirus) la información, como demuestra el son prácticamente incapaces de ataque contra RSA Security en 2011. detectar los ataques desconocidos y las amenazas polimórficas. Contar Mito n.º 2: las APT solo se dirigen únicamente con las defensas de a endpoints importantes. seguridad tradicionales es como El segundo mito sobre las APT es presentarse en un tiroteo con una que su objetivo son únicamente navaja de bolsillo. Directamente no los sistemas de importancia crucial tienes nada que hacer. y que los usuarios finales (equipos

Las APT en las noticias Últimamente parece que ninguna semana termina sin que salga a la luz una gran fuga de datos en una empresa, universidad u organismo público. A continuación describo algunos de los ataques APT que más interés periodístico han despertado en los últimos cuatro años. 20 | Definitive Guide™ para la protección contra amenazas de próxima generación

EN LA WEB Para mantenerse al corriente de las fugas de datos más importantes que afectan a organismos públicos y privados, recomiendo encarecidamente The Data Breach Blog de la revista SC Magazine, en www.scmagazine.com/the-data- breach-blog/section/1263/. Flame (2012) Flame, también conocido como Flamer, sKyWiper y Skywiper, es una APT que identificaron en mayo de 2012 el centro MAHER (equipo de respuesta ante emergencias informáticas de Irán), Kaspersky Lab y la Universidad de Tecnología y Economía de Budapest. Kaspersky Lab recibió de la Unión Internacional de Telecomunicaciones de las Naciones Unidas el encargo de investigar las denuncias de un virus que estaba afectando a las computadoras del Ministerio de Petróleo iraní. Los expertos informáticos consideran que Flame es el proyectil de un ataque que en abril de 2012 obligó a los funcionarios iraníes a desconectar Internet en sus instalaciones petrolíferas. Ahora la opinión generalizada es que Estados Unidos e Israel desarrollaron el malware Flame para reunir información y preparar un cibersabotaje que debía ralentizar la capacidad de Irán para desarrollar un arma nuclear. Tras la primera fase del exploit, Flame pone en marcha un complejo conjunto de operaciones, entre ellas contactar con sus servidores de comando y control para descargar otros módulos de malware. Completamente desplegado, Flame es un programa inusitadamente grande para ser malware, ya que suma 20 megabytes, un tamaño entre 20 y 30 veces superior al de los típicos virus informáticos. Está ampliamente reconocido como el malware más sofisticado creado jamás. Los expertos creen que Flame, diseñado para hacerse pasar por una actualización rutinaria de software de Microsoft, se creó para cartografiar y vigilar en secreto las redes informáticas iraníes y enviar constantemente datos en preparación para una campaña de guerra cibernética. Ataque a RSA SecurID (2011) En marzo de 2011, RSA Security (una división de EMC) reveló que había sido víctima de una APT. Como consecuencia, tuvo que informar a sus clientes del sistema de autenticación de dos factores SecurID y aconsejarles que cambiaran las llaves electrónicas (o tokens) infectadas. Durante los meses siguientes, empezaron a recibirse noticias de fugas de datos causadas, en parte, por tokens SecurID comprometidos. En particular, Lockheed Martin hizo pública una declaración Capítulo 3: Anatomía de los ciberataques avanzados | 21

admitiendo que "sofisticados adversarios" habían causado una brecha de seguridad en su red, aunque la empresa aseguró que ninguno de sus activos se había visto afectado. No obstante, algunos expertos en seguridad sospechan que el mayor contratista de defensa del país no fue del todo sincero sobre un fallo de seguridad del que al parecer se informó personalmente al presidente Obama.

EN LA WEB Poco después de que RSA Security difundiera la noticia del ataque, un directivo de la compañía publicó un blog con intrincados detalles sobre cómo se perpetró la APT en varias fases. Para obtener más información, consulte el recuadro "RSA Security describe el ataque APT" más adelante en este capítulo. En el informe trimestral 10-Q de EMC se dio a conocer que el ataque APT contra RSA Security había generado un costo de 81.3 millones de dólares entre la sustitución de los tokens SecurID, la supervisión de los clientes, el refuerzo de los sistemas internos y la resolución de las consecuencias de la vulneración de seguridad. Stuxnet (2010) Stuxnet es un gusano informático muy sofisticado descubierto en junio de 2010 que supuestamente llevaba implantado más de un año y que se estaba utilizando junto con un ataque APT contra la infraestructura de enriquecimiento de uranio de Irán. En la primera fase, Stuxnet se propagó atacando una vulnerabilidad de Microsoft Windows y después se extendió lateralmente en la red hasta infectar selectivamente equipos y software industrial de Siemens e impedir su buen funcionamiento. Aunque no es la primera vez que los hackers atacan sistemas industriales, sí es el primer caso documentado de malware que incluye un rootkit para controladores lógicos programables (PLC). Siemens afirmó que el gusano no había causado ningún daño a sus clientes, pero las instalaciones nucleares iraníes adquireron de manera clandestina material de Siemens embargado, que había resultado dañado por Stuxnet durante el ataque. Curiosamente, debido a sus múltiples mecanismos de propagación, Stuxnet salió de las instalaciones iraníes e infectó Chevron, el gigante del petróleo. Sin embargo, según los directivos de esta compañía, Stuxnet se percató de que Chevron no era el blanco previsto y, al estar programado para contener su carga perjudicial en tales casos, puso fin al ciclo de vida del ataque. Como resultado, no dañó los sistemas de Chevron y la empresa pudo eliminar el gusano. 22 | Definitive Guide™ para la protección contra amenazas de próxima generación

Los expertos han hallado evidencias en el código fuente de Stuxnet que relacionan el ataque APT con Estados Unidos e Israel, aunque los representantes de ambos países niegan esta acusación. Operación Aurora (2009) La Operación Aurora fue un sonado ataque APT que se inició a mediados de 2009 y se prolongó hasta diciembre del mismo año. Google hizo pública su existencia por primera vez en enero de 2010, en una entrada de un blog donde se indicaba que el ataque se había originado en China y que estaba dirigido contra las cuentas de Gmail de los defensores chinos de los derechos humanos. También fueron víctimas docenas de empresas, incluidas Yahoo, Symantec, Northrop Grumman, Morgan Stanley y Dow Chemical. Dos días después del ataque, McAfee declaró que los atacantes habían aprovechado una vulnerabilidad desconocida en Microsoft Internet Explorer y denominó el ataque "Operación Aurora". Una vez infectado el sistema de una víctima, la etapa siguiente del ataque consistía en establecer una conexión clandestina, disfrazada de conexión SSL, con servidores de comando y control basados en Illinois, Texas y Taiwán, algunos de los cuales eran sistemas que funcionaban con ID de cuentas de clientes robadas a Rackspace. A partir de ahí el equipo de la víctima iniciaba una búsqueda lateral de fuentes de propiedad intelectual, en concreto del contenido de los repositorios de código fuente. La reacción en cadena de un ataque APT nacional En el capítulo 1 (en el apartado "El costo del fracaso"), enumeraba los costos más frecuentes a los que se enfrentan las empresas cuando son víctimas de una fuga de datos a gran escala, incluidos los de análisis forenses, sanciones oficiales y pérdidas de ingresos. Pero, ¿qué ocurriría si los responsables de una APT decidieran atacar algo un poco más estratégico que los datos de una empresa? Imaginemos, por ejemplo, un ataque APT coordinado contra las compañías eléctricas de una región extensa de Estados Unidos, como el Nordeste. Imaginemos ahora que los delincuentes lograran infectar los sistemas SCADA (supervisión de control y adquisición de datos) que controlan la red eléctrica de varios Estados y que desactivaran el servicio durante días o incluso semanas. ¿Puede imaginar la reacción en cadena de un ataque como este? Capítulo 3: Anatomía de los ciberataques avanzados | 23

;; Fallan las redes eléctricas ;; Las gasolineras no pueden servir combustible ;; Los cajeros automáticos no pueden dispensar efectivo ;; Las tiendas de comestibles se vacían ;; Los hospitales y los servicios de emergencia no pueden trabajar

¿Piensa que un ataque de esta naturaleza es imposible? Piénselo otra vez. Según un informe de 2012 titulado "Terrorism and the Electric Power Delivery System" (El terrorismo y el sistema de suministro eléctrico) del National Research Council, el huracán Sandy se quedaría en nada frente a un ciberataque consumado a una red eléctrica regional. El malware que se distribuye por Internet diseñado para destruir sistemas de control podría provocar un apagón durante semanas o meses en grandes regiones del país y generalizar disturbios entre la población. De acuerdo con este informe, los perjuicios de un ataque de este tipo costarían miles de millones de dólares más que la destrucción causada en 2012 por el huracán Sandy en la costa este. EN LA WEB Para acceder al informe del National Research Council, visite www.nap.edu/catalog.php?record_id=12050. Ciclo de vida de los ataques APT La anatomía de las amenazas persistentes avanzadas varía tanto como las víctimas a las que se dirigen. Sin embargo, los expertos en ciberseguridad que han investigado las APT durante los últimos cinco años han descubierto en ellas un ciclo de vida bastante sistemático compuesto por varias fases diferenciadas:

;; Fase 1: intrusión inicial aprovechando las vulnerabilidades del sistema ;; Fase 2: se instala malware en el sistema afectado ;; Fase 3: se inicia la conexión de salida ;; Fase 4: el atacante se propaga lateralmente ;; Fase 5: se extraen los datos comprometidos 24 | Definitive Guide™ para la protección contra amenazas de próxima generación

Analicemos ahora en detalle cada una de las fases del ciclo de vida de las APT. Fase 1: intrusión inicial aprovechando las vulnerabilidades del sistema La primera fase de un ataque APT consiste en irrumpir en un sistema de la organización seleccionada para infectarlo. Si se logra detectar un intento de aprovechar la vulnerabilidad de un sistema para irrumpir en él, resulta mucho más sencillo identificar y contener el ataque APT. Pero si las defensas no pueden detectar esta tentativa inicial, contener el ataque APT es bastante más complicado, porque el atacante ha logrado infectar el endpoint, puede alterar sus medidas de seguridad y ocultar sus acciones a medida que el malware se propaga por la red y extrae información. Este tipo de ataques suelen realizarse a través de la Web (exploit remoto) o de los archivos adjuntos a un mensaje de correo electrónico (exploit local). El código del exploit está integrado en un objeto web (por ejemplo, JavaScript, JPG) o un archivo (por ejemplo, XLS, PDF) que infecta el sistema operativo o la aplicación vulnerable, y permite al atacante ejecutar código, como código shell, para conectar con los servidores de comando y control y descargar más malware. En el ataque contra RSA Security en 2011, un mensaje de correo electrónico con el asunto “2011 Recruitment plan.xls” (“Plan de contratación 2011.xls”) persuadió a un empleado para que abriera una hoja de cálculo Microsoft Excel adjunta cuya carga maliciosa logró infectar el sistema a través de una vulnerabilidad desconocida en Adobe Flash. (Para obtener más información, consulte el recuadro "RSA Security describe el ataque APT" más adelante en este capítulo). INFO TÉCNICA El código del exploit del sistema que desarrollan los atacantes tiene como fin dañar la memoria o causar un desbordamiento del búfer en el sistema operativo o la aplicación vulnerable, lo que permite la ejecución de código arbitrario. En el caso de los exploits locales, suelen utilizarse técnicas de ingeniería social para iniciar con el usuario la interacción necesaria para culminar la infección. En el caso de los exploits remotos, como las descargas desapercibidas de Internet, la única interacción necesaria es que el usuario visite la página web. Capítulo 3: Anatomía de los ciberataques avanzados | 25

Fase 2: se instala malware en el sistema afectado Una vez dentro del sistema de la víctima, se ejecuta código arbitrario para instalar el malware. Basta con visitar una página web o simplemente hacer doble clic con el ratón para que el sistema del usuario se infecte con la carga útil del malware. INFO TÉCNICA No todos los correos electrónicos de phishing selectivo que envía el autor de una amenaza APT contienen datos adjuntos. Muchos contienen hipervínculos que, cuando el usuario hace clic en ellos, abren un navegador web (o a veces otra aplicación, como Adobe Reader, Microsoft Word o Microsoft Excel). Cada vínculo se redirige a su vez a una dirección oculta con una clave de codificación en base64. La dirección oculta conduce a un dropsite, un sitio depósito que examina el navegador en busca de vulnerabilidades y devuelve un descargador de troyanos. Al ejecutarse, el descargador transmite una instrucción codificada en base64 a otro dropsite distinto del que se descarga un troyano (malware). Fase 3: se inicia la conexión de salida El malware instalado durante la fase anterior a menudo contiene una herramienta de administración remota o RAT, por sus siglas en inglés. En cuanto está configurada y activa, la RAT "llama a casa", para lo cual establece una conexión de salida, con frecuencia un canal cifrado con SSL, entre la computadora infectada y un servidor de comando y control que manejan los autores de la amenaza APT. Estos se toman tantas molestias porque necesitan establecer comunicaciones salientes que eludan los firewalls tradicionales y de próxima generación, que permiten que el tráfico de la sesión fluya de forma bidireccional si se inicia desde la red de confianza. En cuanto la RAT logra conectar con el servidor de comando y control, el atacante tiene pleno control sobre el host infectado. Las instrucciones que envía a partir de ese momento se transmiten a la RAT a través de dos vías: o bien el servidor de comando y control conecta con la RAT o viceversa. Esta última es la vía preferida, ya que es mucho menos sospechoso que un host inicie una conexión externa desde dentro de la red. Fase 4: el atacante se propaga lateralmente Es muy improbable que el dispositivo informático del usuario final vulnerado en un principio contenga datos estratégicos. 26 | Definitive Guide™ para la protección contra amenazas de próxima generación

Por lo tanto, el atacante de la APT debe propagarse lateralmente a través de la red en busca de los hosts que manejan los administradores de TI (con objeto de robar credenciales administrativas) y de servidores y bases de datos de gran valor que contengan datos confidenciales: el objetivo último del ataque APT. Así es como funcionaba Flame.

INFO TÉCNICA El movimiento lateral no implica necesariamente el uso de malware o de herramientas distintas de las que incluye el sistema operativo del host comprometido, como shells de comandos, comandos de NetBIOS, VNC, Windows Terminal Services u otras herramientas similares que utilizan los administradores de red para dar servicio a hosts remotos. Una vez identificado el blanco final y reunidas las credenciales adecuadas de inicio de sesión, el duro trabajo y la determinación del atacante empiezan a dar sus frutos. Fase 5: se extraen los datos comprometidos En esta etapa de la intrusión en la red, el responsable de la APT tiene tres obstáculos que vencer. En primer lugar, si transfiere todos los datos seleccionados de una sola vez (los datos suelen cuantificarse en gigabytes), podría activar una alerta de anomalía de flujo (si se utiliza tecnología NBA; consulte el capítulo 2) por el volumen inusualmente elevado de tráfico iniciado por el servidor o la base de datos atacada. En segundo lugar, el atacante debe asegurarse de que nadie pueda relacionarle con el host que recibe los datos. Y, por último, si transfiere los datos como texto normal, podría activar una alerta del sistema de prevención de fugas de datos (DLP). Veamos cómo superan los tres obstáculos los experimentados perpetradores de amenazas APT. Para vencer el primer obstáculo, el astuto atacante extrae los datos que le interesan del servidor o la base de datos en "bloques", quizá en incrementos de 50-100 megabytes. Una estrategia es agrupar archivos o registros en archivos RAR comprimidos y protegidos con contraseña. INFO TÉCNICA Algunos archivos RAR pueden formar parte de secuencias de varios volúmenes, lo que permite al atacante dividir una gran cantidad de datos en volúmenes. Cada archivo RAR tendría una extensión que describiría el número del volumen, como parte1.rar (primer volumen), parte2.rar, parte3.rar, y así sucesivamente. El segundo obstáculo es un poco más difícil. El atacante necesita extraer los datos lo antes posible, pero no puede arriesgarse Capítulo 3: Anatomía de los ciberataques avanzados | 27

a enviarlos a un host cuyo rastro permita localizarle. Para resolver esta dificultad, puede seleccionar un host virtual alojado en un proveedor de servicios en la nube como zona de almacenamiento temporal. De este modo, el host puede destruirse inmediatamente una vez que se han extraído los datos. El tercer y último obstáculo de esta fase puede solucionarse cifrando los archivos RAR antes de transferirlos (normalmente por FTP) al host provisional. La mayoría de los archivos RAR admiten el fuerte cifrado AES de 128 bits, que es más que suficiente. El atacante oculta sus huellas y pasa inadvertido NO OLVIDE Si una empresa u organismo público abriga alguna esperanza de detectar una APT, es mucho más probable que lo logre cuando el ataque está en marcha. El motivo es que la mayoría de los atacantes de APT son extremadamente buenos a la hora de borrar sus huellas. He aquí algunas de las tácticas que utilizan los responsables de ataques APT durante y después del ataque para reducir al mínimo el riesgo de detección:

;; Implantan malware para distraer al personal de seguridad de TI y mantenerlo ocupado en otras cosas. ;; Lo propagan a los recursos compartidos de archivos de red, que están relativamente desprotegidos y solo se borran por completo en circunstancias extremas. ;; Borran los archivos comprimidos una vez extraídos del servidor de almacenamiento provisional. ;; Borran el servidor provisional si está alojado en la nube o lo desconectan si está bajo su control. ;; Desinstalan el malware en el punto de entrada inicial. 28 | Definitive Guide™ para la protección contra amenazas de próxima generación

RSA Security describe el ataque APT Después de la fuga de datos de de privilegios con las cuentas de RSA Security en marzo de 2011 los usuarios no administrativos de (descrita anteriormente en este otros sistemas. Repitió este proceso capítulo en el apartado "Las APT en hasta dar con un blanco valioso: la las noticias"), la empresa publicó en computadora de un administrador su blog corporativo la descripción de servidores de TI. exacta de cómo sucedió el ataque. Poco después, el atacante localizó Según un directivo de la empresa, unos servidores altamente comenzó con un ataque de phishing confidenciales (que supuestamente selectivo dirigido a determinados contenían algoritmos secretos empleados, posiblemente de autenticación de dos identificados a través de redes factores SecurID), los infectó sociales. En este caso, el atacante y estableció acceso a servidores de envió dos correos electrónicos almacenamiento temporales en diferentes con phishing selectivo puntos de agregación claves para a dos grupos pequeños de empleados preparar la extracción. Entonces en un periodo de dos días; los entró en los servidores de su interés, mensajes llevaban el asunto "Plan de eliminó los datos y los trasladó contratación 2011.xls" y una hoja de a los servidores provisionales cálculo Microsoft Excel adjunta. donde se procedió a su agrupación, compresión y cifrado para extraerlos. Los correos estaban lo suficientemente bien diseñados Finalmente, el atacante utilizó el para persuadir a uno de los FTP para transferir los archivos empleados para que recuperara el RAR, protegidos con numerosas mensaje de su carpeta de correo contraseñas, del servidor de basura (spam) e hiciera doble clic archivos de RSA a un servidor en el archivo Excel adjunto. Sin él temporal externo en una máquina saberlo, la hoja de cálculo contenía comprometida de un proveedor de un exploit desconocido que instaló alojamiento web. Después extrajo una herramienta RAT a través de los archivos y los eliminó del host una vulnerabilidad de Adobe Flash. externo infectado para borrar todas Una vez instalada, la RAT inició una las huellas del ataque. conexión saliente con la que el atacante obtuvo pleno control del A título personal diré que aplaudo sistema del usuario. a RSA Security por revelar los detalles precisos de este ataque Como el PC comprometido APT. Al tener conocimiento de inicialmente no era un activo toda la trama, otras empresas estratégico, la siguiente táctica del pueden aprender del infortunio de atacante consistió en desplazarse RSA y quizá implementar nuevas lateralmente por la red infectando estrategias y tecnologías —incluida hosts adicionales. En primer lugar se la protección contra amenazas de hizo con las credenciales de acceso próxima generación (consulte el del primer PC afectado, incluidas capítulo 4)— para mitigar el riesgo las necesarias para acceder a una real de ataques APT. cuenta de administrador de dominio. A continuación realizó una escalada Capítulo 3: Anatomía de los ciberataques avanzados | 29

Indicadores de un ataque APT Aunque las APT son extremadamente difíciles de detectar, la lista siguiente enumera los signos habituales que indican que una empresa puede estar afectada por una amenaza de este tipo. ;; Hallar código para infiltrarse en un sistema en los datos adjuntos a correos electrónicos o descargado de una página web. ;; Detectar un incremento de inicios de sesión con privilegios elevados en medio de la noche. ;; Detectar conexiones salientes a servidores de comando y control conocidos. ;; Hallar troyanos de puerta trasera generalizados en endpoints o en recursos compartidos de archivos de red. ;; Observar flujos de datos voluminosos e inesperados desde el interior de la red, ya sea entre servidores, de servidor a cliente, de cliente a servidor o entre redes. ;; Descubrir grandes bloques de datos (estoy hablando de gigabytes, no de megabytes) en lugares donde no debería haber datos.

ATENCIÓN Desconfíe especialmente si encuentra datos comprimidos en formatos que su empresa no suele utilizar. ;; Comunicaciones de red anómalas cifradas con SSL. ;; Entradas en el registro de eventos de aplicación de Windows con comandos de activación y desactivación del firewall y el antivirus.

SUGERENCIA Una razón fundamental por la que las organizaciones no consiguen identificar los ataques APT es que sus dispositivos de seguridad solo están (o están principalmente) configurados para examinar el tráfico que entra en el perímetro. Adquirir y/o configurar soluciones de seguridad que inspeccionen el tráfico de salida aumenta notablemente las posibilidades de detectar las APT y otros ciberataques. Espero que no tenga nunca que enfrentarse a la fase de limpieza que hace falta después de un ataque APT. Si se da el caso, será una de las cosas más difíciles que tenga que hacer en su carrera en seguridad de la información. La prevención y la detección precoz —con el uso de tecnología de prevención de amenazas de próxima generación— es el mejor modo de limitar las posibilidades de ser víctima de un ataque APT. Para obtener más información sobre esta nueva e innovadora categoría de tecnología de seguridad para redes, pase al capítulo 4. 30 | Definitive Guide™ para la protección contra amenazas de próxima generación

El CSO de servicios financieros recurre a FireEye para cerrar sus brechas de seguridad de TI

Recientemente, el director de línea y supervisar el mismo tráfico seguridad (CSO) de una gran perimetral. Las dos soluciones multinacional de servicios financieros se probaron juntas durante un —miembro de S&P 500 con casi periodo de seis semanas. 10 000 empleados— evaluó las Los resultados de la doble evaluación defensas de seguridad de la red de su fueron concluyentes. El dispositivo empresa y descubrió una brecha que de FireEye detectó entre dos y tres debía cubrirse de inmediato. veces más amenazas legítimas que La brecha se encontraba en la la solución de la competencia, con protección contra una nueva cero falsos positivos. Aunque el generación de amenazas de seguridad dispositivo competidor generó más de TI que las defensas tradicionales alertas que el MPS de FireEye, el basadas en firmas sencillamente no equipo de seguridad de TI demostró pueden detectar. Estas amenazas que se debía a que el primero incluyen los ataques desconocidos, generó numerosos falsos positivos. el malware polimórfico, las amenazas Optar por FireEye frente a la combinadas y las APT, que son las competencia fue una decisión más dañinas. fácil. FireEye no solo ofrece El CSO ordenó a su equipo estudiar la mejor protección contra todas las soluciones avanzadas amenazas avanzadas disponible de protección contra amenazas para inspeccionar el tráfico de disponibles en el mercado para entrada, sino que su filtro de salida determinar cuáles estaban mejor (consulte el capítulo 4) facilita la equipadas para detectar y prevenir detección de conexiones salientes esta nueva clase de ataques a hosts de comando y control y del malintencionados. Tras investigar malware introducido a mano en la más de media docena de ofertas, él organización en portátiles u otros y su equipo redujeron la lista a dos dispositivos móviles. proveedores, uno de los cuales Han transcurrido varios meses era FireEye. y ahora la empresa ya está bien El CSO decidió valorar las dos protegida frente a la nueva soluciones a la vez. Probó el generación de ciberataques: dispositivo FireEye Web Malware se detectan e impiden varios Protection System (MPS) frente intentos casi a diario. Aunque la vida a un dispositivo comparable del no ofrece garantías, actualmente competidor. Ambos dispositivos el CSO de esta empresa duerme se configuraron para funcionar en mucho mejor por las noches.

Capítulo 4

Introducción a la protección contra amenazas de próxima generación

En este capítulo

•• Visualización de una solución perfecta para mitigar los modernos ciberataques actuales •• Definición de la protección contra amenazas de próxima generación y revisión de sus componentes principales •• Comparación de la protección contra amenazas de próxima generación con las tecnologías tradicionales de defensa basadas en firmas y entornos de prueba osandbox

n la actualidad, empresas, universidades y organismos Epúblicos están siendo objeto de una serie de ciberataques sin precedentes tanto en número como en nivel de sofisticación. En este juego interminable del ratón y el gato, el gato tiene las de ganar. A menos que su organización esté preparada, puede ser su siguiente víctima. Espero que la información de los capítulos anteriores le haya servido para comprender la gravedad de las modernas amenazas de próxima generación y por qué las defensas de seguridad tradicionales no permiten neutralizarlas. Ha llegado el momento de presentar una nueva categoría de defensa de seguridad de la red que no existía hasta hace poco tiempo. Estoy refiriéndome, por supuesto, a la protección contra amenazas de próxima generación. He comenzado este capítulo reflexionando (casi fantaseando) sobre lo que realmente se necesita para luchar contra los ciberataques actuales más sofisticados. El siguiente paso será definir la protección contra amenazas de próxima generación y explicar sus componentes y características fundamentales. 32 | Definitive Guide™ para la protección contra amenazas de próxima generación

Tenemos muchos aspectos que tratar en este capítulo. Empecemos por examinar lo que el mundo realmente necesita para anticiparse a las amenazas de próxima generación. Qué se necesita realmente En un mundo perfecto no habría ciberataques. El malware, los troyanos o las amenazas persistentes avanzadas (APT) no existirían. Además, las empresas, las universidades y los organismos públicos no tendrían que gastar más de 20 000 millones de dólares al año para neutralizarlos. Pero, por desgracia, no vivimos en un mundo perfecto. El dinero y la política están alimentando las iniciativas de ciberdelincuentes, hacktivistas y ejecutores de amenazas de Estado para utilizar cualquier herramienta que tengan a su alcance con el fin de infiltrarse en la red de su organización. Puesto que no vivimos en un mundo perfecto, comentaremos lo que la sociedad necesita para ir un paso por delante de los delincuentes. Defensas sin el uso de firmas Hoy día, las organizaciones necesitan un nuevo modelo de protección contra amenazas en el que la arquitectura de defensa en profundidad incorpore una capa que prescinda del uso de firmas para neutralizar especialmente la nueva generación de ciberataques. Aunque las defensas de seguridad tradicionales son fundamentales para bloquear los ciberataques conocidos, la experiencia ha demostrado que los ciberataques desconocidos están aumentando y son más preocupantes. Ahora que los ataques desconocidos (zero-day), polimórficos y de amenazas persistentes avanzadas son prácticamente desconocidos y se están convirtiendo en el medio habitual para tener éxito, el mundo necesita para frenarlos una solución que no utilice firmas. Protección además de detección Los sistemas de detección de intrusiones (IDS) precedieron a los sistemas de prevención de intrusiones (IPS). Por definición, los sistemas de detección de intrusiones solo pueden detectar las amenazas conocidas (o amenazas desconocidas dirigidas contra vulnerabilidades conocidas). Con el paso del tiempo, las organizaciones reclamaron que los IDS no solo detectaran los ciberataques sino que también los neutralizasen. Así aparecieron los sistemas de prevención de intrusiones (IPS). En esta línea, el mundo necesita una plataforma de protección contra amenazas avanzadas que no solo encuentre la aguja Capítulo 4 : Introducción a la protección contra amenazas de próxima generación | 33

en el pajar, sino que también neutralice todos los posibles vectores de entrada. Arquitectura de protección multinivel En un mundo perfecto, la tecnología de la información tendría bajo control cualquier dispositivo de computación conectado a la red. En tal caso solo tendría que preocuparse de los ciberataques lanzados desde fuera de la red que intentan infiltrarse por la periferia. No cabe duda de que el auge de la computación móvil y las políticas en las empresas que incentivan el uso por parte de los empleados de sus dispositivos personales (lo que se conoce en inglés como BYOD, bring your own device) en ocasiones han abierto la puerta a los ciberataques. El mundo necesita una solución de protección contra amenazas avanzadas que no solo supervise los ciberataques lanzados desde el exterior hacia el interior, sino también en sentido contrario y en todos los niveles, ya que, de esta forma, intentan establecer contacto con el agresor o propagarse lateralmente por la red. Si no puede frenar la entrada de amenazas a través de la Web, el correo electrónico o la puerta principal de la oficina, al menos puede impedir la comunicación con el exterior y la propagación. Motor de detección de gran precisión Al igual que ocurre con las defensas basadas en firmas tradicionales, la clave es la precisión de la detección. Lo que el mundo necesita para protegerse de forma adecuada contra las amenazas de próxima generación es una solución de protección contra amenazas avanzadas de alta precisión, sin falsos positivos (archivos inofensivos clasificados como peligrosos) ni falsos negativos (archivos peligrosos clasificados como inofensivos).

ATENCIÓN Las plataformas de seguridad con funcionalidades de detección deficientes generan falsos positivos y falsos negativos. Los falsos positivos son especialmente “inoportunos” por la cantidad de su valioso tiempo que dedican los analistas de seguridad a perseguir falsas alarmas. Por su parte, los falsos negativos pueden ser “fatales para la empresa” porque el malware atraviesa el dispositivo de seguridad de la red sin ser detectado. Con el respaldo de información sobre amenazas globales Cada ciberataque tiene una “zona cero”: un solo host que es el primero al que se dirige un determinado ciberataque en todo el mundo. Lo que se necesita a nivel global es un mecanismo que 34 | Definitive Guide™ para la protección contra amenazas de próxima generación

permita a los sistemas de protección contra amenazas avanzadas compartir la información tanto dentro de cada organización como entre diferentes organizaciones de todo el mundo. Puede que no vivamos en un mundo perfecto, pero existe una solución perfecta para rechazar los ataques más sofisticados que se producen en la actualidad. La clave de esta solución es la protección contra amenazas de próxima generación. Definición de la protección contra amenazas de próxima generación La protección contra amenazas de próxima generación (o NGTP por sus siglas en inglés) pertenece a una nueva generación de tecnologías de seguridad de la red específicamente diseñadas para identificar y evitar los nuevos ciberataques modernos. Concebida para mejorar los sistemas de seguridad tradicionales, en lugar de sustituirlos, la NGTP introduce una nueva capa en la arquitectura de defensa en profundidad con el fin de crear un tejido de protección contra las amenazas que ofrezca protección contra los ciberataques que pasan inadvertidos a las defensas basadas en firmas habituales. Las plataformas NGTP normalmente se suministran en determinados dispositivos montados en bastidor de alto rendimiento. Los proveedores de NGTP predilectos ofrecen una plataforma integrada que examina el tráfico de mensajes de correo electrónico, el tráfico de la Web y los archivos en reposo, y comparte la información sobre las amenazas entre dichos vectores de ataque.

ATENCIÓN Las plataformas NGTP no se parecen a ningún dispositivo de seguridad de la red disponible en el mercado. Los dispositivos NGTP examinan el tráfico, los archivos o ambos con el fin de detectar miles de características sospechosas, incluidas técnicas de ocultación, como la codificación XOR, y otras prácticas encubiertas. Las sesiones se reproducen en un entorno de ejecución virtual (seguro) (máquinas virtuales con un motor personalizado de virtualización específicamente diseñado para analizar la seguridad) con el fin de determinar si el tráfico sospechoso contiene malware en realidad (la sección “Cómo funciona” de este capítulo ofrece más información sobre este tema). Capítulo 4 : Introducción a la protección contra amenazas de próxima generación | 35

¡Avisen a la brigada antiexplosivos!

Siempre he sido partidario de Tras buscar con ahínco una analogía utilizar analogías con situaciones mejor durante un tiempo, creo reales, y clichés en algunos casos, haberla encontrado. ¿Alguna vez para describir cómo funciona ha oído en las noticias una historia una tecnología determinada o las relacionada con un aviso a la ventajas que ofrece. Creo que he brigada antiexplosivos para que encontrado una analogía perfecta examine una bolsa sospechosa para describir la protección contra que han dejado en un aeropuerto amenazas de próxima generación. o en una zona muy transitada, como Times Square en Nueva Al principio pensé en la semejanza York? En estos casos, la brigada con “encontrar una aguja en un antiexplosivos envía un robot para pajar”. Aunque es acertada en el que examine la bolsa sospechosa, la caso de las soluciones NGTP, en la recoja y la deposite, si es necesario, actualidad las grandes empresas en un camión capaz de resistir y los organismos públicos son explosiones de gran envergadura blanco de ciberataques avanzados sin que afecte a la zona circundante. varias veces al día, por lo que las soluciones NGTP tienen que buscar Si comparamos esta analogía con docenas de agujas en un pajar, en una solución NGTP, la persona que lugar de una sola. avisa a la brigada antiexplosivos es el algoritmo de detección de Después reparé en la analogía con malware, el robot es el subsistema el maniquí de las simulaciones encargado de depositar el malware de accidentes, en la que el tráfico sospechoso en el camión y el camión sospechoso (supuesto malware) es es la sesión virtual empleada para el maniquí y la sesión de Microsoft “activar” el supuesto malware Windows que se ejecuta en el (bolsa sospechosa) y determinar motor Virtual Execution (réplica sus efectos (una explosión), pero en del entorno de destino) es el un entorno seguro. vehículo. Esta analogía tampoco es mala, pero falla porque el coche se Espero que esta analogía le ayude estrella siempre con independencia a entender el funcionamiento de de quién vaya en su interior. la tecnología NGTP y le sirva para Con frecuencia los archivos que explicárselo a otros compañeros examina un dispositivo NGTP son con menos conocimientos técnicos. simplemente inofensivos.

Comparación con las defensas basadas en firmas tradicionales En el capítulo 2 (consulte la sección “Cómo se impone el enemigo”), he explicado por qué y cómo sortean los nuevos ciberataques las defensas de seguridad basadas en firmas tradicionales, como firewalls (con firmas de amenazas), dispositivos IPS, puertas de enlace de correo electrónico 36 | Definitive Guide™ para la protección contra amenazas de próxima generación

y la Web seguras, y antivirus. Como todavía no había presentado la tecnología NGTP, no comparé en el acto estas defensas con las soluciones NGTP, pero lo haré ahora. En la Tabla 4-1 se incluye un resumen comparativo de las defensas basadas en firmas tradicionales y las soluciones NGTP. Recuerde que las soluciones NGTP constituyen una nueva capa arquitectónica que prescinde de las firmas para mejorar las defensas basadas en firmas.

Soluciones Defensas Comparación de protección NGTP tradicionales Detección de malware conocido mediante firmas de IPS   Identificación de ataques en binarios codificados   Reproducción del tráfico sospechoso en un entorno virtual seguro   Inspección del tráfico saliente para bloquear los canales de devolución   de llamadas dinámicos Generación automática de información sobre amenazas para   defenderse de ataques selectivos

Tabla 4-1: Comparación de NGTP con las defensas tradicionales INFO TÉCNICA En la sección “Características fundamentales”, incluida más adelante en este capítulo, se examinan de forma detallada las protecciones que incluye la Tabla 4-1. Comparación con las tecnologías de prueba (sandbox) Un entorno de prueba o sandbox es básicamente una versión autónoma (basada en Windows, por lo general) a pequeña escala de un entorno de computación que ofrece una suite de aplicaciones y servicios mínimos. Originalmente se creó para que los desarrolladores de software probaran un nuevo código de programación en un entorno seguro. Los profesionales de seguridad de la información adoptaron esta tecnología con posterioridad con el fin de examinar manualmente los binarios sospechosos sin comprometer los sistemas de producción. Normalmente, el sistema operativo y las aplicaciones del entorno de prueba (máquina virtual) coinciden con los equipos de escritorio de la organización, por lo que el supuesto malware puede aprovechar las mismas vulnerabilidades inherentes. Capítulo 4 : Introducción a la protección contra amenazas de próxima generación | 37

ATENCIÓN Las organizaciones en las que existen varias configuraciones de equipos de escritorio, como las de mayor tamaño, resultan especialmente vulnerables cuando confían en supuestas soluciones NGTP que incorporan una tecnología básica de entorno de prueba. Si un archivo infectado por malware se analiza en un entorno de ejecución virtual equipado con sistemas operativos o aplicaciones que no reflejan el entorno al que se dirige el malware, el archivo puede clasificarse como inofensivo y convertirse en un falso negativo potencialmente peligroso. Como su nombre indica, un entorno de prueba es un entorno seguro que sirve para “detonar” el posible malware (consulte el apartado anterior “¡Avisen a la brigada antiexplosivos!” de este capítulo) y averiguar qué efectos pretendía producir. Sin embargo, en sí misma no es una técnica de análisis escalable dado el número y el volumen de los objetos sospechosos y los tipos de archivos utilizados para ocultar el código del exploit. Desafortunadamente, los ciberdelincuentes y ejecutores de amenazas APT pueden detectar si el malware se ha ejecutado en un entorno de prueba y, en tal caso, pueden reprimir su carga útil nociva. Por todas estas razones, las tecnologías tradicionales de entorno de prueba no resultan eficaces ante amenazas sofisticadas.

ATENCIÓN Otra advertencia con respecto al uso de tecnologías de sandbox. No importa cómo lo llame el proveedor de NGTP; si el proveedor aloja el componente del entorno de prueba en la "nube", entran en juego consideraciones relacionadas con la seguridad, el rendimiento y la privacidad (consulte el apartado “No se quede atrapado en la nube”). Las soluciones NGTP de más éxito ofrecen alto rendimiento, dispositivos dedicados que permiten probar el supuesto malware in situ en unos segundos, en lugar de tardar minutos u horas, y al mismo tiempo garantizan la confidencialidad de los datos. 38 | Definitive Guide™ para la protección contra amenazas de próxima generación

No se quede atrapado en la nube Algunos proveedores de soluciones Aparte de la cobertura de seguridad NGTP insisten en la posibilidad de limitada, sin una detección de realizar análisis virtual de malware vulnerabilidades precisa o un en la nube, lo que reduce en gran análisis heurístico de filtrado medida el consumo de recursos previo, la exportación de binarios (CPU, memoria, disco) en sus o archivos PDF a la nube para dispositivos de hardware. En este incluirlos en una cola de análisis caso, los dispositivos solo examinan (entre miles de solicitudes) no es pequeñas parcelas secundarias escalable. Este análisis ineficaz de tráfico y redirigen los objetos retrasa la detección del malware sospechosos a la nube, en lugar de y proporciona a los delincuentes examinar el objeto en un entorno una forma sencilla de vulnerar de prueba virtual. los mecanismos de seguridad. Simplemente atasca los canales con Suena bien, ya que la arquitectura binarios o archivos PDF inofensivos. basada en la nube transfiere el análisis, pero cuando se analiza Para terminar, cuando se exportan más detenidamente, este diseño binarios o archivos PDF a la nube presenta tres problemas: cobertura para analizarlos, existe el riesgo de de seguridad, escalabilidad exportar un archivo confidencial y privacidad. sin el conocimiento de la organización. Esto suscita una gran El código malicioso puede estar preocupación en determinados incrustado en docenas de tipos de países europeos en los que las leyes archivos y objetos web diferentes; de confidencialidad son estrictas. sin embargo, en el análisis de malware virtual que se efectúa en Por estas razones, los proveedores la nube solo suelen examinarse de NGTP que lideran el mercado dos o tres tipos de archivos. Con ofrecen dispositivos personalizados frecuencia ocurre que el código de alto rendimiento que no solo malicioso incrustado en un formato analizan el tráfico y neutralizan de archivo no analizado consigue las amenazas, sino que también eludir con facilidad las soluciones realizan pruebas de malware NGTP basadas en la nube. virtuales en el propio entorno.

Componentes fundamentales Ahora que ya se ha hecho una idea de lo que es la protección contra amenazas de próxima generación, incluidas sus analogías con las defensas de seguridad tradicionales y sus diferencias con la tecnología estándar de entorno de prueba, seguiremos profundizando y analizaremos los componentes fundamentales de las principales soluciones NGTP. Capítulo 4 : Introducción a la protección contra amenazas de próxima generación | 39

Malware Protection System En la base de todas las soluciones NGTP se encuentra el componente Malware Protection System (MPS). Este componente analiza todos los tipos de objetos sospechosos que contienen el tráfico de la Web, los mensajes de correo electrónico o los archivos en reposo. Asimismo, utiliza la información sobre amenazas que genera MPS para neutralizar las amenazas conocidas y frenar tanto los ataques entrantes como las comunicaciones salientes no autorizadas.

ATENCIÓN Para identificar la presencia de posible malware en el tráfico de la Web y en los mensajes de correo electrónico emplea tácticas diferentes. Algunos proveedores ofrecen una solución MPS universal que intenta detectar las amenazas en los tres frentes (o en dos, si no es capaz de examinar los archivos en reposo). Esas soluciones deben evitarse porque presentan altos porcentajes de falsos positivos y falsos negativos. También deben evitarse las soluciones NGTP que combinan funciones MPS con otros componentes de seguridad de la red, como firewall, IPS y control de aplicaciones. Estas soluciones suelen ofrecer funciones de análisis “básicas” que se limitan a archivos .exe, .pdf o .dll. Motor Virtual Execution Antes en este capítulo he comentado la función que desempeña el motor Virtual Execution y lo he comparado con la tecnología de entorno de prueba, o sandbox, común. No puedo dejar de hacer hincapié en lo importante que es este componente para la eficacia del sistema de protección contra amenazas de próxima generación y para defender a su organización de los ciberataques avanzados que se producen en la actualidad.

ATENCIÓN Un buen motor Virtual Execution puede filtrar programá­ ticamente los objetos para detectar los que son sospechosos, determinar el perfil de las posibles víctimas y, a continuación, ejecutar el código sospechoso en el sistema operativo y las aplicaciones a las que se dirige con el fin de maximizar las probabilidades de detonar el exploit del sistema y la carga útil peligrosa que lleva aparejada. Prácticamente no debería generar falsos positivos ni falsos negativos. Esto puede marcar la diferencia entre ganar y perder la batalla contra la nueva generación de ciberataques modernos. INFO TÉCNICA Las mejores soluciones NGTP contienen motores Virtual Execution capaces de analizar docenas de tipos de archivos (en lugar de archivos .exe y .dll solamente), incluidos archivos asf, com, doc, docx, dll, exe, gif, ico, jpeg, jpg, mov, mp3, mp4, pdf, png, ppsx, ppt, pptx, qt, rtf, swf, tiff, unk, vcf, xls, xlsx, zip y muchos más. 40 | Definitive Guide™ para la protección contra amenazas de próxima generación

Una vez que el motor Virtual Execution cataloga una supuesta amenaza como malware, genera información sobre ella de forma automática y la distribuye a los demás dispositivos MPS (si dispone de un Central Management System, consulte la sección siguiente), además de a otras organizaciones del mundo (consulte la sección siguiente “Red de información sobre amenazas en la nube”). Central Management System Aunque la mayor parte de los dispositivos NGTP proporcionan una interfaz gráfica de usuario (GUI) basada en la Web para la administración local, los mejores proveedores de NGTP ofrecen una GUI local y un Central Management System separado que facilitan la administración centralizada, la supervisión de amenazas consolidadas, la generación de informes y alertas, y la distribución de información sobre malware. Red de información sobre amenazas en la nube En el apartado anterior de este capítulo, “No se quede atrapado en la nube”, comenté por qué no se considera adecuado analizar el malware en la nube desde el punto de vista de la seguridad, la escalabilidad y la privacidad. Sin embargo, la nube es el sitio perfecto para alojar un componente fundamental de los sistemas NGTP: la red de información sobre amenazas en la nube. La red de información sobre amenazas en la nube interconecta todos los dispositivos MPS, o al menos los de proveedores que ofrecen ese servicio, con el fin de compartir la información relativa a los ciberataques recién descubiertos (perfiles de malware y destinos de devolución de llamadas). Los proveedores de NGTP que ofrecen una red de información sobre amenazas en la nube (no todos la ofrecen) suelen proponer a los clientes dos alternativas: (1) la posibilidad de recibir información sobre amenazas y (2) la posibilidad de compartir y recibir información sobre amenazas. Gran parte de las organizaciones eligen la última opción debido a que los proveedores ofrecen un descuento por compartir la información. SUGERENCIA Para crear la información relacionada con las amenazas solo se necesitan los metadatos de los objetos infecciosos, por lo que las organizaciones no tienen que preocuparse por que los datos confidenciales salgan de la red. Ahora que conoce los componentes básicos de las soluciones NGTP y las diferencias que presentan con respecto a las tecnologías de defensa basadas en firmas tradicionales y de entorno de prueba, continúe con el capítulo 5 para comprender mejor cómo funcionan en realidad las soluciones NGTP.

Capítulo 5

Análisis de la protección contra amenazas de próxima generación

En este capítulo

•• Cómo mitiga la tecnología NGTP las amenazas de próxima generación en los mensajes de correo electrónico, las comunicaciones web y los archivos en reposo •• Análisis de las características fundamentales de las principales soluciones NGTP •• Integración de NGTP en la infraestructura de red existente

as defensas de seguridad basadas en firmas no bastan Lpara neutralizar la nueva generación de ciberataques modernos, como los ataques desconocidos (zero-day), el malware polimórfico, las amenazas combinadas y, lo más importante, las amenazas persistentes avanzadas (APT). La nueva generación de ciberataques requiere un planteamiento completamente nuevo. Ahora que ya sabe qué es la protección contra amenazas de próxima generación (información del capítulo 4), nos ponemos manos a la obra para explicar cómo funciona, cuáles son las características importantes y cómo se integra una plataforma NGTP en la infraestructura de TI existente. Cómo funciona Empecemos por describir la ubicación de los dispositivos MPS en función de cómo llegan las amenazas a la organización. Por norma general, los administradores sitúan los dispositivos MPS en la última línea de defensa para examinar las amenazas recibidas a través del tráfico de correo electrónico o la Web que logran eludir los firewall y sistemas IPS. Los dispositivos web MPS se sitúan detrás de las puertas de enlace de la Web seguras, mientras 42 | Definitive Guide™ para la protección contra amenazas de próxima generación

que los dispositivos Email MPS deberían instalarse detrás de las puertas de enlace antispam y de correo electrónico seguras (pero delante del servidor de correo electrónico de la empresa). Consulte el despliegue típico de los dispositivos web y Email MPS en la Figura 5-1. Los dispositivos MPS también deben desplegarse en el centro de datos para analizar los recursos de archivos compartidos con el fin de frenar la propagación lateral del malware y proteger los datos confidenciales.

Servicio en la nube (correo electrónico) Internet

Puerta de enlace antispam Servidores Router de correo de salida

Firewall

Web MPS (comprobar contenido malicioso CMS en las URL) Email MPS (analizar Conmutador adjuntos de correo para central descubrir APT)

Usuarios SIEM

Figura 5-1: Diagrama de implementación de NGTP típica

NO OLVIDE Los ataques APT se producen en varias fases. Para garantizar la protección en todas las fases, desde el exploit inicial hasta la fuga de datos, debe diseñarse una plataforma MPS que maximice la capacidad para rechazar ataques y evitar la violación de la seguridad. A continuación se describen paso a paso las funciones típicas de un sistema NGTP con la plataforma MPS desplegada: Paso 1: el dispositivo MPS analiza el tráfico entrante y saliente (y los archivos en reposo) para detectar amenazas conocidas, devoluciones de llamadas a centros de comando Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 43

y control, phishing selectivo y binarios/páginas web sospechosos. Cuando se detecta una amenaza conocida o la devolución de llamadas a un centro de comando y control, la conexión se bloquea y se genera una alerta. Paso 2: para detectar ataques zero-day, el dispositivo MPS identifica binarios, adjuntos o páginas web que son sospechosos y los reproduce en un motor Virtual Execution (en el mismo dispositivo) con el fin de analizarlos. Se trata de una reconstrucción de cada byte del mismo tráfico sospechoso dirigido a la víctima elegida. SUGERENCIA Cuando evalúe una solución NGTP, asegúrese de que su componente MPS pueda analizar mucho más que el tráfico HTTP, ya que las amenazas utilizan docenas de protocolos, como HTTP, FTP, IRC, protocolos personalizados y otros. Paso 3: el motor Virtual Execution se inicia con un sistema operativo Microsoft Windows concreto (con parches y sin parches) y con las aplicaciones relacionadas (por ejemplo, Microsoft Office, Microsoft Internet Explorer, Adobe Reader) del host al que se dirige la supuesta amenaza. El objeto se reproduce y se observa para detectar cualquier comportamiento malicioso, como daños en el sistema de archivos raíz, el ataque a una aplicación mediante "heap spray", el registro de un nuevo servicio de Windows o la devolución de una llamada a una URL infectada conocida. Cuando se determina que los binarios son inofensivos, el evento se registra y la máquina virtual se reinicia. Paso 4: cuando se confirma la existencia de actividad maliciosa desconocida, la máquina virtual captura el resto del ciclo de vida del ataque. Además de cargar el malware binario, se graban todas las actividades del host generadas por el malware y el tráfico de la red. Entonces se genera información sobre las amenazas para detener la devolución de llamadas a través de la red, se registra una alarma de alta prioridad, se graban los datos forenses del malware y se crea un nuevo perfil de protección contra el malware para neutralizar esta amenaza, que deja de ser desconocida.

NO OLVIDE El ataque fracasa y los datos confidenciales permanecen seguros en la organización porque el tráfico de devolución de llamadas nunca sale de la red del host actual y el delincuente no lo sabe. Paso 5: la nueva información sobre amenazas se remite al sistema Central Management System (CMS), desde donde se distribuye a otros dispositivos MPS de la organización. Si la organización está suscrita a la red de información sobre amenazas en la nube (consulte el capítulo 4), todas las organizaciones integrantes quedan protegidas al instante. 44 | Definitive Guide™ para la protección contra amenazas de próxima generación

Despliegues en línea y fuera de banda Las organizaciones tienen dos alternativas a la hora de desplegar los dispositivos Email y Web MPS. Pueden configurarlos para que funcionen en línea (activo) o fuera de banda (pasivo). (Los dispositivos MPS de recursos de archivos compartidos siempre se configuran fuera de banda para analizar archivos en reposo y pueden poner los objetos maliciosos de estos recursos en cuarentena si se configuran para ello). Los despliegues en línea permiten a la organización evitar que los ciberataques avanzados recién identificados se repitan en el futuro porque impiden la devolución de llamadas a los servidores de comando y control. El dispositivo MPS se sitúa directamente en el flujo del tráfico (igual que un IPS o un agente de transferencia de mensajes, o MTA). Los dispositivos MPS también se pueden configurar para que funcionen fuera de banda en el modo solo de supervisión, en el que el motor MPS genera una alerta cuando detecta ciberataques (igual que IDS), o en el modo de restablecimiento TCP, en el que el MPS envía paquetes de restablecimiento TCP a cada partner de sesión para interrumpir las sesiones TCP fraudulentas. SUGERENCIA Para que funcione fuera de banda, conecte el dispositivo web o Email MPS a un puerto SPAN de conmutación duplicado. Si no hay ningún puerto SPAN disponible, bastará con un puerto de acceso para pruebas (TAP) de red (de Gigamon, VSS Monitoring, NetOptics y otros); también puede configurar agentes de transferencia de mensajes de subida para enviar una copia oculta al dispositivo Email MPS. Al principio muchas organizaciones utilizan la supervisión fuera de banda para evaluar la precisión y la estabilidad del sistema. Una vez que la organización se encuentra cómoda con el sistema NGTP, los dispositivos MPS se reconfiguran en el modo de bloqueo en línea. ATENCIÓN Si pretende instalar los dispositivos MPS para que funcionen en línea, asegúrese de seleccionar modelos con conectividad desbloqueo en caso de error (fail-open). En el caso poco probable de que el dispositivo se quedara sin corriente eléctrica o se desactivara de algún otro modo, el tráfico seguiría fluyendo a través de las interfaces de cobre, en lugar de interrumpirse bruscamente. (Las interfaces de fibra siempre dejan pasar el tráfico, con independencia del estado del dispositivo). Características fundamentales Como ya sabe de qué trata NGTP y tiene una idea de cómo funciona, repasemos las características fundamentales que Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 45

suelen incluir las soluciones NGTP actuales más importantes para ocuparnos de cada fase del ciclo de vida de los ataques ATP. SUGERENCIA El conjunto de características de las soluciones NGTP varía en gran medida. Durante el repaso de las características, anote las que sean especialmente útiles a su organización. Luego consulte en el capítulo 6 otros aspectos que debe tener en cuenta cuando compre soluciones NGTP. Ejecución virtual de objetos sospechosos Para detectar amenazas desconocidas es fundamental el análisis sin el uso de firmas. Asegúrese de que la solución ofrezca la posibilidad de reproducir sin riesgo el tráfico que contiene objetos sospechosos, como páginas web, binarios y archivos, en un entorno de ejecución virtual. Esto no es lo mismo que enviar un archivo o ejecutable sospechoso a un entorno de prueba. La reproducción consiste en capturar y reconstruir el tráfico byte por byte en un entorno de ejecución virtual. Por ejemplo, una página web consta de entre 20 y 200 objetos diferentes procedentes de docenas de ubicaciones web diferentes. La tecnología de reproducción es la única que permite analizar ataques basados en la Web complejos, como los ataques basados en descargas. ATENCIÓN No crea que la nueva generación de ciberataques actuales solo va dirigida a archivos EXE o DLL. Como he mencionado en el capítulo 4, el malware puede estar incrustado en las páginas web y en muchos tipos de archivos. Es obligatorio que el motor Virtual Execution reduzca al mínimo la presencia de falsos positivos y falsos negativos. Un falso positivo (archivo inofensivo clasificado como peligroso por error) puede impedir que una parte importante del contenido llegue a su destino. Un falso negativo (archivo peligroso clasificado como inofensivo por error) puede ser devastador, sobre todo si se permite el acceso a un archivo que contiene malware avanzado durante un ataque APT. Bloqueo fast-path El bloqueo de devolución de llamadas salientes y amenazas conocidas entrantes está relacionado con el análisis sin el uso de firmas. Aunque he dedicado bastante tiempo a describir las limitaciones de las defensas basadas en firmas tradicionales, también he admitido que son importantes para neutralizar ataques conocidos en una estrategia de defensa en profundidad. Para protegerse de forma eficaz contra ataques conocidos y desconocidos se precisan soluciones NGTP que incorporen técnicas de defensa basada en firmas y sin el uso de firmas. 46 | Definitive Guide™ para la protección contra amenazas de próxima generación

Sin embargo, la función de bloqueo fast-path del dispositivo MPS (en línea) está diseñada para bloquear o poner el ataque en cuarentena de inmediato en los casos en que el IPS, NGFW, puerta de enlace de la Web segura, antispam u otro dispositivo de seguridad de la red no detecte un ataque con malware conocido. Cuando el malware avanzado consigue entrar en la organización (recuerde que puede introducirse en la oficina a través de un dispositivo de computación móvil), intenta devolver la llamada al host de comando y control para descargar software RAT (consulte el capítulo 3) o recibir instrucciones del delincuente. El dispositivo MPS está preparado para interrumpir las sesiones conectadas a URL maliciosas y direcciones IP peligrosas o que emplean protocolos de malware personalizados. Si el filtro de devolución de llamadas del dispositivo MPS detecta un intento de conexión de un host interno a un host de comando y control externo conocido, la conexión se bloquea (si el MPS está configurado para funcionar en línea) y se genera una alerta (consulte la Figura 5-2).

Figura 5-2: Ejemplo de la actividad de devolución de llamadas de FireEye NO OLVIDE A diferencia de la mayoría de dispositivos de seguridad tradicionales, los dispositivos MPS están diseñados para analizar el tráfico de Internet entrante y saliente. Archivos maliciosos en cuarentena Los archivos, mensajes de correo electrónico y adjuntos maliciosos que detecta el motor Virtual Execution pueden ponerse en cuarentena y almacenarse en el dispositivo MPS (o la consola de administración central si está disponible; consulte la sección siguiente) para realizar otros análisis forenses además del efectuado por MPS. Los investigadores de delitos informáticos del FBI u otras autoridades policiales pueden recopilar los archivos como prueba digital del delito. Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 47

Administración centralizada Es muy recomendable que las organizaciones que cuentan con tres o más dispositivos MPS adquieran un dispositivo de administración centralizada (a veces denominado Central Management System) para supervisar y administrar el sistema NGTP de forma centralizada a través de una interfaz basada en la Web de fácil uso. Entre las tareas que suelen llevarse a cabo mediante la consola de administración se incluyen:

;; Incorporación de datos de eventos de todos los dispositivos MPS y proceso de los datos en paneles, informes y alertas ;; Centralización de los objetos maliciosos que contienen malware y se han puesto en cuarentena ;; Recopilación y distribución de la información sobre amenazas generada por los dispositivos MPS internos y procedente de Malware Protection Cloud; transferencia de la información sobre amenazas a la nube de protección contra malware, si se permite ;; Configuración del dispositivo MPS y aplicación de los ajustes a cada dispositivo MPS de forma individual o en grupos ;; Descarga y aplicación de actualizaciones de software a todos los dispositivos MPS desde una ubicación central ;; Supervisión del rendimiento de todos los dispositivos MPS ;; Exportación de datos de eventos a SIEM (administración de eventos e información de seguridad), sistemas de administración de incidentes u otras aplicaciones externas ;; Control del acceso de usuarios y los privilegios administrativos

Algunos proveedores de NGTP ofrecen varios modelos de dispositivos de administración centralizada entre los que puede elegir en función de la cantidad de dispositivos MPS administrados y el volumen de ciberataques. Compartir la información sobre el malware Parte del atractivo de las soluciones NGTP es la protección automática que ofrece a las organizaciones la información sobre amenazas que se genera localmente y que pueden compartir con otras organizaciones. A través de la red de información sobre amenazas en la nube (propiedad del proveedor de 48 | Definitive Guide™ para la protección contra amenazas de próxima generación

NGTP y gestionada por el mismo), cuando una organización detecta una amenaza nueva (“zona cero” del ataque), las demás organizaciones quedan protegidas en cuestión de minutos. Muchos denominan a esto inmunidad colectiva. Aunque es cierto que las organizaciones pueden rechazar los ataques APT con un dispositivo MPS independiente, gracias a la inmunidad colectiva el análisis de la seguridad resulta más efectivo, ya que centra los recursos del MPS en analizar los ciberataques que son realmente desconocidos. Además, las organizaciones dispuestas a compartir la nueva información sobre amenazas de forma anónima en la nube se benefician de un descuento en la suscripción anual a dicha red de información.

NO OLVIDE Es importante saber que ninguno de sus archivos o contenido se enviarán nunca a la red de información sobre amenazas en la nube. Por ejemplo, los perfiles de protección contra amenazas solo incluyen datos anónimos, como una suma de comprobación del archivo. Reglas personalizadas Los principales sistemas NGTP permiten a los usuarios más avanzados importar reglas de detección de malware personalizadas que se crean con el lenguaje YARA. (YARA es una herramienta diseñada para ayudar a los investigadores de malware a identificar y clasificar las muestras de malware). Cuando el dispositivo MPS activa una regla YARA importada, el motor Virtual Execution analiza de inmediato los objetos asociados para detectar posibles ciberataques. Esto es útil para organizaciones que suelen ser el blanco de una clase concreta de ciberataques. EN LA WEB Puede obtener más información sobre YARA en http://code.google.com/p/yara-project/. Integración con la suite antivirus Las soluciones NGTP más populares se pueden integrar con suites antivirus (AV) habituales, como las de McAfee, Symantec, Sophos y otros proveedores (consulte la Figura 5-3). La integración de la solución NGTP con una suite antivirus permite analizar mejor cada objeto malicioso para determinar si la plataforma AV ha sido capaz de detectar el malware interceptado por el dispositivo MPS. Gracias a esto, las organizaciones pueden priorizar de manera más eficaz la respuesta a los incidentes. Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 49

Figura 5-3: Ejemplo de integración de la plataforma antivirus de FireEye Controles de acceso basados en funciones Gran parte de los sistemas NGTP proporcionan varias funciones de usuario para garantizar que los privilegios administrativos se conceden exclusivamente al personal de TI que los necesita para realizar su trabajo. Las funciones habituales de los usuarios de NGTP son: ;; Administrador del sistema: control administrativo total sobre todo el despliegue de NGTP ;; Administrador regional: control administrativo sobre uno o varios dispositivos MPS ;; Analista de seguridad: acceso exclusivo a paneles e informes; sin autorización para modificar o eliminar los datos de eventos, ni para modificar la configuración del sistema Panel El panel de NGTP (consulte la Figura 5-4) es la principal interfaz que utilizan los analistas de seguridad para supervisar la seguridad de la red y la carga de trabajo de los dispositivos MPS de la organización. Los paneles son fáciles de interpretar y su acceso se realiza a través de navegadores web. Los mejores paneles ofrecen la posibilidad de acceder a los detalles de los eventos para descubrir los pormenores de los ciberataques y ayudar al analista de seguridad a decidir los pasos siguientes. 50 | Definitive Guide™ para la protección contra amenazas de próxima generación

Figura 5-4: Ejemplo de panel de FireEye Informes Las soluciones NGTP actuales ofrecen formas cómodas y eficaces de rastrear tipos específicos de ciberataques por nombre o tipo, y generar informes sobre ellos. Las organizaciones pueden ver resúmenes de eventos, como los principales host infectados y los eventos de devolución de llamadas y malware más importantes, además de los detalles de geolocalización. Algunas soluciones NGTP incluso ofrecen la posibilidad de mostrar los datos del evento de seguridad en Google Earth. Aunque los usuarios de NGTP pueden generar los informes al instante, la consola de administración centralizada también permite crear automáticamente los informes a intervalos de tiempo establecidos (a diario, cada semana, cada mes). NO OLVIDE En particular, los informes de tendencias pueden ayudar a demostrar cómo progresa la reducción del número de sistemas comprometidos. Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 51

Alertas Las alertas ayudan a los analistas de seguridad a mantenerse al tanto de las posibles infracciones de la seguridad. Las notificaciones de alerta se pueden enviar a través de SMTP, SNMP, syslog o HTTP POST. Las alertas también se muestran en la interfaz basada en la Web del dispositivo Central Management System (CMS) (consulte la Figura 5-5).

Figura 5-5: Ejemplo de resumen de alertas de FireEye

SUGERENCIA Cuando se detecta un nuevo ciberataque con una devolución de llamadas asociada, el dispositivo MPS registra una o varias alertas de alta prioridad. Aunque el dispositivo MPS (si se configura para funcionar en línea) es capaz de cortar las comunicaciones de devolución de llamadas para rechazar el ataque, es importante realizar un seguimiento y corregir los problemas en el host infectado durante el ataque. Integración de NGTP en la infraestructura de TI existente Ningún sistema de seguridad de la información debería funcionar de manera aislada en ningún momento. Los productos de seguridad, y la infraestructura de red que los soporta, deben funcionar de forma conjunta para que las tecnologías de la información dispongan de un contexto más amplio sobre el entorno que protegen y, en última instancia, reduzcan el riesgo de que los ciberataques prosperen. 52 | Definitive Guide™ para la protección contra amenazas de próxima generación

El objetivo de esta sección es describir la integración de los sistemas NGTP con las tres plataformas de TI más solicitadas, empezando por SIEM. SIEM SIEM (administración de eventos e información de seguridad) es una de las plataformas de integración de NGTP más solicitadas, especialmente en los despliegues fuera de banda. No es extraño, puesto que la finalidad de las plataformas SIEM es reunir los eventos de seguridad de toda la organización y establecer la relación entre ellos (mediante el uso de docenas de reglas de correlación predefinidas y personalizadas) con el fin de descubrir ciberataques ocultos. Para analizarlos en profundidad, los eventos de seguridad se pueden exportar en secuencias en tiempo real a las plataformas SIEM en formato syslog, Common Event Format (CEF) y otros formatos de proveedor que ofrezcan más detalles del ataque. SUGERENCIA También es frecuente que las organizaciones integren los sistemas NGTP con productos de administración de registros. Al igual que una plataforma SIEM, un administrador de registros reúne los eventos de seguridad (por medio de datos syslog), pero, a diferencia de SIEM, por lo general, no puede establecer la correlación de los datos. Aunque su elección suele estar motivada por la necesidad de cumplir una normativa (como PCI DSS), los administradores de registros constituyen también un medio útil para recopilar datos de registro. Entre los proveedores se incluyen HP ArcSight, IBM Q1 Labs, LogRhythm, McAfee, RSA y Splunk. Security Intelligence and Analytics Security Intelligence and Analytics (SIA), también conocido como análisis forense de la red, captura cada paquete que se transfiere a través de la red por una serie de motivos, incluidos los siguientes:

;; Respuesta a incidentes de seguridad (datos forenses) ;; Detección de ciberataques ;; Supervisión y análisis de pérdida de datos Capítulo 5 : Análisis de la protección contra amenazas de próxima generación | 53

Una vez que un sistema NGTP clasifica un nuevo tipo de malware, el analista puede utilizar técnicas de análisis de grandes volúmenes de datos y consultar la base de datos SIA para determinar el contexto en el que se ha infectado el host e identificar otros sistemas posiblemente infectados en el mismo ataque. Algunos proveedores de SIA proporcionan una interfaz de conexión universal que se conecta directamente al navegador web para que el usuario de NGTP pueda hacer clic en una dirección IP desde la consola de administración central e iniciar una consulta en la base de datos SIA, lo que agiliza el proceso de respuesta a incidentes. Entre los proveedores se incluyen NetWitness (RSA), Niksun y Solera Networks. Administración de incidentes Hace años que existen las plataformas de administración de incidentes (o ticketing). Los usuarios habituales de estas plataformas son el personal de TI interno y el personal del servicio de asistencia, quienes las emplean para rastrear y administrar los incidentes de TI. Un incidente puede ser algo tan sencillo como una consulta al servicio de asistencia o tan complejo como erradicar una APT. Es frecuente que las organizaciones deseen incluir alertas NGTP en la plataforma de administración de incidentes existente. Esto se consigue enviando alertas SMTP con formato especial al sistema de administración de incidentes desde el Central Management System de NGTP o efectuando el análisis sintáctico de las alertas con formato XML para adecuarlas a las plantillas de alerta de incidentes existentes. Entre los proveedores se incluyen BMC Remedy, Numara Software y RSA Archer. 54 | Definitive Guide™ para la protección contra amenazas de próxima generación

Experimentos del laboratorio nacional relacionados con la protección contra amenazas de próxima generación Algunos aseguran que la “ignorancia concreto que tenía mejor reputación es una bendición”. No lo es que todos los demás proveedores para el jefe de seguridad de un de NGTP en lo que se refiere a la laboratorio nacional de Estados detección de amenazas avanzadas: Unidos encargado de avanzar FireEye (www.fireeye.com). en la investigación científica en materia de energía, medio ambiente Ese mismo día, un miembro del y seguridad nacional. Este laboratorio equipo se puso en contacto con maneja a diario una gran cantidad FireEye para programar una reunión, de secretos nacionales y datos que pronto dio lugar a una evaluación confidenciales, lo que lo convierte in situ. Tras implementar un piloto en un blanco codiciado por los para supervisar el tráfico de la red en ciberdelincuentes extremadamente un solo día, el dispositivo web MPS de motivados y sofisticados. FireEye ofreció resultados positivos de inmediato. Unas horas después se Para evitar cualquier posible fuga de dispararon las alertas a causa de un datos, el laboratorio desarrolló una código malicioso que había pasado completa serie de dispositivos de completamente inadvertido a las seguridad empresariales, incluidos defensas de seguridad existentes en firewall, IPS y soluciones AV. Sin el laboratorio. embargo, un día el jefe de seguridad El dispositivo MPS de FireEye se del laboratorio leyó un artículo en una implantó en toda la producción revista de seguridad de la información en línea semanas más tarde. Así sobre una organización del mismo como la función de bloqueo fast- tamaño que la suya arrasada por path del dispositivo neutraliza una APT. También descubrió cómo los ataques entrantes conocidos funcionan estas amenazas y por y la devolución de llamadas de qué no son eficaces las defensas de malware, el potente motor Virtual seguridad tradicionales. Execution detecta con precisión los Tras consultar a su equipo, formado ciberataques desconocidos. por experimentados profesionales de la seguridad, conoció una El jefe de seguridad del laboratorio categoría relativamente nueva está ahora más tranquilo porque de defensa de seguridad de red: sabe que el nombre de su la protección contra amenazas de laboratorio no aparecerá en su próxima generación. También se revista favorita de seguridad de la enteró de que existía un proveedor información en un futuro próximo.

Capítulo 6

Selección de la solución de NGTP adecuada

En este capítulo

•• Lo que hay que evitar al evaluar soluciones de NGTP •• Compilación de una lista de criterios para la compra de NGTP

n la actualidad existen docenas de proveedores de ciber­ Eseguridad en el mercado, que pregonan sus capacidades de detección y bloqueo de ciberataques avanzados, tales como ataques de vulnerabilidades desconocidas, amenazas polimórficas y amenazas persistentes avanzadas (APT). Aunque cada uno de esos proveedores pueda detectar y bloquear ataques conocidos, muy pocos son capaces de bloquear ataques desconocidos, en especial si van dirigidos contra vulnerabilidades no conocidas (al menos para el público general) en sistemas operativos o aplicaciones. Cuando se plantee comprar un sistema de NGTP, es importante que sepa qué buscar y, lo que es quizás más importante, qué debe evitar. Empecemos por esto último. Qué evitar A continuación se incluye una lista de qué conviene evitar al evaluar soluciones de NGTP: Evite soluciones que solo detecten. Las mejores ofertas en NGTP disponen de modos de funcionamiento en línea y fuera de banda. Muchas empresas empiezan con un modo fuera de banda para obtener un nivel de confort inicial y luego progresan hasta una configuración de NGTP en línea para bloquear amenazas conocidas, devolución de llamadas del malware y reapariciones de malware recién descubierto. Además, al evaluar dispositivos MPS con conexiones de cobre, asegúrese de que admitan el desbloqueo en caso de error (fail-open) para los despliegues en línea. 56 | Definitive Guide™ para la protección contra amenazas de próxima generación

Evite ofertas basadas en entornos de prueba. Las llamadas soluciones de NGTP que incorporan tecnología de entorno de prueba (o sandbox) son fáciles de sortear para los autores de amenazas sofisticadas, que diseñan malware capaz de detectar la presencia de tecnología tradicional de entorno de prueba, suprimiendo la carga útil de un archivo infectado por malware para impedir su detección. Evite análisis de malware desde la nube. Toda solución de NGTP debe aprovechar las posibilidades y escalabilidad de la nube. Pero las mejores soluciones de NGTP se sirven de la nube para compartir información, no para llevar a cabo el análisis del malware, como sucede con algunas soluciones de seguridad de redes multifuncionales que ofrecen funciones de NGTP rudimentarias. Incorporando el motor Virtual Execution en el dispositivo MPS, el análisis del malware se realiza a nivel local, por lo que mejora drásticamente la cobertura y la escalabilidad de la identificación de malware y se garantiza que ningún archivo confidencial salga de la red. Evite dispositivos MPS “todo en uno”. Para una detección óptima de la nueva variedad de ciberataques, conviene disponer de dispositivos MPS distintos diseñados específicamente para la protección del correo electrónico, la Web y los archivos compartidos, pero asegúrese de que estén integrados para compartir información. Ya que sabe exactamente lo que debe rechazar, llega el momento de elaborar una lista de la compra con las características de las soluciones NGTP que son importantes para cualquier empresa u organización preocupada por la seguridad. El apartado siguiente le ayudará a este respecto. Criterios importantes para la compra Sea cual sea el sector o el tamaño de una empresa o un organismo público, entre los criterios de compra de soluciones NGTP deberían estar los siguientes. SUGERENCIA Algunos de los criterios de compra ya se han tratado antes. Considere que estas descripciones son resúmenes concisos. Si desea explicaciones más detalladas, consulte los capítulos 3 y 4. Capítulo 6 : Selección de la solución de NGTP adecuada | 57

Plataforma de NGTP integrada para inspección de la Web, el correo electrónico y los archivos Aunque ya hemos tratado este tema más de una vez, merece una nueva mención. Para neutralizar un ataque de APT, es crucial contar con protecciones integradas en todos los puntos de entrada habituales del malware: Web, correo electrónico y archivos. Las mejores plataformas de NGTP incorporan dispositivos MPS específicos (con heurística y algoritmos propios) para detectar malware incrustado en los mensajes de correo electrónico, el tráfico web y los archivos estáticos, al tiempo que correlacionan lo detectado para detener los ataques APT en cualquier lugar de la empresa. Aunque es posible ahorrar algo a corto plazo comprando un dispositivo MPS de un proveedor que dice dar cobertura para dos o tres de esas vías, a largo plazo no trae cuenta invertir en una solución parcial. Supervisión del tráfico entrante y saliente Los sistemas típicos de NGTP supervisan el tráfico entrante recibido de sitios web y mensajes de correo electrónico para identificar archivos binarios sospechosos que podrían contener malware avanzado. La mayoría de los sistemas de NGTP no supervisan el tráfico saliente, pero sorprendentemente también los hay que solo vigilan ese tráfico. El dispositivo MPS, al vigilar los dos sentidos del tráfico, puede detectar tanto el malware entrante como los correspondientes intentos de comunicación de salida.

NO OLVIDE La vigilancia del tráfico entrante y saliente, que solo se encuentra en las principales soluciones de NGTP, es una característica importante pues proporciona una capa adicional de defensa, en especial ante dispositivos móviles que podrían estar infectados al entrar por la puerta de la oficina. Inspección de una gran variedad de tipos de archivo Puede resultar sorprendente pero hay algunas soluciones de NGTP rudimentarias que solo pueden descubrir malware en archivos EXE y DLL no cifrados. Lo cierto es que puede haber malware incrustado en docenas de tipos de objetos, desde algo tan simple como un archivo binario codificado con XOR, en el 58 | Definitive Guide™ para la protección contra amenazas de próxima generación

caso de la Operación Aurora, hasta un archivo de Microsoft Excel, que aprovechó una vulnerabilidad desconocida de Flash en el ataque contra RSA Security (consulte el recuadro “RSA Security describe el ataque APT” en el capítulo 3). NO OLVIDE Los exploits híbridos de documentos destacan la necesidad de una cobertura amplia de la seguridad de las redes. En el caso de la fuga de datos de RSA Security, la hoja de cálculo Excel no atacó a Microsoft Excel, sino que activó un exploit contra una aplicación totalmente diferente. Una buena solución de NGTP aplica heurística y algoritmos de detección de gran sofisticación para descubrir malware avanzado en páginas web y en docenas de tipos de archivos, tales como com, doc, docx, gif, jpg, mov, mp3, mp4, pdf, png, ppt, pptx, swf, tiff, xls, xlsx o zip, entre otros muchos. Solución con análisis manual de malware El motor Virtual Execution que incluye el dispositivo MPS analiza a menudo (incluso de forma remota) archivos sospechosos por si contienen malware avanzado. Al hacerlo, pone en manos de los analistas de seguridad detalles forenses del exploit, como la vulnerabilidad que se aprovecha para crear un desbordamiento del búfer, los intentos de escalada de privilegios en Windows y las coordenadas de devolución de llamada utilizadas para la filtración de datos. A veces, los técnicos experimentados prefieren analizar el malware a mano para obtener una visión completa del ataque, desde el exploit inicial y la ejecución del malware hasta los intentos posteriores de descarga de archivos binarios. Para satisfacer esta necesidad de datos forenses exhaustivos, los principales proveedores de NGTP ofrecen un sistema independiente de análisis de malware (Malware Analysis System, MAS), que suele presentarse en un cómodo dispositivo instalable en bastidores. El MAS debe incorporar máquinas virtuales instrumentadas y de configuración automática, equipadas con varias versiones de Microsoft Windows y diversas aplicaciones de software, como por ejemplo Microsoft Office y Adobe Reader. Este entorno permite que los analistas inspeccionen a fondo los archivos binarios sospechosos (o que se sabe que están infectados) para entender la intención y los objetivos de los ciberdelincuentes, sin tener que crear y mantener múltiples entornos personalizados para los análisis. Capítulo 6 : Selección de la solución de NGTP adecuada | 59

Sin falsos positivos ni falsos negativos Los falsos positivos y los falsos negativos causados por una detección deficiente de NGTP pueden resultar muy caros a una empresa. Un falso positivo (un archivo inocuo que se clasifica como dañino) puede implicar que un archivo clave para una empresa no llegue a su destino, con la consiguiente pérdida de tiempo y dinero. Es incluso peor un falso negativo (un archivo dañino que se clasifica como inocuo) porque se permite que un archivo infectado con malware llegue a su destino final sin que se encuentre más motivo de análisis. A estas alturas, no creo que haga falta explicar lo que puede implicar. Decir que ni siquiera el mejor sistema de NGTP del mercado vaya a cometer nunca un falso positivo o un falso negativo es, tal vez, demasiado aventurado. Pero las veces en que eso suceda deben ser muy escasas y poco frecuentes.

NO OLVIDE Para valorar la calidad de la detección de las soluciones de NGTP preseleccionadas, póngalas a prueba con una evaluación in situ. Si tiene que elegir entre dos soluciones competidoras, pruébelas al mismo tiempo usando el mismo tráfico real (en modo pasivo fuera de banda) y compare sus resultados. Posibilidad de reglas personalizadas Como se ha descrito en el capítulo 5, a veces los administradores de NGTP importan reglas personalizadas a nivel de byte que han creado usando el lenguaje de reglas YARA para desencadenar el análisis de todos los objetos coincidentes en busca de amenazas específicas para una empresa. (Esto se parece a crear firmas personalizadas para el IPS de una red). Al evaluar ofertas de NGTP competidoras, piense en la facilidad de ampliación de la solución y en su capacidad para admitir reglas personalizadas de detección de malware. Interfaz de usuario intuitiva No importa lo potente o versátil que sea una aplicación de seguridad. Si resulta difícil de usar, es poco probable que la adopte una organización de TI, al menos a gran escala. Las soluciones de NGTP no son una excepción. Un sistema de NGTP es una solución mucho más automatizada que los productos de seguridad que requieren la configuración o creación de juegos de reglas, como un dispositivo IPS o un firewall tradicional. Sin embargo, es importante que el panel sea sencillo y fácil de usar, y que elaborar informes y alertas no requiera un doctorado en astrofísica. 60 | Definitive Guide™ para la protección contra amenazas de próxima generación

Asistencia al cliente que responda La selección de un proveedor de NGTP es tan importante como la de un producto de NGTP, si no más. Las empresas y los organismos oficiales suelen señalar el servicio técnico de alta calidad como un criterio fundamental a la hora de decidirse por cualquier sistema de TI. SUGERENCIA Antes de tomar una decisión de compra, asegúrese de valorar la calidad de la asistencia al cliente que ofrece un proveedor. Para ello, durante la fase de evaluación póngase en contacto un par de veces con el servicio técnico del proveedor, y no con el especialista que le hayan asignado a su cuenta. Aunque no tengas problemas durante la evaluación, invéntese alguno. O haga una consulta general sobre alguna función del producto. De esa forma, podrá hacerse una idea de la experiencia y la rapidez de respuesta del personal del servicio técnico y de lo que se tarda en hablar con alguien de carne y hueso. Si ha tardado 30 minutos y ese técnico no supo responder a una pregunta simple sobre la configuración, probablemente haya llegado el momento de cambiar a una oferta de la competencia. Glosario

amenaza combinada: ciberataque que incluye una combinación de ataques para aprovechar diferentes vulnerabilidades. amenazas de próxima generación: nueva variedad de ciberataques que no es fácil de detectar para las defensas de seguridad basadas en firmas. Ejemplos de estas amenazas son el malware polimórfico, las amenazas zero-day y las amenazas persistentes avanzadas. amenaza persistente avanzada (APT, advanced persistent threat): sofisticado ciberataque que emplea técnicas avanzadas de ocultación para no ser detectado durante largos periodos de tiempo. amenaza polimórfica: malware que cambia su firma (patrón binario) cada vez que se replica para impedir ser detectado por un dispositivo o aplicación de seguridad. amenaza zero day (desconocida): ciberataque contra una vulnerabilidad no conocida (o no comunicada) de un sistema operativo o una aplicación. ataque de inyección SQL: forma de ataque sobre una aplicación web basada en base de datos en la que el atacante ejecuta comandos SQL no autorizados para explotar código no seguro. ataque por denegación de servicio (DoS, denial of service): ciberataque que intenta perturbar o inhabilitar un host en particular inundándolo con peticiones de comunicación inocuas desde otro host. ataque por desbordamiento del búfer: ataque que se lleva a cabo enviando más datos al búfer de los que está configurado para contener y que acaba por permitir al atacante ejecutar código personalizado (a menudo con los privilegios superiores que tenía la aplicación o servicio de red vulnerable). ataque selectivo avanzado (ATA, advanced targeted attack): otro nombre que se utiliza para designar una amenaza persistente avanzada. baiting o carnada: ataque de ingeniería social en el que se abandonan deliberadamente soportes físicos (como un dispositivo de memoria USB) con malware en las proximidades de una organización seleccionada como objetivo. 62 | Guía definitiva para la protección contra amenazas de próxima generación

bot: computadora (o endpoint) infectada que está bajo el control centralizado de un servidor de comando y control. BYOD (del inglés, bring your own device): política de algunas empresas que permiten a los empleados traer al trabajo sus propios dispositivos para acceder a los datos de la empresa. Central Management System (CMS): dispositivo montado en bastidor que se ocupa de supervisar y gestionar los dispositivos MPS dentro de un entorno NGTP. ciberdelincuente: hacker, o pirata informático, que roba ilegalmente datos de otra computadora para obtener un beneficio económico personal. ciberguerra: actividad de hacking con motivaciones políticas que lleva a cabo sabotajes o acciones de espionaje contra un país. ciberterrorismo: uso de ataques por Internet en actividades terroristas, tales como acciones destinadas a colapsar de manera deliberada y a gran escala las redes informáticas. desbloqueo en caso de error (fail open): capacidad por la que las conexiones de cobre de un dispositivo de red mantienen la conectividad en caso de que el dispositivo falle o se quede sin alimentación, a fin de impedir interrupciones en la red. ejecutor de amenazas de Estado: ciberdelincuente que, por encargo de un país, lleva a cabo ciberataques contra enemigos de dicho país con fines políticos. entorno de prueba (sandbox): aplicación de software diseñada para analizar archivos binarios sospechosos en la seguridad de una máquina virtual, aunque los ciberatacantes más avanzados suelen eludirla. estrategia de defensa en profundidad: instalación de una serie de defensas de ciberseguridad de manera tal que, si una capa de seguridad no detecta una amenaza, otra capa pueda interceptarla. falso negativo: clasificación errónea como benigno de un archivo que contiene malware. falso positivo: clasificación errónea de un archivo benigno como malicioso. gusano: forma de malware que explota las vulnerabilidades de la red para propagarse a otras computadoras. Glosario | 63 hacktivismo: uso de las computadoras y las redes como medio para protestar o para promover fines políticos. herramienta de administración remota (RAT, remote administration tool): software que abre una puerta trasera en el sistema infectado para que el hacker fisgonee o tome el control del host. keylogger: aplicación que registra las teclas que se pulsan en una computadora, normalmente sin el conocimiento del usuario. malware: software malicioso (por ejemplo, un virus informático, un gusano o un troyano) que se crea para perturbar el funcionamiento de una computadora, recoger información delicada o conseguir el acceso a sistemas informáticos privados. Véase también spyware, troyano y gusano. Malware Protection System (MPS): dispositivo montado en bastidor que se ocupa de detectar objetos sospechosos en la red y enviarlos al motor de ejecución virtual (al cual también alberga) para su análisis sin firmas. modo fuera de banda: modo de funcionamiento de un dispositivo de red que le permite analizar el tráfico copiado desde un puerto de acceso para pruebas (TAP) de la red o desde un puerto SPAN de un conmutador. multifase: ciberataque avanzado que incorpora varios tipos de malware diseñados para ejecutarse en distintas fases. multivectorial: ciberataque diseñado para dirigirse contra múltiples hosts dentro de la misma empresa utilizando distintas técnicas de ataque. modo en línea: colocación de un dispositivo de red directamente en la línea del tráfico de la red, por lo que puede bloquear los ciberataques. motor de ejecución virtual: componente de un dispositivo MPS que se encarga del análisis sin firmas de los objetos sospechosos en la seguridad de la máquina virtual. phishing: acto de enviar un correo electrónico a un usuario haciéndose pasar por una entidad legítima en un intento de engañar al usuario para que facilite información privada, como por ejemplo el número de una tarjeta de crédito o el de un documento de identidad. phishing selectivo: intento de phishing dirigido contra una organización en particular o contra una o varias personas de esa organización. 64 | Guía definitiva para la protección contra amenazas de próxima generación

prevención de fugas de datos (DLP, data leakage prevention): sistema diseñado para detectar rápidamente posibles fugas de datos basado en el uso de patrones (por ejemplo, número de documentos de identidad). protección contra amenazas de próxima generación (NGTP, next-generation threat protection): software que se instala en dispositivos especializados, montados en bastidor y que se ha diseñado para detectar e impedir la nueva hornada actual de ciberataques. red de información sobre amenazas en la nube: servicio alojado en Internet gestionado por un proveedor de NGTP para intercambiar (distribuir y recibir) información sobre ciberataques con los dispositivos MPS de sus clientes. servidor de comando y control: servidor que un ciber­ delincuente maneja para hacer llegar instrucciones a los bots. sistema de análisis de malware (MAS, malware analysis system): dispositivo equipado con un motor de ejecución virtual que permite a los usuarios inspeccionar manualmente objetos de los que se sospecha que contienen malware. sistema de detección de intrusiones (IDS, intrusion detection system): dispositivo de seguridad fuera de banda que se sirve de firmas para supervisar el tráfico de la red y avisar en caso de detectar ciberataques conocidos. sistema de prevención de intrusiones (IDS, intrusion prevention system): dispositivo de seguridad en línea (activo) que se sirve de firmas para supervisar el tráfico de la red y, en caso de detectar ciberataques conocidos, impedirlos. spyware (o software espía): tipo de malware que obtiene información sobre los usuarios, con o sin su conocimiento. tráfico entrante: tráfico de una red informática que se dirige desde fuera de la red hacia hosts situados dentro de ella. tráfico saliente: tráfico de una red informática que se dirige desde el interior de la red hacia hosts situados fuera de ella. troyano: malware que se enmascara como archivo legítimo o aplicación útil con el propósito último de permitir el acceso no autorizado de un hacker a la computadora infectada. whaling: ciberataque dirigido específicamente a altos ejecutivos y otros objetivos prominentes dentro de las empresas. LA NUEVA GENERACIÓN DE CIBERATAQUES

HAN PENETRADO EN EL 95 % DE LAS REDES.

¿CREE QUE ESTÁ ENTRE EL 5 % RESTANTE?

Es posible que crea que sus defensas de seguridad actuales impiden a los nuevos ciberataques entrar en su red y apoderarse de sus datos. Pero no es así. Los ciberataques actuales sortean los firewalls, IPS, antivirus y puertas de enlace tradicionales y de nueva generación.

FireEye es su mejor medio de defensa. Ponga fin a la nueva variedad de ciberataques con protección contra amenazas de próxima generación. Visítenos hoy en www.FireEye.com y permítanos cerrar las brechas en la protección de su red.

© 2013 FireEye, Inc. Todos los derechos reservados.

¿Todas las de perder en la lucha contra la nueva TM variedad de ciberataques actuales? Aprenda cómo derrotar a sus ciberenemigos con protección contra Definitive Guide amenazas de próxima generación (NGTP). para la A pesar de gastar más de 20 000 millones de dólares en sistemas de seguridad tradicionales, las organizaciones se enfrentan a una nueva variedad de ciberataques, Protección contra amenazas con exploits zero-day, malware polimórfico y amenazas avanzadas persistentes (APT) a la cabeza. Nuestra única opción de vencer a estos adversarios hoy día, dada su sobrada financiación y su alta motivación, pasa por cambiar de forma de pensar. de próxima generación Si se ocupa de la seguridad de la red de su empresa, no debe perderse esta guía. • Definición de las amenazas de próxima generación: comparación de los ciberataques tradicionales con una nueva variedad de amenazas Ganando la guerra a la nueva de próxima generación. variedad de ciberataques • Conocer al enemigo: examen de tres tipos de ciberenemigos y sus métodos para derrotar los sistemas de seguridad tradicionales. • Anatomía de los ciberataques avanzados: descripción de las cinco fases del ciclo de vida de los ataques avanzados y señales que permiten detectar las amenazas avanzadas persistentes (APT). • Introducción a la protección contra amenazas de próxima generación: revisión de los componentes clave de las soluciones de NGTP y comparación con las defensas de seguridad tradicionales. • Análisis de la protección contra amenazas de próxima generación: información sobre cómo mitigar las amenazas de próxima generación en los mensajes de correo electrónico, las comunicaciones a través de la Web y los archivos en reposo. • Selección de la solución de NGTP adecuada: descripción exacta sobre qué buscar (y, lo que es más importante, qué evitar) a la hora de evaluar una solución de NGTP.

Acerca del autor Steve Piper es un experto en seguridad de la información con Steve Piper, CISSP más de 20 años de experiencia en el sector de las tecnologías. Cortesía de: Como escritor y consultor freelance, Steve es autor de numerosos libros sobre seguridad de la información, infraestructuras de red y gestión de grandes volúmenes de datos (Big Data). Cuenta con Prohibida la venta PRÓLOGO DE: un certificado en seguridad CISSP del ISC2 y una licenciatura en ciencias y un MBA de la George Mason University. Encontrará David DeWalt más información en www.stevepiper.com.