12.10.15

La perspectiva del ladrón: Métodos de ataque furtivos, código oculto

Los ladrones han perfeccionado sus propias técnicas para ocultarse a simple vista a través de ataques furtivos. La clave de su éxito es usar sus defensas contra usted. Durante la fase de reconocimiento, realmente llegan a conocer bastante sobre su empresa, sus controles de seguridad, y sus empleados. Se toman el tiempo para confeccionar ataques que harán vulnerables a sus defensas—y es una iniciativa que vale la pena porque pueden retirarse sin ser capturados. Generalmente se aprovechan de las terminales gestionadas por sus empleados para acceder las redes protegidas desde el interior, y aguardan mientras roban o manipulan silenciosamente datos evitando la detección. A veces, puede llevar meses o incluso años a las empresas para que se den cuenta que han sido atacados.

Desactivar ataques furtivos
Con los métodos evasivos sofisticados de hoy en día, no hay una solución milagrosa para cada ataque. Usar técnicas de inspección avanzadas y compartir información de seguridad en tiempo real es la clave para contrarrestar los ataques. Necesita “entrar” en la mente de los ladrones, y puede hacerlo usando dos recursos exclusivos:
  • Entornos de pruebas con monitoreo compartido para identificar malware desconocido y furtivo.
  • Sección de inteligencia de detección en tiempo real entre entornos de seguridad.

Entorno de pruebas y monitoreo compartido
Los sistemas deben ser capaces de detectar en tiempo real archivos desconocidos en un ambiente seguro, como un entorno de pruebas, permitiendo un monitoreo inteligente de archivos sospechosos. La identificación heurística usa reglas y análisis de patrones de comportamiento para distinguir similitudes entre un archivo sospechoso y grupos o familias de amenazas conocidas y relacionadas. La emulación simula la ejecución de archivos de un entorno de host simplificado y registra los comportamientos resultantes.

Compartimiento de inteligencia en tiempo real
Aquí hay un problema común. Dos organizaciones de seguridad tienen piezas clave del rompecabezas cada una, que atraparían y condenarían a ciberdelincuentes, pero no comparten la información que llevaría a este logro. Desafortunadamente, ocurre lo mismo cuando los componentes de seguridad trabajan aislados. Todo el equipo de seguridad en el mundo no es de utilidad si no se logra que funcione como un sistema integrado para reunir, correlacionar, condensar, y compartir inteligencia accionable casi en tiempo real.

El compartimiento de inteligencia en tiempo real y la seguridad adaptable requieren un nuevo nivel de integración de producto en todo el sistema. Este compromiso ambicioso debe incluir el repensar la misma arquitectura de seguridad. Hay dos recursos de innovación para ayudarle a alcanzar esto: 
  • Un servidor de inteligencia central: Este servidor debe acumular informaciones sobre amenazas emergentes, analizar la inteligencia, y compartir conocimiento de seguridad con cada control de seguridad activo en toda la empresa casi en tiempo real. El servidor intercambiable debe registrar y compartir datos históricos en cada dispositivo y debe funcionar a la par de soluciones SIEM y consolas de seguridad empresarial. Al destruir los silos de inteligencia de seguridad, este servidor fundamental brinda una integración central y un punto de control administrativo.

  • Una fábrica de comunicaciones en tiempo real: Esta fábrica debe proveer dos recursos principales que faltan en las arquitecturas de seguridad tradicionales. En primer lugar, debe proveer un plan de datos de seguridad bidireccional para asegurar la comunicación en tiempo real y eliminar cuellos de botella que puedan ocurrir en redes de datos compartidos. En segundo lugar, debe vincular controles de seguridad usando un modelo de información común para compartir información de forma instantánea entre el servidor de inteligencia central, terminales, gateways, firewalls, sistemas de prevención de intrusiones (IPSs), y otros dispositivos de seguridad.