Una amenaza sigilosa en nuestro sistema.
Aunque no existe una solución única que resuelva las necesidades de seguridad en una empresa u organización, en nuestro sector estamos acostumbrados a tener amenazas bien identificadas lo cual nos define como una comunidad sólida y de profundo aprendizaje, además de esto hemos creados protocolos que nos ayudarán a tener una visión general de cómo podemos afrontar o mitigar ciertas amenazas en el caso de recibir un ataque, pero si algo define a un cibercriminal es su forma de improvisar, en ciertas situaciones lo cual nos hace vulnerables al no saber el patrón de comportamiento futuro del atacante, esto puede llevarnos a tomar decisiones erróneas a la hora de actuar contra ellos. Un ejemplo claro de orden en Ataques cibernéticos pueden ser el Ransomware, Phishing, Sql Injection, Cross Site Scripting, FormJacking.
“Ya existe cierto orden definido para realizar estos ataques, lo cual ayuda a su prevención, detección, análisis, respuesta y recuperación del sistema”
Sin embargo ataques como los Advanced Threat Persistent no tienen un patrón específico que ayude a los profesionales en ciberseguridad, a cómo actuar ante estas situaciones, estos ataques buscan acceder a sistemas y redes a través de un conjunto de procesos sigilosos y continuos, utilizando múltiples vectores de ataques con consecuencias potencialmente destructivas, orquestados por grupos cibercriminales con altos conocimientos en informática o un área en específico que pueda ayudarlos a:
- Entrar en el sistema víctima.
- Descubrir y desactivar los sistemas de protección.
- Obtener credenciales e instalar software malicioso para robar información sensible.
- Exfiltración: En estos casos la organización criminal es capaz cifrar la información sensible dentro de la organización hasta dejar backdoors con la finalidad de seguir en el sistema víctima, sin ser detectados.
En la siguiente imagen podemos ver el ciclo perfecto de un Advanced Threat Persistent:
La maniobrabilidad de usar varios vectores de ataques para realizar con éxito un Advanced Persistent Threat los convierte en una amenaza muy peligrosa en nuestro sector, incluso si el proceso lleva a una monitorización y control externo en nuestro sistema dificulta la detección del mismo.
IDS e IPS Defensas esenciales contra los APT.
Dos herramientas que pueden sobresalir en el papel de detección y mitigación de ataques sofisticados como por ejemplo los APT son los Intrusion Detection System e Intrusion Protection System, ambos sistemas colaboran estrechamente para proteger las defensas contra ataques organizados por cibercriminales. Bajo la premisa de que “No existe una única solución de seguridad que pueda abordar todas las necesidades de ciberseguridad de una empresa u organización” entendemos que estas herramientas no son infalibles para resolver un ataque APT pero son lo suficientemente efectivas para la detección de los mismos:
A pesar de que los ataques APT más avanzados llevan a cabo tácticas de reconocimiento Out-Of-Box, como el escaneado de redes para recopilar información o ataques de ingeniería social. La implementación de estas herramientas es capaz de reducir el riesgo de sufrir ataques del tipo, cuando son correctamente implementadas.
Los análisis se llevan a cabo en tiempo real para determinar si se ha producido un incidente, como desventaja al analizarse cada paquete “in real-time” en muchos casos podemos presentar una conexion a internet “lenta”. Esto, según los estándares de banda ancha que encontramos hoy en dia, pero sera un precio que estamos dispuestos a pagar por mantener el activo más valioso de una organización: El Dato.
Cybersecurity_Bonus: Si estás interesado en realizar un despliegue de algunas de estas herramientas ya sea en un laboratorio o en tu organización (pyme) existen soluciones IDS e IPS totalmente gratuitas (opensource) que te permitirán entender estos sistemas, además de comprender su arquitectura y funcionalidad. Te recomiendo algunas: