amenazas avanzadas persistentes: defenderse del interior y del exterior

Transcripción

1 LIBRO BLANCO Ataques dirigidos Julio 2012 amenazas avanzadas persistentes: defenderse del interior y del exterior Russell Miller Gestión de la seguridad de CA Technologies agility made possible

2 índice resumen ejecutivo 3 SECCIÓN 1: Reto 4 Amenazas avanzadas persistentes: No es lo mismo de siempre SECCIÓN 2: Oportunidad 7 Defensa en profundidad SECCIÓN 3: Ventajas 14 Reduzca el riesgo. SECCIÓN 4: Conclusiones 14 SECCIÓN 5: Referencias 15 SECCIÓN 6: Acerca de los autores 16

3 resumen ejecutivo Reto Proteger una organización es un reto cada vez más difícil. Los ataques se están volviendo más complejos y el aumento de las amenazas avanzadas persistentes (un tipo de ataque dirigido) ha hecho que las organizaciones sean más conscientes de su vulnerabilidad frente a ataques. Las empresas, desde RSA Security a Google y Northrup Grumman, han sido objetivo de APT. No haber sido víctima de un fallo significativo en el pasado no garantiza la seguridad en el futuro, ya que las organizaciones que han sido objetivo específico de las APT se enfrentan a retos distintos a los habituales de los administradores de seguridad, como la prolongación de las acciones a lo largo de meses o años para evitar la detección. Los daños que causa un fallo también están aumentando, lo que hace que este reto sea aún más real para los ejecutivos de alto nivel. Oportunidad No existe nada infalible cuando se trata de defenderse contra las APT. Deben emplearse varios niveles de protección que reduzcan la posibilidad de fallos de seguridad y mitiguen los daños en caso de que ocurran. La estrategia inicial para defenderse frente a los ataques específicos era asegurar el perímetro mediante cortafuegos y sistemas de detección de intrusiones para detectar y bloquear comportamientos anómalos. Esta estrategia puede ser efectiva al defenderse contra ciertos tipos de ataques, pero no puede proteger frente a todos los vectores de ataque, como el spear phishing y la ingeniería social. Si bien no hay ningún producto de seguridad (basado en la tecnología u o de otro tipo) que pueda proteger completamente una organización de las APT, la disponibilidad de hoy día de las soluciones de seguridad para varios dominios puede ayudar a las organizaciones a protegerse mejor que nunca. La gestión de identidades con privilegios, el control y la protección de la información y la seguridad de la infraestructura interna son áreas que se han abordado tradicionalmente de forma aislada, pero ahora pueden combinarse para permitir a las organizaciones proteger su infraestructura de TI y sus centros de datos complementariamente. CA Technologies lo llama inteligencia de datos e identidad. Ventajas Al entender y protegerse frente a las amenazas avanzadas persistentes, las organizaciones reducen el riesgo en el caso de que fueran objetivo de un ataque. La reducción del riesgo no es únicamente económica, sino también operacional, legal, normativa y de reputación. Al tener una visión completa de la seguridad que pueda utilizarse contra las APT, una organización también se protege de los ataques menos avanzados, automatizados e incluso internos. Una estrategia exhaustiva de seguridad tiene otras muchas ventajas, como mejorar el cumplimiento, permitir servicios en la nube, mejorar la seguridad de virtualización y permitir el ahorro en los costes. 3

4 Sección 1: Reto Amenazas avanzadas persistentes: no es lo mismo de siempre Las amenazas avanzadas persistentes presentan retos que se diferencian de los tradicionales riesgos de seguridad. El coste medio que ha estimado el Ponemon Institute es de 5,5 millones de dólares estadounidenses en , lo que convierte los fallos de seguridad en una preocupación fundamental incluso para ejecutivos de alto nivel. Definición La amenaza avanzada persistente se refiere a un ataque sofisticado y a largo plazo dirigido específicamente a una entidad. El atacante está a menudo apoyado por un estado y busca obtener información de gran valor de otros gobiernos, pero también pueden llevarlo a cabo organizaciones privadas y tenerlas como objetivo. Las fuerzas aéreas estadounidenses utilizaron el término por primera vez en El National Institute of Standards and Technology (NIST) define las APT del modo siguiente: 3 La amenaza avanzada persistente es un adversario con niveles sofisticados de recursos expertos/ significativos que usa varios vectores de ataque (ej. ciber, físico y engaño) para generar oportunidades de conseguir sus objetivos. Estos objetivos suelen consistir en establecer y ampliar puntos de apoyo dentro de la infraestructura de TI de las organizaciones con el propósito de extraer información continuamente, o socavar o impedir aspectos fundamentales de una misión, programa u organización, o lograr una posición desde la que realizar estas acciones en el futuro. Además, la amenaza avanzada persistente persigue sus objetivos repetidamente en un período amplio de tiempo, adaptándose a los esfuerzos del defensor para resistir y con la determinación de mantener el nivel de interacción necesario para lograr sus objetivos. Aunque las definiciones varíen, las tres palabras ayudan a clarificar qué es la amenaza avanzada persistente: 4 Avanzada: El atacante tiene capacidades técnicas significativas para poder aprovechar las vulnerabilidades del objetivo. Esto puede incluir acceso a grandes bases de datos de vulnerabilidades y habilidades en codificación y brechas de seguridad, pero también la capacidad de descubrir y sacar provecho de vulnerabilidades desconocidas anteriormente. Persistente: Las amenazas avanzadas persistentes (APT, del inglés advanced persistent threat) suelen ocurrir durante un amplio período de tiempo. Al contrario de los ataques a corto plazo que aprovechan las oportunidades temporales, las APT pueden tener lugar a lo largo de años. Pueden utilizarse varios vectores de ataque, desde los ataques basados en Internet hasta la ingeniería social. Los fallos de seguridad menores pueden combinarse a lo largo del tiempo para obtener acceso a datos más significativos. Amenaza: Para que sea una amenaza, tiene que haber un atacante con la motivación y la habilidad para llevar a cabo un ataque con éxito. Las herramientas automatizadas no se consideran una APT, aunque un grupo coordinado y organizado puede utilizarlas como parte de un ataque mayor. En las organizaciones más grandes, el 50% de los ataques en 2011 fueron dirigidos, lo que representa el 64% de todos los registros robados. 5 4

5 Etapas Una amenaza avanzada persistente típica puede constar de las cuatro etapas siguientes: Ilustración A. Las cuatro etapas de una amenaza avanzada persistente 1. Reconocimiento: Investigación de las vulnerabilidades de una organización. Esto puede incluir la investigación básica, incluida las consultas de dominios, sobre los análisis de puertos y vulnerabilidades. 2. Entrada inicial: Aprovechamiento de las debilidades para obtener un punto de apoyo en la red objetivo. Puede llevarse a cabo mediante métodos técnicos sofisticados o técnicas como el spear phishing (ataques directos de phishing) que tienen como resultado el acceso habitual de un usuario a un único sistema. La ingeniería social, o el aprovechamiento de las personas, es también otro método común para obtener acceso. 3. La elevación de los privilegios y la expansión del control: Una vez que el atacante penetra en el perímetro de la red, intenta obtener privilegios adicionales y lograr el control sobre sistemas importantes. Este paso también puede suponer la instalación de herramientas de puerta trasera para simplificar el acceso futuro a la red. 4. Aprovechamiento continuo: Una vez que se ha establecido el control, un atacante puede exportar continuamente datos confidenciales. La tercera y cuarta etapas pueden suceder a lo largo de los años para reducir el riesgo de detección. Qué hace diferentes a las APT? La diferencia más importante entre las APT y las amenazas normales es que están dirigidas específicamente a una organización. Aunque la defensa del perímetro y la utilización de los controles de seguridad habituales pueden proteger una organización frente a los ataques estándar, estas técnicas pueden no ser suficientes para enfrentarse a las APT. Los atacantes que sean pacientes pueden esperar a nuevas vulnerabilidades para aprovechar una debilidad o pueden combinar vulnerabilidades aparentemente pequeñas en un ataque dañino a gran escala. Para enfrentarse a tal amenaza, no pueden aplicarse las normas habituales. En el pasado, muchas organizaciones simplemente necesitaban una seguridad mejor que otras organizaciones y empresas conectadas a Internet, ya que muchos atacantes elegían objetivos más sencillos. Sin embargo, con las APT, las organizaciones tienen que poder derrotar a un enemigo motivado que se tomará su tiempo en buscar debilidades en vez de pasar a otro objetivo. El marco temporal de las APT puede hacer también que las detecciones sean especialmente difíciles. En los fallos de seguridad estándar, cantidades de datos significativas pueden exportarse en un período de tiempo corto, lo cual permite detectar el posible fallo mediante cortafuegos y dispositivos de detección de intrusiones. Un atacante en una APT puede tardar meses e incluso años en exportar los datos marcados como objetivo, venciendo incluso sistemas bien configurados y con todas las funciones. 5

6 Objetivos Debido a su naturaleza dirigida, los autores de las APT a menudo tienen objetivos diferentes a los de los piratas informáticos estándar de Internet, incluido un creciente interés en los siguientes aspectos en vez de en el simple robo y daño como entretenimiento: Manipulación política Espionaje militar Espionaje económico Espionaje técnico Extorsión financiera Objetivos Ciertos tipos de organizaciones corren más riesgo de sufrir las APT debido a que, a menudo, la amenaza tiene fines políticos y está respaldada por un estado: Organizaciones gubernamentales Contratistas y organizaciones de defensa Sistemas de infraestructuras importantes (p. ej., sistemas públicos de servicios, comunicaciones y transporte) Organizaciones políticas Instituciones financieras Empresas tecnológicas Ejemplos RSA En 2011, RSA Security anunció que había sido víctima de lo que definió como una APT 6. Los atacantes consiguieron entrar engañando a un usuario interno para que abriera un correo electrónico que tenía como adjunto una hoja de datos que aprovechaba una vulnerabilidad de día cero en Adobe Flash. Desde ahí, los atacantes fueron adquiriendo privilegios, instalaron puertas traseras y obtuvieron el control de otros sistemas. Los atacantes pudieron acceder a los sistemas de RSA que contenían información relacionada con sus tokens de autenticación de dos factores, conocidos como SecurID. Esta información incluye potencialmente valores de inicialización, los cuales RSA utiliza con sus tokens para generar contraseñas de un único uso que cambian cada 60 segundos. Si robaran el código fuente, los atacantes podrían buscar vulnerabilidades en la implementación del SecurID o incluso en el propio cifrado. Operación Aurora La Operación Aurora fue una APT que tomó como objetivo varias empresas grandes, incluidas Google, Adobe, Rackspace y Juniper Networks. Los informes de la prensa sugieren que otras muchas empresas fueron objetivo, incluidas Yahoo, Northrup Grumman, Morgan Stanley, Symantec y Dow Chemical. 7 Se cree que el Politburó de China dirigió los ataques como parte de una campaña coordinada y a gran escala contra EE. UU. y otros países occidentales. 8 Las APT son difíciles de detectar. Según el Verizon 2012 Data Breach Investigations Report, el 92% de todas las organizaciones y el 49% de las organizaciones grandes se han dado cuenta de un fallo de seguridad mediante la notificación de otros. 9 6

7 Sección 2: Oportunidad Defensa en profundidad La clave para defenderse frente a las amenazas avanzadas persistentes es la defensa en profundidad. Con el tiempo suficiente, un atacante decidido podrá poner en peligro la mayoría de los perímetros de red. Una defensa con éxito: 1. Hará difícil la penetración inicial. 2. Reducirá la potencial escalada de privilegios en caso de que la cuenta esté amenazada. 3. Limitará los daños que se pueden producir debido a una cuenta amenazada, incluso si tiene privilegios. 4. Detectará las cuentas amenazadas y la actividad sospechosa en una fase temprana del proceso. 5. Recopilará información útil para una investigación forense, para poder determinar qué daños se produjeron, cuándo y quién los produjo. Proteger el perímetro con sistemas de cortafuegos y de detección de intrusiones en los límites de la red únicamente puede ayudar con las defensas primera y cuarta. Se necesita una estrategia de protección más activa. Detección temprana Los fallos de seguridad a menudo se detectan después de que el atacante ha accedido a una red interna y ha causado daños o ha robado grandes cantidades de datos. En ese punto, la defensa frente a la APT supone un costoso proceso de control de daños, limpieza y seguimiento continuo. La clave de una protección asequible y manejable frente a las APT se encuentra en la detección de las amenazas tan pronto como sea posible. En la fase inicial de un ataque, cuando un atacante consigue un precario punto de apoyo en la red, una organización puede utilizar varias técnicas para detectar un fallo, incluidas la separación y externalización de la seguridad del sistema de la administración del sistema, la prevención y detección de intentos de escalada de privilegios y utilización no autorizada de privilegios, la auditoría y registro de actividades de los usuarios fuera de los registros del sistema operativo (tales auditoría y registro pueden ser desconocidos por el atacante). La gestión de identidades con privilegios, el control y la protección de información, y la seguridad interna de las infraestructuras forman el núcleo de una defensa en profundidad frente a las APT, junto con una detección temprana. Estas técnicas se detallan en los siguientes apartados. La gestión de identidades con privilegios Las herramientas de gestión de identidades con privilegios (PIM) gestionan y controlan las cuentas administrativas, como la de administrador en Windows y la root en UNIX y Linux. Los sistemas PIM: Implementan el principio del privilegio mínimo, incluso para las cuentas administrativas. Gestionan el acceso a las cuentas compartidas mediante las capacidades de gestión de contraseñas de los usuarios con privilegios. Siguen las actividades de los usuarios tanto para ayudar a garantizar la responsabilidad como para contribuir en una investigación sobre el fallo de seguridad. 7

8 El mínimo privilegio de acceso Todas las personas deben tener los privilegios mínimos necesarios para realizar su trabajo. Aunque muchas organizaciones entienden este concepto, a menudo fallan cuando lo ponen en práctica, especialmente en lo que respecta a las cuentas administrativas. A las personas que necesitan un mayor nivel de acceso privilegiado se les suele dar la contraseña de la cuenta administrativa pertinente, la cual comparten varias personas. De lo que las organizaciones deben darse cuenta con el creciente predominio de las APT es de que el acceso privilegiado no tiene que ser una decisión de todo o nada. A las personas se les pueden conceder mayores privilegios para permitirles llevar a cabo únicamente una tarea muy específica. En el pasado, esto se ha logrado en los sistemas UNIX y Linux con la herramienta sudo, pero las herramientas modernas de control de acceso pueden conceder y denegar acceso de forma centralizada tanto en UNIX como en Windows. Modelo de seguridad: separar la seguridad de la administración del sistema Un sistema operativo típico tiene un modelo de seguridad de dos niveles: los usuarios con privilegios y los usuarios normales. Sin embargo, para protegerse frente a las APT se necesita un modelo más sofisticado. Este modelo se basa en los principios de seguridad estándar de privilegios mínimos y separación de tareas. Como mínimo, deben definirse tres roles administrativos primarios: Administrador del sistema: El administrador del sistema debe tener los privilegios necesarios para realizar las actualizaciones de software del servidor, los cambios de configuración e instalar software. Los administradores del sistema no deben poder cambiar la configuración de seguridad importante o ver registros relacionados con la seguridad. Administrador de seguridad: Estos administradores deben poder actualizar y cambiar la configuración de seguridad y ver los archivos de registros relacionados con la seguridad. Los administradores de seguridad no deben poder instalar software o datos de acceso confidenciales en el sistema. Auditor: Los auditores necesitan poder comprobar la configuración de seguridad y ver los archivos de registros, pero no deberían tener la posibilidad de hacer cambios en el sistema. Aunque puede ser necesario acceder a archivos confidenciales, todos los accesos deben ser de sólo lectura. Deben crearse otros tipos de administradores si es apropiado, como administradores de bases de datos o para otras aplicaciones especialmente delicadas. Utilizar un modelo de seguridad de varios niveles logra dos objetivos al mismo tiempo: protege frente a amenazas internas de los administradores internos al limitar lo que cada persona puede hacer y también hace que las APT sean significativamente más difíciles para los atacantes externos. En vez de poner en peligro una cuenta de superusuario, ahora los atacantes tendrán que acceder a varias cuentas para tener un acceso completo al sistema. Controles exhaustivos Los controles exhaustivos, además de ser una buena práctica de seguridad, son especialmente útiles para reducir los daños que ha producido una APT. Una vez que los atacantes obtienen los privilegios administrativos, normalmente instalan rootkits de puerta trasera y comienzan a exportar datos confidenciales. Con los controles de acceso adecuados, un atacante incluso con acceso privilegiado está limitado en sus acciones, y es posible evitar que acceda a archivos confidenciales, ejecute comandos maliciosos, instale programas, detenga o inicie servicios o cambie archivos de registro. En un sistema en el que los controles exhaustivos están implementados, un atacante puede estar obligado a poner en peligro varias cuentas para hacer lo que antes se podía hacer con una única cuenta. 8

9 Implementar controles de acceso exhaustivos también puede reducir el riesgo de una de las mayores debilidades de seguridad en una organización: su personal. Al utilizar las llamadas técnicas de ingeniería social, a menudo los atacantes engañan a los empleados u otras personas de la empresa para que les faciliten información que puedan utilizar para acceder a sus cuentas o revelar otras debilidades de seguridad. Al limitar el acceso a los sistemas y datos importantes de los empleados, se reducen los daños que puede producir un atacante que accede a las cuentas mediante la ingeniería social. Gestión de cuentas compartidas La gestión de cuentas compartidas (o gestión de contraseñas de usuarios con privilegios) es una defensa clave frente a las APT. Acceder a identidades con privilegios (a menudo mediante la escalada de privilegios) es un paso intermedio clave en casi todos los ataques que tienen éxito. Las herramientas de gestión de contraseñas de usuarios con privilegios deben poder: Almacenar de forma segura contraseñas cifradas. Gestionar la complejidad de contraseñas y los cambios regulares automatizados en función de las políticas. Restringir el acceso a las cuentas administrativas al solicitar que todos los accesos se realicen mediante un portal centralizado. Utilizar la funcionalidad de inicio de sesión automático para evitar que incluso usuarios autorizados conozcan las contraseñas de las cuentas con privilegios. Proporcionar acceso de emergencia a las cuentas, que tiene otros controles y aprobaciones necesarias. Eliminar la utilización de contraseñas no modificables en scripts (que suelen estar almacenadas en texto sin formato y las puede robar un usuario malintencionado). Estas capacidades no solamente evitan que las contraseñas se compartan, sino que también evita el robo de contraseñas de archivos personales de contraseñas o mediante el registro de las pulsaciones del teclado. Al necesitar que todos los inicios de sesión de cuentas con privilegios se realicen a través de un proxy central, una organización puede hacer un seguimiento de todos los inicios de sesión y actividades en caso de fallo, con lo que ayuda en los esfuerzos de investigación y en la potencial reducción de daños. Generación de informes sobre actividad de los usuarios Comprender qué acciones se han llevado a cabo mediante las cuentas con privilegios es un componente clave para detectar las APT y reducir los daños en caso de un ataque inicial con éxito. Debido a su naturaleza, las APT normalmente suponen la exportación de cantidades significativas de datos, que puede detectarse con las herramientas adecuadas. Los registros de actividad de los usuarios muestran qué actividades de los usuarios y del sistema se están llevando a cabo en un sistema o en un dispositivo de red y puede utilizarse para identificar infracciones de políticas e investigar fallos de seguridad. Las normativas como HIPAA, CA SB 1386 y las numerosas leyes de notificación de fallos exigen que una organización informe sobre el fallo de seguridad a la persona u organización afectada. Los registros de actividad de los usuarios pueden utilizarse para buscar los fallos de seguridad, de modo que se averigüe no solamente quién hizo qué, sino también cómo sucedió para que los controles internos pueden arreglarse y los procesos puedan mejorarse. 9

10 Las herramientas de generación de informes de actividad de los usuarios deberían hacer lo siguiente: Llevar un seguimiento completo de: Los inicios de sesión, en especial de las cuentas compartidas y con privilegios, incluidos la IP de origen, el ID de usuario original que da acceso a la cuenta compartida, y la fecha y hora del inicio y cierre de sesión. Las actividades de cuentas compartidas hasta el ID del usuario original. Los comandos, ya se hayan introducido con una línea de comandos o mediante una interfaz gráfica. Detectar un comportamiento anómalo: Identificar actividades sospechosas y generar alertas. Proporcionar la capacidad de correlación de registros, centrándose en conectar la actividad de los usuarios con la persona que la lleva a cabo mediante el análisis de complejos patrones de registros de auditorías. Investigar fallos: Comprobar quién hizo qué en un entorno de cuentas compartidas. Entregar herramientas de análisis de registros visuales con capacidades detalladas que agilizan la investigación de las actividades de recursos y usuarios, así como la identificación de infracciones de políticas. En caso de fallo, estas capacidades ayudarán a la organización a comprender: Cómo un atacante pudo acceder a una cuenta. Qué hicieron mientras utilizaban esa cuenta y qué daños se han producido. Cómo prevenir futuros ataques con los mismos métodos o similares. Potencialmente, quién fue el atacante y de dónde provenía. Qué información hay que dar a los organismos normativos. Es importante recordar que los registros deben protegerse de los administradores. Los usuarios con privilegios pueden determinar el lugar en el que los registros están almacenados localmente en los sistemas y pueden descubrir las políticas de auditorías utilizadas en la organización. Pueden cubrir sus propios seguimientos al eliminar registros en los archivos de registros locales, ya que tienen acceso total a los sistemas (si no se implementan unos controles exhaustivos adecuados). Las organizaciones deben almacenar registros en una ubicación remota que no sea accesible a los usuarios con privilegios y también controlar si se ha intentado eliminar archivos de registros locales en el sistema. Protección y control de la información En una APT, el objetivo final del ataque es robar información confidencial, de modo que tener el control de los datos es un componente esencial para tener éxito en la defensa. Para proteger datos confidenciales de una APT, una organización debe proteger y controlar los datos en cuatro estados: Datos a los que se puede acceder. Información confidencial a la que se intenta acceder mediante un rol inapropiado. Datos que están en uso. Información confidencial que se maneja en una estación de trabajo local o en un portátil. Datos que están en movimiento. Información confidencial que se comunica a través de la red. Datos almacenados. Información confidencial que está almacenada en repositorios como bases de datos, servidores de archivos o sistemas de colaboración. 10

11 Para conseguir esto, las organizaciones deben definir políticas que refuercen el control si se detecta un acceso o una utilización inapropiados de los datos. Una vez que se infringe la política (como intentar acceder a propiedad intelectual, copiar la información en un USB o intentar enviarla por correo electrónico), la solución debe reducir la amenaza mientras genera una alerta. La clasificación de la información está en el centro de cualquier iniciativa de seguridad de datos. Sin comprender qué es la información y dónde está localizada, es imposible implementar un programa de protección de datos exhaustivo. Una organización debe descubrir de forma precisa y clasificar la información confidencial basada en su nivel de confidencialidad para la organización. Esto incluye la propiedad intelectual, pero también la información identificable personalmente, información sanitaria privada y otra información que no sea del dominio público. Una vez que la información se haya clasificado adecuadamente, las políticas se hayan definido y los controles se hayan implementado, una organización puede controlar el acceso y la gestión de toda la información confidencial. Esto incluye las acciones de los usuarios desde el simple intento de acceder a datos confidenciales y leerlos hasta copiarlos a un dispositivo externo o imprimirlos, enviarlos por correo electrónico fuera de la red, o detectar datos almacenados en un repositorio como SharePoint. Seguridad interna de las infraestructuras Aunque proteger el perímetro de la red y los datos e identidades con privilegios son componentes esenciales de una defensa en profundidad frente a las APT, también es importante proteger la infraestructura interna de TI. Además de una arquitectura y segmentación de red apropiadas, esto incluye configurar y proteger adecuadamente los dispositivos y servidores individuales y sus entornos. Seguridad externalizada e inesperada Los atacantes crean estrategias y emplean tácticas frente a las defensas conocidas de seguridad. También utilizan comandos comunes del sistema operativo, funciones y utilidades para recopilar información, controlar el sistema y tomar acciones para ampliar su control. Los profesionales de la seguridad pueden utilizar las suposiciones básicas de los atacantes contra ellos añadiendo elementos inesperados al sistema. Por ejemplo, los archivos y comandos que parece que no se protegen ni controlan con los registros del sistema pueden protegerse y controlarse con una herramienta externa. En efecto, los permisos que un atacante ve no son necesariamente los permisos que se han aplicado. Esto permite que una organización detecte a un atacante al comprobar los permisos del sistema operativo e infringir las políticas externas cuando pone a prueba los límites de los permisos. Esta es la razón fundamental por la que la administración de seguridad debe estar externalizada y separada de la administración del sistema operativo. Después de obtener un acceso inicial al sistema, un atacante típico intentará escalar privilegios para evitar los controles de sistema operativo. Con ese acceso, dan por hecho que podrán anular los mecanismos de seguridad y tapar sus huellas de manera efectiva. Con una función de seguridad externa, a menudo es posible detectar y contener a los atacantes en una fase mucho más temprana en el proceso de la APT, cuando un atacante intenta escalar sus privilegios, cambiar los controles de seguridad del sistema o ejercer privilegios que no le han concedido. Aunque un atacante puede evitar con éxito los registros y controles tradicionales del nivel del SO, los procesos de detección externa pueden tomarlo desprevenido. En esencia, una organización puede implementar una política de control de acceso en un segundo plano de una forma potente e inesperada. Además, los comandos estándar del sistema pueden cambiarse y modificarse. Si los administradores cambien el nombre de funciones como sudo, todos los intentos de uso del comando sudo original pueden generar una alerta y conducir a una detección temprana del fallo de seguridad. 11

12 Refuerzo de los servidores Todos los servidores que alojan información confidencial deben configurarse de modo que se minimice la posible amenaza y la diseminación de datos en caso de que se encuentren en peligro. Esto incluye: Utilizar un cortafuegos de software para controlar las comunicaciones de entrada y salida, la restricción de paquetes por IP de origen, protocolo (ej. SSH, TELNET, etc.) y puerto TCP y bloquear protocolos no seguros (p. ej., servicios no cifrados, como FTP). Bloquear todas las instalaciones y ejecuciones de aplicaciones excepto cuando se especifique de manera explícita (lista blanca de aplicaciones), evitar el aprovechamiento de vulnerabilidades por ejecución de código y la instalación de software de puerta trasera. Aplicaciones de captura. Definir y permitir acciones aceptadas por aplicaciones de alto riesgo y restringir cualquier comportamiento que supere esos límites. Por ejemplo, se puede crear una lista de control de acceso basada en un ID que gestione procesos y servicios de Oracle, de forma que la función de captura impida que realice acciones diferentes al inicio de servicios de Oracle DBMS. Evitar cambios en los archivos de registro. Permitir el control de la integridad de los archivos para detectar cambios en los archivos clave, como los que realiza los root kit. Controlar el acceso a los archivos confidenciales del directorio de las aplicaciones (p. ej., únicamente la aplicación de nóminas puede abrir archivos de nóminas). Detectar cambios en archivos confidenciales en tiempo real. Seguridad uniforme Un problema común en la informática distribuida es la variación de capacidades y disponibilidad de los controles de seguridad entre plataformas (p. ej., los controles de directorio/archivo de UNIX son muy diferentes a los de Windows). Esto puede llevar a varios problemas de aprovechamiento de vulnerabilidades: Las políticas de seguridad que ofrecen un modelo de sistema en vez de un modelo de seguridad empresarial. Las políticas de seguridad deben acomodarse a las limitaciones de los sistemas. La complejidad añadida de la gestión de la seguridad causa errores y omisiones. Para proporcionar una defensa exhaustiva frente a las APT, la configuración de seguridad debe aplicarse de la manera más igualitaria posible en todas las plataformas. Cualquier limitación e incoherencia debe comprenderse y seguirse. Es otra razón por la que las organizaciones no deben confiar únicamente en la seguridad de los sistemas operativos. Las herramientas externas pueden proporcionar una plataforma universal para aplicar un paradigma de seguridad en los entornos, lo que permite una aproximación específica empresarial, agilizada y centralizada a la seguridad. Seguridad de virtualización El número de sistemas virtualizados se ha disparado, lo que ha convertido a los entornos virtuales en un objetivo clave de los atacantes en una APT. Gartner informa de que a mediados de 2011 al menos el 40% de las cargas de trabajo de arquitecturas x86 se había virtualizado en servidores. Además, se espera que la base instalada crezca cinco veces más entre 2010 y 2015 (puesto que el número de cargas de trabajo del mercado sigue creciendo y la penetración aumenta en más del 75%)

13 El hipervisor es también un objetivo fundamental debido al nivel de acceso que puede conceder. Si un atacante pone en peligro el hipervisor, puede obtener un acceso casi completo a todas las máquinas virtuales que se ejecutan en ese hipervisor. Aunque la seguridad de los sistemas operativos puede evitar los inicios de sesión directos y el cifrado puede proteger los datos confidenciales, estas medidas no podrán detener a un atacante decidido. Alguien con control administrativo sobre un hipervisor puede copiar máquinas virtuales completas en un entorno externo, así como evitar la seguridad basada en host mediante métodos de fuerza bruta o sobrescribiendo archivos clave. Para proteger entornos virtuales, las organizaciones deben centrarse de nuevo en los administradores y aplicar el principio del privilegio mínimo. Primero, el acceso a cuentas de hipervisor con privilegios debe estar estrictamente controlado, con todas las acciones controladas y registradas. Segundo, de la misma manera que los entornos físicos, las identidades de hipervisor con privilegios deben estar restringidas para realizar únicamente las acciones necesarias. Por ejemplo, un administrador de finanzas debe poder acceder solamente a máquinas virtuales que pertenezcan al departamento financiero y no a los sistemas de RR. HH. Unirlo todo Ninguna herramienta de seguridad va a proteger una organización frente a una APT de un atacante decidido, hábil, constante y con recursos. El objetivo de cualquier estrategia de defensa frente a una APT se basa en hacer tan difícil como sea posible la penetración en la red, reduciendo la cantidad de daños que se puedan producir y la cantidad de información que se pueda robar en caso de que se produzca el fallo de seguridad y detectando el fallo tan pronto como sea posible. Aunque el perímetro de seguridad es un componente necesario para evitar un fallo inicial, no es suficiente en absoluto y no ayuda a reducir los daños a posteriori. La clave para la reducción de los efectos se basa en una combinación inteligente de la gestión de identidades con privilegios, el control y la clasificación de datos y la seguridad de las infraestructuras. Las herramientas estándar de gestión de identidades con privilegios pueden restringir o conceder acceso según un conjunto de normas. Aunque esta capacidad puede ofrecer una apropiada separación de tareas, es una solución intrínsecamente rígida. Los privilegios pueden modificarse a lo largo del tiempo cuando los roles cambien, pero es una solución esencialmente pasiva. La detección de contenido es lo que se necesita para pasar a una nueva generación de defensa activa frente a la APT. Esto significa integrar la inteligencia de los datos en todas las decisiones que se toman cuando se determina si se concede una solicitud. Esto debe hacerse reconociendo y comprendiendo los patrones del uso y los accesos de datos. Por ejemplo, debe observarse lo siguiente: Cambios en el acceso a los tipos de datos. Un administrador que accede sistemáticamente a datos de un tipo específico (p. ej., registros operacionales), solicita acceso a información financiera o datos de clientes confidenciales. Cambios en la utilización de los datos. Un administrador suele acceder a datos confidenciales mediante una aplicación específica con solicitudes de sólo lectura para exportar datos a un disco duro externo, un USB o mediante correo electrónico. Cambios en la cantidad de datos. Un administrador accede a 100 MB de datos confidenciales a la semana y solicita acceso a 500 GB en el mismo período de tiempo. Cambios en la frecuencia de acceso a los datos. Un administrador accede a datos altamente confidenciales una vez al mes y, de repente, accede a los mismos datos diariamente. 13

14 Ninguno de estos cambios puede indicar que se haya producido un fallo; sin embargo, sí que representan un cambio de comportamiento. Un sistema que controla de forma inteligente el acceso de los usuarios con privilegios debe tener todos estos factores en cuenta cuando revisa una solicitud de acceso. Esta inteligencia de datos puede utilizarse para denegar el acceso a los recursos en tiempo real o para permitir el acceso a la vez que se crea una alerta que indique una actividad sospechosa. Sección 3: Ventajas Reduzca el riesgo. Las organizaciones a las se dirijan amenazas avanzadas persistentes se enfrentan a varios tipos de daños. Los atacantes pueden robar documentos estratégicos y de propiedad intelectual, que podrían afectar a la competitividad. El robo de datos de clientes puede conducir a reacciones negativas de los clientes, daños en la reputación y acciones legales. Los registros financieros o de información sanitaria privada robados de carácter privado pueden conducir a problemas de cumplimiento de la normativa. Una ventaja secundaria de un programa completo para defenderse frente a las amenazas avanzadas persistentes es que ayuda a proteger una organización de otras amenazas, desde ataques externos automatizados hasta amenazas internas. Muchas de las técnicas empleadas para reducir los daños de las APT también limitan el acceso dado a cuentas internas, incluidos los administradores. Al limitar el acceso y separar las tareas incluso de los usuarios con privilegios, una organización se protege frente a un administrador deshonesto u otro usuario interno malintencionado. Lo que tiene de único esta estrategia es que no es necesario un conocimiento concreto de nuevas vulnerabilidades o posibles brechas de seguridad, y que no se basa en una defensa del perímetro. Al usar estas técnicas, las organizaciones pueden aplicar un modelo de seguridad y permitir o denegar acciones basadas en normas empresariales, confidencialidad de datos y comportamiento anómalo. Como este modelo puede aplicarse de manera uniforme en las plataformas y puede separarse de la seguridad del sistema operativo, puede ofrecer unos medios efectivos de defensa frente a las APT y detectar ataques en una fase temprana del proceso. Sección 4: Conclusiones Los ataques específicos tienen cada vez mayor prevalencia. Los fallos en empresas como RSA han tenido mucha repercusión y tendrán consecuencias a largo plazo, tanto en la reputación como en los beneficios. La idea de una defensa en profundidad no es nueva. Es un aspecto fundamental de cualquier programa de seguridad. La novedad consiste en centrarse en la protección de las identidades internas con privilegios para evitar los daños producidos por personas ajenas a la empresa. Al no ser ya el perímetro de red el bastión de seguridad que una vez fue, la identidad es ahora incluso más importante. Básicamente, la identidad es el nuevo perímetro. 14

15 Cuando se utiliza la identidad para protegerse frente a las amenazas externas e internas, como las APT, la detección de contenido debe ser un requisito clave. Al utilizar la inteligencia de datos como parte de cada decisión de acceso, las organizaciones de hoy en día pueden comprender mejor los riesgos asociados con cada acción que realiza el usuario. Las solicitudes de acceso a datos confidenciales pueden analizarse y comprenderse con mucho más contexto que antes. En vez de confiar en normas fijas para permitir o bloquear ciertas acciones, los datos pueden utilizarse para crear una imagen más clara de la actividad de los usuarios. Para ayudar a que su organización esté un paso por delante cuando se trata de defenderse frente a los ataques dirigidos, adopte la gestión de identidades con privilegios y la detección de contenido como piedras angulares de su programa de seguridad. Sección 5: Referencias 1 Ponemon Institute Cost of Data Breach Study: United States: content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf NIST Special Publication Revision 1, Guide for Conducting Risk Assessments, gov/publications/drafts/ rev1/sp rev1-ipd.pdf 4 Advanced Persistent Threat, Wikipedia, 5 Verizon, 2012 Data Breach Investigations Report: reports/rp_data-breach-investigations-report-2012_en_xg.pdf Verizon, 2012 Data Breach Investigations Report: reports/rp_data-breach-investigations-report-2012_en_xg.pdf 10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure, Thomas Bittman, George J. Weiss, Mark A. Margevicius y Philip Dawson, 30 de junio de 2011 Gartner no promociona a ningún proveedor ni ningún producto o servicio presentado en nuestras publicaciones de investigación, ni recomienda a los usuarios de tecnología la elección exclusiva de los distribuidores que obtengan la calificación máxima. Los estudios publicados de Gartner se basan en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hecho. Gartner deniega toda garantía, ya sea explícita o implícita, en relación con este estudio, incluidas las garantías de comerciabilidad o de idoneidad para un fin específico. 15

16 Sección 6: Acerca del autor Russell Miller ha pasado más de cinco años en seguridad de red en diversos roles desde la piratería informática ética hasta el marketing de productos. En la actualidad se encarga del marketing de los productos de seguridad de virtualización y de la gestión de identidades con privilegios para CA ControlMinder TM. Russell es licencicado en Informática por el Middlebury College y posee un M.B.A. de la MIT Sloan School of Management. CA Technologies es una empresa de software y soluciones de gestión de TI con experiencia en todos los entornos, desde el mainframe y los entornos físicos hasta los virtuales y en la nube. CA Technologies gestiona los entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar unos servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan los análisis y el control fundamentales para que las organizaciones de TI impulsen la agilidad empresarial. La mayoría de las empresas que figuran en la lista Global Fortune 500 confían en CA Technologies para gestionar sus ecosistemas de TI en constante evolución. Para obtener más información, visite el sitio de CA Technologies en ca.com. Copyright 2012 CA. Todos los derechos reservados. Microsoft, SharePoint y Windows son marcas comerciales o marcas registradas de Microsoft Corporation en los EE. UU. u otros países. Linux es una marca comercial de Linus Torvalds en EE. UU. y otros países. UNIX es una marca comercial de The Open Group. Todas las marcas registradas, nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación tal cual, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comerciabilidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños. CS2548_0712