Carlos Castañeda.
Aunque prácticamente todas las compañías cuentan con un firewall, el número y la complejidad de los ciberataques actuales ha aumentado constantemente en los últimos años. Los principales actores en los ataques de hoy en día son equipos bien organizados con objetivos específicos, además de recursos, tiempo y experiencia para alcanzar sus metas.
Aunque cualquier empresa es susceptible a un ataque, los “malos” apuntan principalmente a los sistemas de información de organizaciones públicas, militares e industriales, y estos ataques, sin lugar a dudas, evolucionan constantemente y son cada vez más sofisticados. Desde hace unos años aparecieron en escena los APTs (Advanced Persistent Threats), que son la ejecución de un ataque sistemático, dividido en varias fases que se realizan en el tiempo, con el principal objetivo de obtener información altamente sensible.
Las características que diferencian los APT de los ataques tradicionales son:
1.Los APT hacen uso frecuente de explotaciones de día cero a través de ofuscación de código, siendo capaces de evadir la mayoría de los sistemas basados en firmas que usan los firewalls.
2.Los APT son muy difíciles de detectar porque utilizan técnicas de bajo perfil que permanecen silenciosas para evitar su detección a largo plazo, con lo que permiten contrarrestar la limitada ventana de detección y correlación de los sistemas de seguridad.
3.Los APT son selectivos. Solamente un nú- ¿Son suficientes los firewalls para nuestra estrategia de seguridad? mero pequeño y cuidadosamente seleccionado de víctimas es el objetivo, generalmente en departamentos no técnicos de una organización.
Un problema complejo
Desde que se ha reconocido la existencia de los APT, los firewalls han evolucionado introduciendo cada vez más características para evitarlos, pero siguen sin ser capaces de contener estos ataques. Basándonos en la teoría de la computación, es imposible construir una herramienta perfecta de detección contra intrusos pues, en sus términos, esta tarea es un problema complejo, lo que quiere decir que el tiempo que tomaría detectar una brecha de seguridad producida por una APT es casi exponencial, haciéndose mayor en la medida que aumenta el ancho de banda y el tráfico que el firewall debe inspeccionar.
Teniendo en cuenta las características de los ataques APT y la incapacidad de las soluciones de seguridad actuales para abordarlos de manera efectiva, nace entonces el cuestionamiento de: ¿Por qué el firewall sigue siendo la herramienta principal de seguridad informática a pesar de que el número de incidentes de seguridad continúa aumentando? Esto requiere pensar en un cambio esencial en la forma en que se articulan las soluciones de seguridad.
Se sabe que los atacantes están dispuestos a mantener sus acciones durante un extenso período de tiempo para evadir los sistemas de detección. Por lo tanto, es válido modificar el enfoque de detección y no solo pensar en herramientas online como única opción. Un enfoque orientado a la captura de paquetes está limitado significativamente por parte de los recursos con que cuente la máquina donde está instalado el firewall.
Por otro lado, una perspectiva donde se use un análisis de datos offline abre la posibilidad del análisis a fondo de gran cantidad de información extraída de los paquetes que circulan en la red, usando técnicas de tratamiento de datos y tecnologías de Data Analytics, que aportan algoritmos significativamente más avanzados para el análisis y la correlación de información. Esta visión ayuda a complementar la estrategia de seguridad evitando los intentos de evasión que usan los APT y que no logran ser detectados por los firewalls.
Aunque el análisis offline del tráfico capturado inevitablemente da como resultado una detección de ataque tardía, es importante considerar que, en la mayoría de los APT, los atacantes están dispuestos a esperar una cantidad significativa de tiempo intentando alcanzar un objetivo específico.
Por qué los ataques APT son prolongados:
1.Una vez que se ha obtenido una posición inicial, los atacantes deben explorar la red, desplazarse a través de las subredes (movimiento lateral), identificar dónde se encuentra la información que les interesa y tomarla. Como todos estos pasos deben realizarse tan calladamente como sea posible para evitar la detección, se requiere usar un tiempo significativo.
2.Los atacantes generalmente desean mantener su acceso y continúan extrayendo datos a lo largo de l tiempo.
Además, la correlación de eventos de largos períodos de tiempo, obtenida de múltiples fuentes, es crucial para la detección de ataques que tienen un mayor grado de sofisticación. Incluso cuando los atacantes logran evadir los firewalls tradicionales, inevitablemente estos ataques pueden dejar indicadores o huellas del ataque en el proceso de exploración de la red y explotación de vulnerabilidades. Los intentos de inicio de sesión fallidos, el aumento inusual del tráfico de la red producido por un de terminado PC o servidor, la utilización extraña de recursos y la ejecución de procesos desconocidos pueden correlacionarse e identificarse como prueba de un compromiso de seguridad, incluso si son realizados durante varias horas o días.
La capacidad de análisis y correlación de grandes datos proveniente de una amplia gama de fuentes de información y de períodos de tiempo significativos (horas, días etc.), se traducirán con gran certeza en una disminución de un porcentaje de falsos positivos y permitirá detectar más fácilmente los movimientos furtivos de un atacante que usa APT, ya que las actividades inusuales hechas por los usuarios autorizados de la red, desafortunadamente, son casi siempre ignoradas por los firewalls actuales.
Por ello es necesario entender que en el diseño de una estrategia de seguridad caben perfectamente los dos mundos -el análisis “online” y “offline”-, donde este enfoque ayudará a realizar el procesamiento y la correlación en dos vías simultaneas perfectamente complementarias, mitigando el riesgo y presencia de los APTs.
