Estrategias de defensa para la lucha contra las amenazas avanzadas

Los avances tecnológicos, intereses económicos, sociales y políticos han generado un nuevo contexto de amenazas avanzadas que nunca antes se habían presentado. Estas nuevas amenazas son mucho más sofisticadas tecnológicamente, disponen de más recursos y no son detectadas por las soluciones y servicios tradicionales de seguridad. Esta problemática afecta hoy en día tanto a pequeñas como a grandes organizaciones y organismos públicos convirtiéndose todos ellos en un potencial objetivo dado que las soluciones de seguridad tradicionales (AV, firewall, IDS, DLP, etc.) no han sido capaces de dar respuesta de forma efectiva.

En este sentido, una protección efectiva frente a este nuevo tipo de amenazas debe combinar medidas de seguridad de infraestructura y perímetro tradicionales, junto con sistemas específicos para la detección de amenazas avanzadas con el fin de dificultar la intrusión inicial, reducir la posibilidad de escalada de privilegios, limitar el daño y detectar cualquier tipo de actividad sospechosa de forma temprana. Adicionalmente tras la materialización de una amenaza, debe ser posible recopilar la información que precisan los investigadores forenses para determinar el daño provocado, cuándo se ha producido y quién es el causante.

DIVERSIDAD DE ENFOQUES EN LA INDUSTRIA

Como respuesta al escenario actual, la industria está evolucionando ante las nuevas amenazas desarrollando soluciones, tanto ubicadas en la red como en el endpoint, para tratar de cubrir el espectro más amplio posible y así hacer frente a las diferentes variantes y particularidades que las caracterizan.

Centrando nuestra atención en las soluciones basadas en endpoint, las cuales se denominan como Endpoint, Detection and Response (EDR, por sus siglas en inglés), pueden categorizarse en dos grandes grupos: aquellas que disponen de mayores capacidades de detección preventiva, es decir, aquellas que detienen la amenaza antes de que sea ejecutada, o en aquellas basadas en detección analítica, es decir, las que monitorizan el comportamiento de todos los eventos del sistema en busca de patrones anómalos que indiquen un posible compromiso.

Otra de las visiones que los fabricantes han implementado en las soluciones parte de la premisa de que no existe riesgo cero, por lo que aportan funcionalidades de respuesta que centran su atención en ofrecer características forenses a los analistas para actuar tras la materialización de una amenaza. Si bien por sí mismas, las capacidades de respuesta no ofrecen protección ante amenazas avanzadas, sí suponen un complemento que habitualmente incorporan las soluciones basadas en prevención o en detección.

Tras estudiar el problema, se considera que la protección en el endpoint es clave teniendo en cuenta los siguientes aspectos. En primer lugar, utilizar elementos de red resulta ineficaz, dada la movilidad, el uso de sistemas cloud y el crecimiento del uso de canales cifrados de los propios endpoints. En segundo lugar, los usuarios finales son los que interactúan con los sistemas de la información, incluso en algunas ocasiones con permisos de administración o con acceso a información muy sensible, por lo que no debe descartarse que de forma intencionada o no los usuarios sean uno de los principales riesgos a tener en cuenta.

RECOMENDACIONES PARA SELECCIONAR UNA SOLUCIÓN

En primer lugar, la organización debería preguntarse si necesita una solución de nueva generación para protegerse de las amenazas avanzadas. Partiendo de la premisa de que dispone de alguna solución tradicional, debemos ser conscientes de que la mayoría de estas soluciones se basan en detección mediante firmas y no nos protegen de estas amenazas más avanzadas. Es necesario destacar que cualquier tipo de compañía, independientemente de su tamaño o sector es susceptible de sufrir un ataque avanzado, teniendo en cuenta que la información que albergan es la principal variable que definirá la estrategia de diseño ante amenazas avanzadas. Asimismo, a medida que las empresas más grandes y más maduras incrementan su capacidad de defensa, los cibercriminales ponen su punto de mira en empresas más pequeñas que colaboran con su objetivo final, como puerta de entrada más fácil de abrir.

La segunda consideración de la que tendríamos que partir es que no existen soluciones que cubran todo el espectro y que protejan de las amenazas avanzadas. En este sentido, existen diferentes aproximaciones que atienden diferentes necesidades, con ventajas e inconvenientes, pero que ninguna solución por sí sola ha ofrecido un resultado satisfactorio del 100% de las pruebas llevadas a cabo.

Para definir nuestra estrategia de protección, en primer lugar, debemos conocer el perfil de riesgo de nuestra organización. Este indicador vendrá definido tanto por la información de que se dispone como por el impacto producido tras un incidente. De la misma manera también debemos conocer para qué tipo de actores somos potenciales objetivos. Finalmente es importante añadir en la ecuación el presupuesto y la capacidad de operación interna, dado que no todas las soluciones tendrán el mismo impacto en términos de coste y de complejidad de operación. Como resultado, se muestra a continuación una tabla a alto nivel que relaciona el riesgo a sufrir un tipo de amenaza según la sensibilidad de información que se maneja, asociado con la capacidad de operación interna y los posibles atacantes.

Como conclusión, si se dispone de una capacidad de operación reducida y no se almacena información extremadamente sensible podrían desplegarse soluciones basadas en prevención o detección, teniendo en cuenta que la mayoría de estas soluciones incorporan ambas funcionalidades en mayor o menor medida. Por el contrario, si la capacidad de operación es alta y se maneja información de alta sensibilidad se recomienda de forma adicional a los sistemas de prevención o detección, soluciones basadas en respuesta. En ocasiones, también se puede considerar la incorporación de sistemas UEBA, ante un riesgo especial contra insider threats.

No obstante, será a partir de un estudio consultivo en base a las necesidades reales de la organización cuando se podrá definir de forma concreta la elección de la misma.

Otra consideración importante está relacionada con el perfil necesario para poder explotar al máximo estas tecnologías y la capacidad de operación interna, el cliente debe cuestionarse si dispone del personal cualificado, analistas de seguridad expertos, que le permitan explotar de forma independiente la solución desplegada. Una clara tendencia es la contratación de un servicio avanzado de seguridad del endpoint a un proveedor especializado de servicios gestionados (MSSP), que ofrezca llave en mano la solución tecnológica que mejor se adapte a sus necesidades, cuando no se dispone de los recursos adecuados. En este sentido, los proveedores de MSSP disponen de analistas con amplios conocimientos en lo relativo a las últimas amenazas y tecnologías, así como con la capacidad de acceder a fuentes de información específica como la Cyber Threat Alliance (CTA), de la que Elevenpaths es uno de los principales actores.

Como conclusión final, queremos resaltar que Telefónica dispone de una estrategia bien definida para la gestión de las amenazas avanzadas, que modula y particulariza para las necesidades reales de nuestros clientes, basándose en las acciones y trabajos realizados desde ElevenPaths, la unidad de ciberseguridad de Telefónica, y los grupos de especialistas y analistas locales que trabajan para nuestros clientes desde cada uno de los nueve SOCs que disponemos.

Miguel Ángel de Castro Simón
(Senior Cybersecurity Analyst at ElevenPaths)

Nikolaos Tsouroulas
(Head of Cybersecurity Product Management at ElevenPaths)