LAS PASARELAS DE ENTRADA DE LOS ATAQUES DIRIGIDOS TUS COMUNICACIONES DE EMPRESA ESTÁN PROTEGIDAS?

Transcripción

1 Un libro blanco sobre la seguridad informática LAS PASARELAS DE ENTRADA DE LOS ATAQUES DIRIGIDOS TUS COMUNICACIONES DE EMPRESA ESTÁN PROTEGIDAS?

2 Hacer del correo electrónico una herramienta fiable para el intercambio de información crítica La generalización de las aplicaciones web, de las redes sociales y de la clientización en la empresa mejora las comunicaciones profesionales. El mensaje de correo electrónico es a día de hoy el principal medio para intercambiar información crítica. Los mensajes de correo electrónico profesionales representan la mayoría del tráfico de mensajes de correo electrónico (fuera del spam). Según una encuesta, los mensajes de correo electrónico profesionales deberían superar la barra de los 143 mil millones de dólares al día en el horizonte El mensaje de correo electrónico en la empresa Fuente: PhoneFactor Información presupuestaria Planos y roadmap de productos Datos salariales sensibles Planes sociales y de reorganizaciones Fusiones y adquisiciones Esquema 1. Los tipos de información transportada por correo electrónico Comunicar por correo electrónico es rápido, simple y sólo requiere un acceso a la red. El correo electrónico no limita el número de caracteres de los mensajes y les otorga una cierta formalidad. Además, los correos electrónicos se consideran también documentos que pueden constituir pruebas en caso de posibles litigios. Por lo tanto, el correo electrónico se ha convertido en un servicio informático crítico. 2 Los colaboradores lo juzgan esencial para sus tareas diarias, lo que por cierto hace que las políticas del "cero " sean poco aplicables. 3 Según un estudio, el 73% de las empresas declaran que el mensaje de correo electrónico profesional canaliza información de índole confidencial: 4 datos de clientes, elementos de propiedad intelectual, estrategia de negocio, presupuestos comerciales, etc. Archivos adjuntos Es común adjuntar archivos a los mensajes de correo electrónico profesionales. Al estar dirigiddirigidos, el perímetro de acción de estos ataques está limitado, pero su impacto es particularmente duro sobre las organizaciones que son víctimas de ellos. Nart Villeneuve, Senior threat researcher Archivos Microsoft Word: Se usa mucho Windows en las empresas, así como la suite Microsoft Office, compatible con este OS.5 Archivos PDF: las organizaciones privilegian el PDF, un formato utilizable en diferentes plataformas y que puede ser fácilmente distribuido, archivado y almacenado. Según una encuesta, el 90% de las empresas utilizan el PDF, mientras que el 89% de ellas convierten sus documentos de Microsoft Word en PDF. 6 No obstante, esta popularidad del correo electrónico no se les ha escapado a los cibercriminales que lo han convertido en un vector privilegiado para sus ataques. Las pasarelas de entrada de los ataques dirigidos Los ataques dirigiddirigidos o las amenazas APT (Advanced Persistent Threats) se refieren a esta categoría de amenazas furtivas a una red o un sistema, para extraer los datos. Los asaltantes preparan su exacción tendiéndoles una trampa a sus víctimas usando técnicas de ingeniería social. Se usa mucha el mensaje de correo electrónico, las amenazas a menudo se transmiten en un primer momento por este medio, posiblemente antes de descargar malware adicional LAS PASARELAS DE ENTRADA DE LOS ATAQUES DIRIGIDOS 1

3 El correo electrónico, un vector de infección Técnicas de ingeniería social Con el fin de no despertar las sospechas de los destinatarios, los asaltantes: Envían sus mensajes de correo electrónico desde webmails como Yahoo! y Gmail Envían sus mensajes de correo electrónico desde cuentas pirateadas para llevar a las víctimas a confiar en el contenido Utilizan el spoofing de direcciones de correo electrónico para imitar el correo electrónico de colaboradores o de jefes de departamento. En el caso de una campaña de ataques llamada "Lurid", uno de los mensajes de correo electrónico usurpó la identidad de un remitente para aparecer remitido desde el despacho del Dalai Lama.7 Para el ataque llamado "Nitro", el mensaje de correo electrónico provenía, aparentemente, de la dirección informática de la empresa objetivo. 8 Privilegian el contenido relevante para asegurar su legitimidad. Durante el ataque RSA perpetrado en 2011, el mensaje de correo electrónico enviado a algunos colaboradores tenía como objeto "Plan de reclutamiento 2011" 9 Esquema 2. Ejemplos de mensajes de correo electrónico usados durante ataques dirigidos Nombran los archivos adjuntos de manera significante y relevante. Para la campaña Luckycat, los investigadores de Trend Micro han identificado ejemplos de mensajes de correo electrónico dirigidos a víctimas ubicadas en la India, que pretenden contener datos sobre el programa de defensa antimisiles del país. A menudo engañados por las técnicas mencionadas anteriormente, los destinatarios acaban descargando y ejecutando el archivo adjunto malicioso. Fuente: Blog des TrendLabs Esquema 3. Los software de Microsoft más atacados, abril 2012 Vulnerabilidades de software Los cibercriminales también capitalizan las vulnerabilidades de los software populares como Adobe Flash Player, Microsoft Excel y Microsoft PowerPoint especialmente, mientras estos fallos son susceptibles de funcionar. IXESHE, una campaña de ataques dirigidos que ha utilizado servidores pirateados y de comunicación C&C (command-and-control), ha aprovechado las vulnerabilidades zero day de Adobe Acrobat Reader. Otras campañas, como 10 Lurid y Luckycat, han usado archivos PDF como cebo para interferir en el corazón de las organizaciones objetivo. Son también archivos de Microsoft Word los que han servido de cebo para la campaña Luckycat. Como muestra el esquema 2, durante el mismo periodo de observación Microsoft Word ha sido usado a menudo en comparación a otros softwares del mismo editor. Esto se debe a que los asaltantes habían identificado una vulnerabilidad fiable CVE Pero los ataques dirigidosdirigid no sólo se focalizan en las vulnerabilidades de tipo zero-day y aprovechan cualquier oportunidad eficaz y fiable LAS PASARELAS DE ENTRADA DE LOS ATAQUES DIRIGIDOS 2

4 Otros vectores de ataque: redes sociales, mensajería instantánea y dispositivos móviles Más allá del correo electrónico, los cibercriminales se interesan por la mensajería instantánea como vector de infección para los ataques dirigiddirigidos. Además, los investigadores de Trend Micro han podido identificar que los equipos móviles también servían como pasarela. 11 Esquema 3. Pasarelas para los ataques dirigidos Proteger las pasarelas de entrada Una línea de defensa robusta debe combinar reglas y procesos de seguridad con un programa de sensibilización de los usuarios Investigadores de seguridad, Trend Micro La identificación de posibles pasarelas de infección y el despliegue de medidas de seguridad apropiadas protegen las redes contra los ataques que amenazan la información confidencial y sensible. Este objetivo debe ser prioritario para las empresas. Mientras que los ataques dirigidos privilegian el correo electrónico como punto de entrada, las soluciones de seguridad de correo electrónico, como Trend Micro InterScan Messaging Security Suite, ScanMail Suite for Microsoft Exchange, y ScanMail Suite for IBM Lotus Domino se benefician de nuevas formas de protección. Así, la activación de la reputación Web para dichas soluciones permite neutralizar los URLs maliciosos utilizados por los ataques de phishing. Debido a la naturaleza de los ataques dirigidos, dichas soluciones funcionan mejor con nuevas tecnologías para identificar los archivos adjuntos maliciosos. Estos productos se benefician de un potente motor de análisis que determina el riesgo de que un archivo adjunto contenga un malware, evaluando los atributos del archivo y buscando las vulnerabilidades conocidas. Si un archivo adjunto es malicioso, es reenviado hacia un Sandbox para análisis adicionales. La capacidad de realizar análisis en sandbox como propone Deep Discovery Advisor, permite ejecutar archivos sospechosos en un entorno compartimentado para identificar su comportamiento. Estas soluciones activan así una protección inmediata y ponen la información sobre las amenazas a disposición de las otras capas de seguridad, para lograr así materializar una línea de defensa personalizada contra las amenazas sofisticadas. Las empresas deben disponer de una solución de seguridad exhaustiva y multicapa, y de una tecnología de gestión de amenazas en tiempo real, capaz de dominar los riesgos asociados con ataques dirigidos. Soluciones tales como Micro Deep Discovery ofrecen a los administradores de red la visibilidad necesaria en la red y el nivel de control requerido para dominar los riesgos asociados con ataques dirigidos, independientemente del equipo (smartphone, tablet, etc.) y del vector de infección (dispositivo móvil, correo electrónico, mensajería instantánea o redes sociales) LAS PASARELAS DE ENTRADA DE LOS ATAQUES DIRIGIDOS 3

5 TREND MICRO Trend Micro Incorporated (TYO: 4704; TSE: 4704), líder mundial en software y soluciones de seguridad, tiene como objetivo proteger los intercambios de información digital. Basándose en 25 años de experiencia, nuestras soluciones destinadas al público en general, a los profesionales y a las instituciones gubernamentales despliegan una seguridad multicapa de datos para proteger la información de los equipos móviles, las pasarelas, los servidores y la nube. Trend Micro ofrece una protección evolucionada de los datos, gracias a tecnologías sencillas de desplegar y administrar, adaptadas a un entorno evolutivo. Todas nuestras soluciones están optimizadas por el Smart Protection Network, la infraestructura de seguridad y de vigilancia de Trend Micro, y soportadas por más de investigadores de seguridad. TRENDLABSSM Los TrendLabs constituyen la infraestructura mundial de los centros de apoyo de productos y de investigación anti-malware de Trend Micro, por una vigilancia de las amenazas y la prevención de los ataques 24/7. Con más de investigadores de seguridad e ingenieros de soporte presentes en los laboratorios diseminados por el mundo, TrendLabs le permite a Trend Micro activar una vigilancia relevante y a nivel mundial del universo de la seguridad, ofrecer datos en tiempo real para detectar y neutralizar las amenazas, realizar investigaciones para reforzar las tecnologías de defensa, soportar las amenazas en tiempo real y ayudar a sus clientes mundiales a dominar los riesgos, reducir sus costes y garantizar la continuidad de su actividad Trend Micro, Incorporated. Todos los derechos reservados. Trend Micro y el logotipo de Trend Micro son marcas registradas o marcas comerciales de Trend Micro Incorporated. Las demás marcas, nombres de productos o de servicio pertenecen a sus respectivos propietarios.