Preocupaciones de seguridad digital 2014.pdf

8/19/2019 Preocupaciones de seguridad digital 2014.pdf

http://slidepdf.com/reader/full/preocupaciones-de-seguridad-digital-2014pdf 1/5

Su aliado en seguridad de la informac

Página Web: www.digiware.net @DigiwarDigiware

Preocupaciones para el2 4

Quizás sea, porque seguridad al 100% no existe, antes dconsiderar esta idea como la razón del continuo sufrimiento (siendsufrimiento la manifestación dolorosa a nivel no físico del éxito d

un incidente), primero considere la respuesta al siguientinterrogante: ¿Qué esperan las organizaciones de unestrategia de seguridad de la información?

Solo en aquellas organizaciones que tienen un claro entendimientdel por qué y el cómo de la estrategia de seguridad de información, viviéndolo como parte de su día a día, muestran unpostura preventiva. Como organización, cuando reaccionamos soante el dolor, aseguramos la posibilidad o facilidad que los autoremateriales e intelectuales de un ataque, es decir, el agente damenaza, logre éxito en su propósito. Esta postura reactiva, es principal facilitador en el éxito de todos los ataques cibernéticos.

Quienes están detrás de los ataques han demostrado tener una altcapacidad de organización, y como toda comunidad organizad(criminal o no) la inteligencia es evolutiva de modo constante. Dforma contraría, en las organizaciones donde prevalece la posturde reacción ante el dolor, al interior de su comunidad, la inteligenciafruto de la experiencia al vivir incidentes, es no evolutiva. Estdebido, a que el conocimiento adquirido permanece solo en lapersonas que viven esa experiencia, que como fruto de su ciclo ddesarrollo profesional, cambian de responsabilidades e incluso dorganización llevándose consigo el conocimiento, lo que dificulta uaprendizaje evolutivo al interior de las instituciones empresariale

por lo tanto:

Esta debilidad es abiertamente conocida por los grupos organizadoque actúan como agente de amenaza, entienden la reacción dmercado de seguridad de la información, quien ofrece cada venuevas alternativas de mitigación a nuevos tipos de ataques, es po

esto, que los agentes de amenaza evolucionan a ataques másutiles y de un único uso. La estructuración de un ataquéxitoso no es reutilizada para un mismo objetivo; se hobservado una misma técnica y metodología de ataque pardiversos objetivos, pero para un único objetivo experimentandvarios ataques exitosos, se ha observado diferentes técnicas metodologías de amenaza por cada uno de ellos.

Los agentes de amenaza son extraordinariamente inteligenteentienden las dificultades estructurales o funcionales existentes

Una mirada general en materia

de seguridad de la información a

las organizaciones, revela que

frente a este tema aún

predomina la posturareactiva.

A un nuevo incidente de

seguridad de la información

sufrido, se reacciona creando un

control. Al parecer, las victimas

(las organizacionesatacadas) aprenden condolor, se fortalecen cada vez

que viven esta difícil

experiencia. Pero, si cada vez

nos fortalecemos de la fatigosa

experiencia ¿por quéseguimos sufriendo?

Preocupaciones para el

AMENAZAInteligente

DEFENSAPoco Consiente

ATAQUE

EXITOSO







interior de una organización para apropiar y madurar unaexcelente estrategia de seguridad, es más sencillo para lasorganizaciones, adoptar una estrategia de seguridad que

evoluciona dentro de una postura reactiva, esto es lo queellos más aprovechan.

Si bien, las organizaciones soportan su estrategia entecnologías facilitadoras de control, estas, las tecnologías,evolucionan como respuesta a incidentes exitosos,no a incidentes prevenidos, dejándonos en esaestrategia siempre un paso atrás. Los esfuerzos de losagentes de amenaza se concentran en tener de formapermanente recursos de ataque de un solo uso,entendiendo que deben ser usados hasta que lastecnologías evolucionen para detectarlos, una vez esto

ocurre, los abandonan o los desarticulan (para los casos delas redes de Comando y Control). Los agentes de amenazacomprenden que las tecnologías de seguridad de lainformación cada vez evolucionan más rápido, pero lasorganizaciones las integran en ciclos de tiempo amplios(semestres y años), el factor resultante, son meses deposible explotación dada la ausencia o deficiencia de controlpara detectar un nuevo tipo de ataque.

Este esfuerzo persistente de evolución de las tecnologías yestrategias de seguridad ante el éxito de los ataques, haforzado al desarrollo de amenazas de seguridad de difícil

detección, así mismo, a una estructura que soporte unasostenible capacidad de desarrollo, distribución ydesarticulación de los ataques y sus herramientasfacilitadoras. Los grupos organizados desde los cualessurgen o se soportan los agentes de amenaza, se hanestructurado de forma modular, ahora cuentan conestructuras con propósito focalizado: grupos internos dedesarrollo, grupos de distribución, grupos de control ygrupos de estrategia de cambio que alinean al grupo de

desarrollo sobre como guiar los nuevos artefactoofensivos, todo una estructura de gerencia de proyectos dIT.

En los años venideros, nos enfrentaremos a retos mádifíciles que deben plantear desde ya un cambio sustancien el concepto central de la estrategia de seguridad definiden cada ciclo. Los agentes de amenaza nos conocen, eso leayuda a predecir como reaccionamos ante un ataque. Ellotienen tiempo, demasiado tiempo para lograr el éxito antuna arremetida, están organizados y son inteligenteMientras que ellos mantienen la calma durante un ataqunosotros ordinariamente nos desesperamos.

Encaramos a una generación de ataques y amenaza

dinámicas, flexibles y sutiles, que suman a su objeto dataque la capacidad de mantenerse siempre oculto. Lflexibilidad y el ocultismo en el ataque son el soporte para reincidencia del éxito de la amenza, para un mismo objetivouna nueva metodología de ataque cada vez, aprovecha conquista en el anterior, y así, cambia o evolucina de formadificultando nuevamente la detección y por ende contención. Por eso, cada vez, es más difícil detectaMalware.

Malware, lo que realmente preocupa de Él: El códigmalicioso ha evolucionado a un nivel tal, que obliga

afrontarlo de un modo no solamente técnico. La atenciónun incidente por epidemia de malware no debe aglomerarsentorno a los sistemas infectados (los pacientes enfermosdebe identificar el mecanismo usado para su propagaciónla existencia o no del mecanismo de control remoto, objeto de su actividad, los usuarios objetivo y el mediusado para materializar su propósito. Se ha observadCódigo Malicioso que usa aplicaciones de confianza, respetsu protocolo de comunicación, solo detectable por lohorarios en que se activa. Un error general en eMalware sutil es su activación en horarios nesperados, ayuda así algunas veces a ser detectado

debido a que el Código Malicioso se ha desarrollado sobre base del concepto de un único uso (o uso desechable), laplataformas anti-malware (o antivirus) convencionales nlogran detectarlas en los primeros 6 meses o hasta que población de infectados sea significativa (miles destaciones comprometidas a nivel mundial) para motivar generación de una firma de identificación por parte de lacasas fabricantes de estos sistemas. Actúa por etapas cambia dependiendo de la fase en que se encuentreReconocimiento, Compromiso, Movimiento lateral







ocultismo (estado pasivo) son parte de las etapas en las queel Malware puede intervenir, las etapas se repiten conformeel objetivo de ataque se defina, de forma simple, se repite el

ciclo según los antojos de quien está detrás del diseño delMalware.

La lucha contra el Malware requiere que la estrategia deseguridad contemple capacidad de simulación o entornoscontrolados que permitan la ejecución de código, a travésde esto, observar los procesos invocados y como ellosactúan en un sistema operativo, de esta forma, sobre elresultado, determinar la presencia de una amenaza objetode control. En conjunto con esta capacidad, la visibilidad porcomportamiento es indispensable, no limitada al entorno decomunicaciones (a nivel de Red), debe incluir el

comportamiento saliente y entrante de correo sobre losusuarios organizacionales. Al ser el servicio de correo, unode los medios más usados para la propagación del códigomalicioso en cada una de sus etapas de infección(Reconocimiento y Compromiso), observar el flujo decorreo para comprender la relación y tendencias de fuentesy destinos e-mail, permite identificar de forma temprana elinicio en los intentos para comprometer usuarios objeto deinfección y sus sistemas.

El Malware es indiferente al role que desempeña el usuariodueño del sistema comprometido, el objetivo incluso

puede ser solo un único usuario dentro de laorganización (quien tiene acceso a información oprocesos sensibles), pero la actividad de compromiso puedeser orientada a una población de usuario más amplia que altamaño de usuarios del objetivo final. Se han observadocasos de ataques en los que se usa a un usuario inicial quese ha comprometido por medio de correo, quien una vezesté bajo el control y poder del agente de amenaza actúacomo puente para implicar por otro medio (sistemas demensajería instantánea) al usuario objetivo final. Así, laprimera oleada de compromiso tiene como propósito llegarpor medio de una segunda o tercera infección (con un tipo

diferente de malware) al grupo de usuarios o usuarioobjetivo verdadero.

El Código Malicioso se está diseñando con el propósito deno ser detectado, no debe desconcertar confirmar lapresencia de un Malware por medios diferentes a lossistemas Anti-Virus o sus similares (disponibles en elentorno empresarial) sin que estos generaren alertasprevias, se diseñó pensando que eso ocurra. Es esta

amenaza una de las herramientas facilitadoras dataques que mejor representan la inteligencia detrás dlos grupos organizados con este fin. Cuando noenfrentamos a esta preocupación, no debemos olvidaque existe una mente criminal que motivó su creación,es este factor humano, el que aumenta el grado ddificultad para lograr contener el fin de un ataque que usal Código Malicioso como su catalizador del éxito en ofensiva. Valore esta amenaza considerando efactor humano, se creó por una mente humana sibarreras éticas y/o morales para afectar humanos, explotando nuestra debilidad mácomún: la confianza.

Redes Sociales, nuestros empleados en las redeversus la seguridad corporativa: Cuando inician laactividades de reconocimiento, como fase iniciapreparatoria de un embestida cibernética, las redesociales son la fuente de información por excelencia.

Nuestros colaboradores ofrecen mas información decosistema organizacional a través de las redes socialeque las mismas áreas de mercadeo en su anhelo d

posicionar la marca. El deseo natural de progrespersonal por medio del desarrollo profesional en cadcolaborador, y su relación con las redes sociales dprofesionales, exponen a las empresas a serios riesgode seguridad. Los curriculums disponibles en estomedios, ayudan a la consecución de nuevaoportunidades laborales, pero a su vez, suministradetalles de quienes son los responsables y de qué, amismo, informa de los sistemas soportados y operadodentro de la organización a los agentes de amenaza.



Su aliado en seguridad de la informacPreocupaciones para el

2 4



De esta forma, se perfilan los objetivos en sus entornospersonales, ambientes comúnmente debiles en materiade seguridad de la información; a través de una falsaoportunidad laboral, en una actividad de ingeniería socialbien estructurada, se le envía al interesado (objetivoinicial del ataque) formularios cargados con artefactos decontrol malicioso, solicitando al usuario objetivo,suministre en el documento digital la información quedemuestre su experiencia, pero su verdadero fin, está enesperar que sea descargado y ejecutado en el equipoorganizacional usado por la victima desde su hogar, unlugar de bajo control, logrando que el éxtio del ataqueinicial sea mayor.

El ejercicio de ataque inicial, permite insertar puertastraseras que posteriormente serán usadas una vez elsistema comprometido regresa al ambienteorganizacional, facilitando la evación de los controlesdetectivos y preventivos. A través de este ataquefocalizado, los agentes de amenaza logran insertar en lasempresas sistemas de comando y control, o drones,desde los cuales, inician sus actividades maliciosas masrelevantes (fraude o robo de información).

Incluso, colaboradores externos que sostienen unarelación directa con la organización, a nivel IT, puedensuministrar aspectos internos por medio de las redessociales. Al documentar en su experiencia laboral lasorganizaciones clientes y sistemas que han soportado,describen detalles valiosos para los agentes de amenaza.

Pueden incluso ser el objetivo inicial en un ataque;cuando se experimentan fallos técnológicos, estecolaborador externo ingresa a la organización victimausando sistemas previamente comprometidos(dispositivos de almacenamiento USB y Laptos), que alser usados durante una emergencia, generalmente

saltan los controles preventivos de la organización en suaspiración para recuperar el fallo en el menor tiempoposible. Prevalece el deseo de superar el defecto IT antela necesidad de protección, combinación perfecta para eléxito de un ataque sofisticado.

Usando un camino similar al de los agentes de amenaza,en sus etapas de perfilamiento focalizado, la estrategiade seguridad de la información debe identificar

tempranamente la información que se entrega al dominpúblico (redes sociales) desde los usuarios de interédenominados en los planes de respuesta a incidentecomo los Actores de Riesgo.

Esta actividad preventiva debe estar combinada coplanes para concienzar sobre los riesgos que se derivan exponer información abiertamente sobre Internet. Eentendimiento del uso adecuado de los recursos de redesociales disponibles para de los actores de riesgo ayudaa dificultar la elaboración de los ataques.

La inteligencia de los grupos organizados de amenazauna vez más se demuestra a un nivel muy alto, tanto qu

logran desarrollar Código Malicioso específico según perfil identificado del usuario, como de los sistemainformáticos asociados a la organización. Esta capacidagranular de desarrollar artefactos según el objetivo hacconsiderablemente difícil la detección, lo que no sidentifica no se contiene. Estamos así en el nivel de l!Felíz Ignorancia! Feliz la organización por no saber ques atacado tanto como el agente de amenaza por lograun ataque oculto, una felicidad compartida, perdefinitivamente no una relación de gana y gana.

La simbiosis de Malware y Redes Sociales es taexitosa que debe ser considerada una de laprincipales preocupaciones mas relevantes en loplanes de seguridad de la información del cortplazo, no es algo que preocupe para un mañana, es algque preocupa ¡hoy!

Creer que no te pasará a ti; la falsa sensación dseguridad, el eslabón más débil después deusuario: Sin entrar en un tono sensacionalista, el nivde éxito en los ataques se incrementa, la capacidacontínua para desarrollar mecanismos evasivos por part

de los atacantes preocupa en gran medida.

Este continuo crecimiento, se combina con la falta dsensibilización por parte de las organizaciones, quieneconsideran que no son tan importantes para ser objetde un ataque avanzado. Creer que no te pasará, afianzla postura reactiva de forma natural dentro del plaestratégico de seguridad de la información. Pasan de prevención a un estado pasivo, estado en el que solo s



Su aliado en seguridad de la informacPreocupaciones para el

2 4


de seguridad de alto impacto que pondrá a prueba scapacidad de respuesta a incidentes. El tiempo drecuperación dependerá de esta capacidad, en esto sencuentra el nivel de dolor al vivir un incidentexitoso.

Pocas estrategias de seguridad incluyen o consideracomo un aspecto fundamental a la visibilidad de loactuales y próximos ataques que son y serán de difícdetección. Por el momento, observar el comportamienten el ecosistema organizacional ( a nivel de sistemas dinformación y sus usuarios) complementa las deficienciaconocidas y no conocidas que tiene los controletecnológicos de seguridad ante nuevos tipos d

amenazas. La visibilidad es necesaria.

Lo anterior otorga pasos adelantados de contención, sgana algo de tiempo antes que un ataque logre el éxitoesto permite a las organizaciones pasar a una posturpreventiva. Evalué sus actuales capacidades drespuesta a incidentes (todos las etapas: Detección

Analisis y Contención).

espera a que algo pase, pues al no ser tan importantessupuestamente no serán atacados, ¿qué justica así unesfuerzo para prevenir?

Los ataques no depende del nivel de importancia de laorganización. Todos estamos expuestos a ser atacados ycon total seguridad seremos atacados. Los atacantesrequieren de recursos o herramientas de ataque deforma permanente, por eso, sostienen un continuoempeño en desarrollar artefactos, pero para quefuncionen se requiere de redes de distribución, comomínimo necesitan esto.

Por esta razón, todos estamos expuetos a sufrir un

ataque, podemos ser objetivos en un plan de ampliaciónde sus redes de distribución y control, al igual que,objetivos en ataques de mayor impacto. La focalizacióndel ataque es indiferente a la importancia de los usuariosu organización. El simple hecho de tener sistemas deprocesamiento conectados a Internet, nos vuelveatractivos en los planes ambiciosos y estratégicos de losgrupos organizados de amenaza.

¿Por que los países trabajan con mayor velocidadpara tener capacidad de defensa en el espaciocibernético? Es un hecho, la amenaza en elciberespacio crece, creer que no serán atacados es ungravísimo error.

Las organizaciones invierten tiempo y presupuestofinanciero en sistemas de correlación, pero,lamentablemente sin un claro entendimiento delbeneficio esperado en ello. Al lograr una capacidad devisibilidad (principio fundamental en una estrategia deseguridad preventiva) sin contar con una capacidad derespuesta de incidentes se logrará el fracaso en laestrategia de seguridad. Cuando se declaran eventos

(sucesos que potencialmente pueden materializar unincidente desde la nueva capacidad de visibilidad alinterior de las organizaciones, en compañías quesostienen una creencia en no ser atacados (falta de unaadecuada sensibilización), la organización en suconjunto, facilita el éxito del ataque posterior, es este,quizás, el principal fundamento de los fracasos de losproyectos de correlación en las organizaciones.

Al menos cada 3 años, una compañía vivirá un incidente

¡Tenga fé! tarde otemprano será atacado,probablemente ya lo fué,pero aún no lo sabe.

Observe la problemática delMalware como algo mas queun aspecto exclusivamentetécnico, identifique en ellosus factores de riesgo,internos y externos (susproveedores con acceso

sensible) y preparelos paraque entiendan el significadode ser potencialmente unobjetivo.

FABIÁN ZAMBRANDirector DigiSO

Página Web: www.digiware.net @DigiwareSA Digiware

Preocupaciones de seguridad digital 2014.pdf

Documents

Transcript of Preocupaciones de seguridad digital 2014.pdf