Pasado y presente de los ataques informáticos e inteligencia de amenazas.
Cada año la situación de la ciberseguridad empeora tanto en frecuencia ya que el 90% de las empresas han sufrido algún tipo de brecha, como en su impacto el cual ha sido calculado entre los 1.46 millones de euros hasta los 3.14 millones por brecha para las grandes empresas. 2014 fue el año en el cual se reportaron las mayores pérdidas financieras por ataques informáticos dirigidos a capturar registros personales y financieros, y 2015 no parece mejorar. El costo de los ataques es mínimo, sus ganancias envidiables y su impacto financiero altísimo. En este artículo se expondrán algunos de los ataques más sonados del último año así como nuevas metodologías de defensa colaborativa.
En el intento de proteger nuestros datos las empresas emplean controles de seguridad y buenas prácticas. El conjunto de dichos controles y prácticas ha sido definido como seguridad informática y de la información. La ciberseguridad es un término utilizado de forma intercambiable con seguridad informática. Esta se encarga de proteger los ordenadores, redes, sistemas, programas y datos de accesos no autorizados, cambios o destrucción de los mismos.
Cada año la inversión en seguridad informática crece pero los resultados no son visibles; es más, cada año se presentan ataques de más alto nivel, lo cual hace parecer que las organizaciones son cada vez más indefensas. Los métodos y controles comunes no son lo suficientemente robustos para afrontar la creciente amenaza informática pues los atacantes siempre se encuentran un paso más adelante. ¿Es rentable para las empresas e instituciones seguir invirtiendo en ciberseguridad? La respuesta es sí, pero las estrategias deben renovarse para evitar de nuevo el fracaso.
Según el último informe realizado por la revista Forbes acerca de brechas de seguridad, las empresas gravemente afectadas por ataques informáticos durante el año 2014 fueron: Target, Home Depot, Jpmorgan, Neiman-Marcus, Snapchat, kickstarter, ebay, PF chang's, iCloud (Apple), Sony, así como un sinnúmero de agencias militares, gubernamentales y empresas pequeñas y medianas.
También ha sido un periodo en el que se detectaron las vulnerabilidades más significativas de los últimos tiempos, incluso algunas con nombre propio y logo asociado: Heartbleed, Shellshock, Poodle, junto a vulnerabilidades tradicionales de muy alto impacto en: Internet Explorer, Adobe Flash y Kerberos Schannel.
Figura 1. Logos de vulnerabilidades
No solo las grandes empresas han sido víctimas de los
ciberdelincuentes. También un creciente número de personas fueron
blanco de varias campañas mundiales. El botnet Zeus Gameover, basado
en un código de venta libre publicado en internet, fue adaptado por
cibercriminales para realizar fraude bancario a través de la toma de
control de dispositivos personales. En 2014 aún contaba con más de 250.000
estaciones infectadas, aunque fuera detectado en 2011. Un botnet es una
red de equipos comprometidos los cuales quedan a la disposición del
dueño de la red, utilizados usualmente para ejecutar campañas de spam,
negación de servicio, click fraud y robo de datos.
Adicionalmente se presentó el auge de Ransomware, un software malicioso, el cual cifra los archivos contenidos en los ordenadores, cuya finalidad es extorsionar a los usuarios afectados los cuales deben pagar para recuperar sus archivos. Una buena noticia es que la firma de antivirus Kaspersky liberó una herramienta llamada “Ransomware decrypter”, la cual puede revertir el cifrado de forma gratuita.
Durante el año 2015, uno de los ataques más importantes ha sido a la empresa de seguridad HackingTeam, la cual se dedicaba a comercializar software de vigilancia a gobiernos y entidades policiacas. Se publicaron 400 gigabytes de su información en Internet, incluyendo el código fuente de sus productos, buzones de correo completos, listado de clientes y facturación. Dentro del código fuente publicado se encontraban 0days de Internet Explorer y Flash. Los 0days son vulnerabilidades no reportadas o conocidas por los fabricantes o la comunidad, con las cuales se pueden explotar los sistemas sin que exista un control efectivo para su mitigación. Uno de ellos llevaba 4 años operando y no había sido detectado.
La red social Ashley Madison también fue vulnerada en 2015 y el contenido de sus bases de datos expuesto públicamente en Internet, a pesar de que esta red social hacía énfasis en su seguridad y confidencialidad. Según reportes de la BBC y CNN a esta filtración se le adjudica el suicidio de varias personas.
Fig. 2: Banner de Ashley Madison en el que se exhiben sellos de seguridad.
La firma de automatización de TI Estadounidense Landesk
informó a sus empleados de una brecha sobre sus sistemas informáticos
el pasado 18 de Noviembre. Según fuentes internas de la compañía los
atacantes llevaban más de 17 meses al interior de su red. Se sospecha
que los atacantes hayan podido plantar una puerta trasera dentro del
código fuente de sus productos, lo cual permitirá acceso remoto los
miles de clientes que los utilizan.
Continuando con la tendencia del año anterior los ciberataques sobre empresas que reciben pagos con tarjetas de crédito continúa siendo de gran preocupación. El sector hotelero ha sido especialmente afectado, el conglomerado Hilton anunció brechas sobre su red las cuales permitieron el robo de números de tarjetas de crédito, nombres de los tarjeta habientes, códigos de seguridad y fechas de expiración. La misma suerte sufrieron las cadenas de hoteles: Trump Collection, Mandarin Oriental, White Lodging y Starwood Hotels.
Los casos de ciber-chantajes no parecen menguar, tanto personas como empresas han sido víctimas de este tipo de acoso luego de un ciberataque. En el caso de las personas como consecuencia de la brecha que sufrió Ashley Madison sus usuarios fueron hostigados mediante amenazas que revelarían su comportamiento infiel ante sus parejas al menos que hicieran pagos con bitcoins. Para las empresas los datos robados a través de las brechas son utilizados para exigir pagos que llegan hasta los millones de dólares en bitcoins. Los casos más renombrados son los siguientes:Bank of Sharjah, Fidelity Bank, TalkTalk, Zoho, mSpy, y bitdefender.
El robo de datos personales sigue en auge. La empresa administradora de información financiera Experian sufrió una brecha con la cual se comprometieron alrededor de 15 millones de registros personales. Otras empresas involucradas en pérdidas de datos personales fueron: Scottrade, CareFirst, Vtech, Premera Blue Cross breach y Anthem Inc.
Por otra parte también el gobierno de Estados Unidos ha sufrido varios incidentes en 2015; los más importantes han sido aquellos dirigidos contra el Departamento de Impuestos, IRS (Internal Revenue Service) y en la Oficina de Manejo de Personal, OPM (Office of Personnel Management). Estos ataques han sido atribuidos al gobierno chino, y en parte facilitaron la aprobación de un nuevo acto legislativo de ciberseguridad llamado CISA (Cybersecurity Information Sharing Act) bastante controvertido. La polémica se debe en parte a su lenguaje vago que permite el monitoreo indiscriminado de las actividades de los usuarios y a la posible persecución legal de los investigadores de seguridad informática.
Los productos pioneros del mercado están perdiendo terreno, los antivirus no presentan la misma protección que hace unos años. Por seguir en el mercado han agregado funcionalidades complementarias a la inspección de archivos, cuentan también con: firewall, detección de intrusos local, plugins de navegadores, base de datos de actualizaciones de programas instalados. Con el aumento de su complejidad han creado nuevos vectores de ataque los cuales pueden ser aprovechados por cibercriminales, como es el caso de careto. Varios investigadores de seguridad han expuesto las fallas de seguridad en estas suites. Principalmente el investigador Tavis Ormandy de google quien ha encontrado vulnerabilidades graves en los antivirus de Sofos, Kaspersky, Eset, avast y trend micro. Lo cual ha llevado a empresas a dejar de utilizar este tipo de control en sus redes, debido a su alto costo y baja efectividad.
No se puede pensar sólo en evitar los ataques, la perspectiva debe cambiar. Hay que pensar y trabajar en su pronta identificación, respuesta y contención: es decir desarrollar la respuesta de incidentes. Para lograrlo, es necesario contar con un CSIRT (Computer Incident Response Team), un equipo de respuesta a incidentes informáticos que se encarga de recibir, revisar y responder a los eventos relacionados con la seguridad de una organización. El equipo puede no estar constituido formalmente, pero debe tener un propósito definido, es decir, que sus roles estén definidos, aunque no sean la actividad principal de las personas asignadas. Más bien, empiezan a desarrollar las tareas en el momento en que se detecta un incidente. Este equipo también puede ser contratado a través de un tercero.
Imagen 3: Ciclo de gestión de incidentes
El éxito de la defensa y la solución de incidentes informáticos
depende de impedir o responder exitosamente a todos los ataques; en
cambio, el éxito del atacante consiste en realizar un solo ataque
exitoso. Por esta razón, los defensores necesitan recolectar y procesar la mayor cantidad de datos que
les sirva de base para el análisis e identificación de los
comportamientos de actores hostiles, con el fin de contar con lo que se
ha denominado como “inteligencia de las amenazas o inteligencia colaborativa” (Threat Inteligence) basada en el intercambio de inteligencia de incidentes o eventos de seguridad.
Actualmente existe una gran variedad de fuentes de inteligencia de amenazas: internas (IPS, SIEM), públicas (Computer emergency response team, listas de correo) o comerciales (Fireeye/Mandiant, Alienvault, Verizon, Threatstream). Pero las más interesantes pueden ser las comunidades de compartición de información. Estas comunidades están integradas por varios CSIRT y su propósito es mejorar el panorama de monitorización y alertas tempranas. Su fortaleza reside en que aumentan y potencian las perspectivas, en general limitadas, de las organizaciones acerca del panorama mundial, o de las amenazas de su entorno socioeconómico. El intercambio de información particular de cada organización a través de sus CSIRT ayuda a la pronta identificación de nuevos incidentes. El conjunto de esta información o metadatos (Direcciones IP, direcciones de correo, actividad de malware), es conocida como IOC (Indicators of Compromise). Mientras más eficiente se haga el intercambio, más efectiva será la pronta identificación de un incidente y su resolución.
¿Los atacantes están en mi red?
Anteriormente la ciberseguridad se basaba en tratar de impedir todos los ataques pero esta premisa no es muy funcional. Como lo hemos expuesto con anterioridad, la cantidad de ataques y su éxito ha aumentado de forma continua. Pensar que una red es invulnerable crea únicamente un falso sentido de seguridad, ya que lograr este cometido es imposible. Precisamente por ello debemos cambiar la manera de defendernos.
La forma tradicional de enfrentar la ciberseguridad no está produciendo los resultados necesarios. Los defensores están perdiendo constantemente la información que les ha sido confiada y en muchos casos no son conscientes que sus redes ya han sido vulneradas. Los atacantes encuentran nuevas estrategias de ataque sistemáticamente, pero los defensores han continuado aplicando los mismos controles.
Existe una brecha muy grande entre ambas partes, tanto en recursos como en capacidades técnicas. Por lo tanto, se deben implementar nuevos modelos, tales como la gestión de los incidentes de seguridad con la instauración de los CSIRT, la recolección de inteligencia de amenazas y el intercambio de información. Sin ellos, la visibilidad de los ataques es nula y su detección interna difícil. En algunos casos las empresas no saben que han sido comprometidas hasta que su información es hecha pública, o son informados del hecho por un tercero. Hay casos de “malware” cuya detección tardó entre 2 y 5 años, como es el caso de flame.
Es de vital importancia que las organizaciones y sus equipos de seguridad documenten e implementen mejoras en sus procesos de seguridad informática. Hoy más que nunca, los riesgos e impactos de los ataques informáticos son muy elevados. Una fuga de la información no solo puede llevar una empresa a la quiebra, sino que incluso puede causar muertes, como sucedió en el caso de Ashley Madison.
Si una organización no cuenta con la inteligencia de amenazas necesaria es casi imposible afirmar que su red o sistemas informáticos no se encuentren comprometidos. Capturar, procesar y correlacionar los eventos de seguridad se debe convertir en una práctica estándar dentro de todas las organizaciones, ya que si no se conoce lo que sucede en el interior de las mismas, los incidentes no podrán ser detectados. Este proceso es solo el primer paso para lograr la visibilidad necesaria acerca de los ataques. Los atacantes utilizan estrategias o metodologías repetitivas en el desarrollo de sus campañas, las cuales pueden ser identificadas y convertidas en IOC’s. Con estos IOC’s se puede detectar un ataque o encontrar el nivel de afectación en cada organización. El intercambio de los IOC’s dentro de una comunidad puede ayudar en la detección temprana o a resolver el incidente de forma más efectiva. Si la comunidad recibe inteligencia de varias partes y esta es actualizada y procesada de forma efectiva se podrán evitar o solucionar los ataques con mayor destreza e incrementará el costo para los atacantes.
Los atacantes sí están en mi red. No existe un solución milagrosa para asegurar los sistemas, la seguridad no se puede comprar, cada nuevo dispositivo agregado a una red incrementa la superficie de ataque. Cada persona u organización debe considerar que ya pudo haber sido vulnerada y la única forma de poder corroborarlo es aplicando inteligencia tanto interna como colaborativa en búsqueda de IOC’s. Para lograr este cometido se plantea la siguiente estrategia de diez pasos:
________________________________________________________________________
Tomado de: https://www.linkedin.com/pulse/son-las-empresas-y-nuestros-datos-m%C3%A1s-vulnerables-que-hern%C3%A1ndez?trk=pulse-det-nav_art
Se Respetan Derechos de Autor
Cada año la situación de la ciberseguridad empeora tanto en frecuencia ya que el 90% de las empresas han sufrido algún tipo de brecha, como en su impacto el cual ha sido calculado entre los 1.46 millones de euros hasta los 3.14 millones por brecha para las grandes empresas. 2014 fue el año en el cual se reportaron las mayores pérdidas financieras por ataques informáticos dirigidos a capturar registros personales y financieros, y 2015 no parece mejorar. El costo de los ataques es mínimo, sus ganancias envidiables y su impacto financiero altísimo. En este artículo se expondrán algunos de los ataques más sonados del último año así como nuevas metodologías de defensa colaborativa.
Registros personales y ciberseguridad: ¿están nuestros datos protegidos?
Cada vez confiamos nuestros datos personales a más y más empresas, muchas de las cuales los digitalizan y almacenan en medios electrónicos de su propiedad o en la infraestructura de terceros. Cuando hablamos de registros personales nos referimos a una combinación de, al menos, dos de los siguientes elementos: nombres completos, teléfonos, direcciones de residencia, DNI's, tarjetas de crédito, correos electrónicos, fotos personales y/o contraseñas. Ninguna persona puede decir con exactitud cuántas empresas tienen almacenados sus datos, y mucho menos dónde o con qué medidas de seguridad. Nuestros datos personales son muy codiciados por los delincuentes informáticos, ya que gracias a ellos consiguen la mayor parte de sus ingresos.En el intento de proteger nuestros datos las empresas emplean controles de seguridad y buenas prácticas. El conjunto de dichos controles y prácticas ha sido definido como seguridad informática y de la información. La ciberseguridad es un término utilizado de forma intercambiable con seguridad informática. Esta se encarga de proteger los ordenadores, redes, sistemas, programas y datos de accesos no autorizados, cambios o destrucción de los mismos.
Cada año la inversión en seguridad informática crece pero los resultados no son visibles; es más, cada año se presentan ataques de más alto nivel, lo cual hace parecer que las organizaciones son cada vez más indefensas. Los métodos y controles comunes no son lo suficientemente robustos para afrontar la creciente amenaza informática pues los atacantes siempre se encuentran un paso más adelante. ¿Es rentable para las empresas e instituciones seguir invirtiendo en ciberseguridad? La respuesta es sí, pero las estrategias deben renovarse para evitar de nuevo el fracaso.
El caso Ashley Madison y otros fracasos de la ciberseguridad
2014 resultó ser un año especialmente duros para la ciberseguridad y provechoso para los ciberdelincuentes. Numerosas empresas cuyo modelo de negocio se basa, precisamente, en garantizar la confidencialidad de sus usuarios (caso Sony y Apple) o por las que pasan miles de transacciones financieras a diario (jpmorgan, ebay) han visto cómo sus sitios han sido comprometidos, sus sistemas de control de acceso y seguridad puestos en evidencia al tiempo que los datos personales que les confiaron sus usuarios fueron expuestos al público.Según el último informe realizado por la revista Forbes acerca de brechas de seguridad, las empresas gravemente afectadas por ataques informáticos durante el año 2014 fueron: Target, Home Depot, Jpmorgan, Neiman-Marcus, Snapchat, kickstarter, ebay, PF chang's, iCloud (Apple), Sony, así como un sinnúmero de agencias militares, gubernamentales y empresas pequeñas y medianas.
También ha sido un periodo en el que se detectaron las vulnerabilidades más significativas de los últimos tiempos, incluso algunas con nombre propio y logo asociado: Heartbleed, Shellshock, Poodle, junto a vulnerabilidades tradicionales de muy alto impacto en: Internet Explorer, Adobe Flash y Kerberos Schannel.
Figura 1. Logos de vulnerabilidadesAdicionalmente se presentó el auge de Ransomware, un software malicioso, el cual cifra los archivos contenidos en los ordenadores, cuya finalidad es extorsionar a los usuarios afectados los cuales deben pagar para recuperar sus archivos. Una buena noticia es que la firma de antivirus Kaspersky liberó una herramienta llamada “Ransomware decrypter”, la cual puede revertir el cifrado de forma gratuita.
Durante el año 2015, uno de los ataques más importantes ha sido a la empresa de seguridad HackingTeam, la cual se dedicaba a comercializar software de vigilancia a gobiernos y entidades policiacas. Se publicaron 400 gigabytes de su información en Internet, incluyendo el código fuente de sus productos, buzones de correo completos, listado de clientes y facturación. Dentro del código fuente publicado se encontraban 0days de Internet Explorer y Flash. Los 0days son vulnerabilidades no reportadas o conocidas por los fabricantes o la comunidad, con las cuales se pueden explotar los sistemas sin que exista un control efectivo para su mitigación. Uno de ellos llevaba 4 años operando y no había sido detectado.
La red social Ashley Madison también fue vulnerada en 2015 y el contenido de sus bases de datos expuesto públicamente en Internet, a pesar de que esta red social hacía énfasis en su seguridad y confidencialidad. Según reportes de la BBC y CNN a esta filtración se le adjudica el suicidio de varias personas.
Fig. 2: Banner de Ashley Madison en el que se exhiben sellos de seguridad.Continuando con la tendencia del año anterior los ciberataques sobre empresas que reciben pagos con tarjetas de crédito continúa siendo de gran preocupación. El sector hotelero ha sido especialmente afectado, el conglomerado Hilton anunció brechas sobre su red las cuales permitieron el robo de números de tarjetas de crédito, nombres de los tarjeta habientes, códigos de seguridad y fechas de expiración. La misma suerte sufrieron las cadenas de hoteles: Trump Collection, Mandarin Oriental, White Lodging y Starwood Hotels.
Los casos de ciber-chantajes no parecen menguar, tanto personas como empresas han sido víctimas de este tipo de acoso luego de un ciberataque. En el caso de las personas como consecuencia de la brecha que sufrió Ashley Madison sus usuarios fueron hostigados mediante amenazas que revelarían su comportamiento infiel ante sus parejas al menos que hicieran pagos con bitcoins. Para las empresas los datos robados a través de las brechas son utilizados para exigir pagos que llegan hasta los millones de dólares en bitcoins. Los casos más renombrados son los siguientes:Bank of Sharjah, Fidelity Bank, TalkTalk, Zoho, mSpy, y bitdefender.
El robo de datos personales sigue en auge. La empresa administradora de información financiera Experian sufrió una brecha con la cual se comprometieron alrededor de 15 millones de registros personales. Otras empresas involucradas en pérdidas de datos personales fueron: Scottrade, CareFirst, Vtech, Premera Blue Cross breach y Anthem Inc.
Por otra parte también el gobierno de Estados Unidos ha sufrido varios incidentes en 2015; los más importantes han sido aquellos dirigidos contra el Departamento de Impuestos, IRS (Internal Revenue Service) y en la Oficina de Manejo de Personal, OPM (Office of Personnel Management). Estos ataques han sido atribuidos al gobierno chino, y en parte facilitaron la aprobación de un nuevo acto legislativo de ciberseguridad llamado CISA (Cybersecurity Information Sharing Act) bastante controvertido. La polémica se debe en parte a su lenguaje vago que permite el monitoreo indiscriminado de las actividades de los usuarios y a la posible persecución legal de los investigadores de seguridad informática.
Nuevas estrategias para la detección colectiva de amenazas
Según Gartner el presupuesto mundial estimado para el 2015 dedicado a la seguridad informática sería de 75.4 mil millones de dolares, lo cual representa un aumento de 4.7% sobre el año anterior. La tendencia del gasto es del alza, para el 2020 se estima en unos 170 mil millones de dolares según un estudio de la empresa Markets and markets. Esto en gran parte debido al aumento en la frecuencia de los incidentes de seguridad detectados, los cuales presentaron un crecimiento del treinta y ocho por ciento (38%) sobre el año anterior. Asi como el porcentaje de empresas afectadas: El noventa porciento (90%) de las grandes empresas han sufrido algún tipo de brecha y el setenta y ocho por ciento (78%) de las pequeñas y medianas.Los productos pioneros del mercado están perdiendo terreno, los antivirus no presentan la misma protección que hace unos años. Por seguir en el mercado han agregado funcionalidades complementarias a la inspección de archivos, cuentan también con: firewall, detección de intrusos local, plugins de navegadores, base de datos de actualizaciones de programas instalados. Con el aumento de su complejidad han creado nuevos vectores de ataque los cuales pueden ser aprovechados por cibercriminales, como es el caso de careto. Varios investigadores de seguridad han expuesto las fallas de seguridad en estas suites. Principalmente el investigador Tavis Ormandy de google quien ha encontrado vulnerabilidades graves en los antivirus de Sofos, Kaspersky, Eset, avast y trend micro. Lo cual ha llevado a empresas a dejar de utilizar este tipo de control en sus redes, debido a su alto costo y baja efectividad.
No se puede pensar sólo en evitar los ataques, la perspectiva debe cambiar. Hay que pensar y trabajar en su pronta identificación, respuesta y contención: es decir desarrollar la respuesta de incidentes. Para lograrlo, es necesario contar con un CSIRT (Computer Incident Response Team), un equipo de respuesta a incidentes informáticos que se encarga de recibir, revisar y responder a los eventos relacionados con la seguridad de una organización. El equipo puede no estar constituido formalmente, pero debe tener un propósito definido, es decir, que sus roles estén definidos, aunque no sean la actividad principal de las personas asignadas. Más bien, empiezan a desarrollar las tareas en el momento en que se detecta un incidente. Este equipo también puede ser contratado a través de un tercero.
Imagen 3: Ciclo de gestión de incidentesActualmente existe una gran variedad de fuentes de inteligencia de amenazas: internas (IPS, SIEM), públicas (Computer emergency response team, listas de correo) o comerciales (Fireeye/Mandiant, Alienvault, Verizon, Threatstream). Pero las más interesantes pueden ser las comunidades de compartición de información. Estas comunidades están integradas por varios CSIRT y su propósito es mejorar el panorama de monitorización y alertas tempranas. Su fortaleza reside en que aumentan y potencian las perspectivas, en general limitadas, de las organizaciones acerca del panorama mundial, o de las amenazas de su entorno socioeconómico. El intercambio de información particular de cada organización a través de sus CSIRT ayuda a la pronta identificación de nuevos incidentes. El conjunto de esta información o metadatos (Direcciones IP, direcciones de correo, actividad de malware), es conocida como IOC (Indicators of Compromise). Mientras más eficiente se haga el intercambio, más efectiva será la pronta identificación de un incidente y su resolución.
Los IOC como herramientas clave para la detección temprana de incidentes y amenazas
Un IOC se puede definir para una gran cantidad de situaciones, eventos o anomalías de red. A continuación, se incluyen algunos ejemplos:- Aumento de tráfico HTTP o HTTPS: Al perfilar las organizaciones, en muchos casos los atacantes hacen uso de herramientas automatizadas que producen una gran cantidad de tráfico para la búsqueda de vulnerabilidades. Si se identifica una fuente que crea un alto volumen de tráfico o peticiones, se debe sospechar de un posible ataque.
- Anomalías geográficas: Si se detecta un aumento de peticiones desde ubicaciones geográficas con las que no se trata normalmente, en especial peticiones de acceso a cuentas de usuarios. Se debe investigar las causas y posibles consecuencias.
- Anomalías de horario: Los usuarios legítimos tienen unas tendencias de trabajo y acceso a recursos muy homogéneas, las cuales en general son realizadas durante el horario laboral. Los accesos en horarios no laborales y sus comportamientos deben ser monitoreados con mayor empeño.
- Aumento de tráfico de salida: En la mayor parte el tráfico a internet es de consulta, los usuarios realizan peticiones y la visualizan en pantalla. Un aumento substancial en el tráfico de salida puede ser indicativo de una anomalía o un posible compromiso.
- OpenIOC: Es un formato de XML para el intercambio de inteligencia relacionada con incidentes de seguridad informática. La inteligencia es organizada como IOC's, los cuales representan patrones que sugieren actividad maliciosa. Esta fue desarrollada por Fireeye (Mandiant).
- Incident Object Description and Exchange Format (IODEF): Es un formato de intercambio de inteligencia para CSIRT's, basado en un esquema XML. También provee la base para el desarrollo de herramientas y procedimientos interoperables para el manejo de incidentes de seguridad. Desarrollado por Working Group of the Internet Engineering Task Force (IETF).
- Vocabulary for Event Recording and Incident Sharing (VERIS): Es una herramienta desarrollada y utilizada por Verizon business para recolectar datos de incidentes de seguridad de quienes los deseen compartir. Los datos son compilados mediante una aplicación web y su finalidad es reunir datos suficientes para el análisis estadístico de los incidentes. Con la información se genera un informe anual del panorama de amenazas.
- The Structured Threat Information eXpression (STIX): Es un lenguaje que describe o detalla de una manera estandarizada y estructurada la amenaza cibernética. Desarrollado por OASIS.
- Trusted Automated eXchange of Indicator Information (TAXII): Define un conjunto de servicios e intercambios de mensajes que permiten la compartición de información sobre las amenazas cibernéticas accionables a través de la organización y los límites del producto o servicio. Desarrollado por OASIS.
- Cyber Observable eXpression (CybOX): Es un lenguaje estandarizado, sin embargo, este no está dirigido a casos de ciberseguridad, sino más bien está orientado a ofrecer soluciones cibernéticas y que sean lo suficientemente flexibles para los usuarios y permitir que estas se puedan compartir. Desarrollado por OASIS.
Darknets para la recolección de inteligencia
Existe un proyecto de Team CYMRU llamado the Darknet project, cuya premisa se basa en establecer una porción de la red dentro de la cual no se cuenta con ningún tipo de servicios o servidores de uso normal por la organización donde se imposibilita la salida de datos de la misma. En la Darknet se ubica un único servidor para hacer recolección de datos, cualquier petición que entre a esta red será capturado por el mismo y podrán ser catalogadas como maliciosas ya que en la red no se transmiten datos legítimos.¿Los atacantes están en mi red?
Anteriormente la ciberseguridad se basaba en tratar de impedir todos los ataques pero esta premisa no es muy funcional. Como lo hemos expuesto con anterioridad, la cantidad de ataques y su éxito ha aumentado de forma continua. Pensar que una red es invulnerable crea únicamente un falso sentido de seguridad, ya que lograr este cometido es imposible. Precisamente por ello debemos cambiar la manera de defendernos.
La forma tradicional de enfrentar la ciberseguridad no está produciendo los resultados necesarios. Los defensores están perdiendo constantemente la información que les ha sido confiada y en muchos casos no son conscientes que sus redes ya han sido vulneradas. Los atacantes encuentran nuevas estrategias de ataque sistemáticamente, pero los defensores han continuado aplicando los mismos controles.
Existe una brecha muy grande entre ambas partes, tanto en recursos como en capacidades técnicas. Por lo tanto, se deben implementar nuevos modelos, tales como la gestión de los incidentes de seguridad con la instauración de los CSIRT, la recolección de inteligencia de amenazas y el intercambio de información. Sin ellos, la visibilidad de los ataques es nula y su detección interna difícil. En algunos casos las empresas no saben que han sido comprometidas hasta que su información es hecha pública, o son informados del hecho por un tercero. Hay casos de “malware” cuya detección tardó entre 2 y 5 años, como es el caso de flame.
Es de vital importancia que las organizaciones y sus equipos de seguridad documenten e implementen mejoras en sus procesos de seguridad informática. Hoy más que nunca, los riesgos e impactos de los ataques informáticos son muy elevados. Una fuga de la información no solo puede llevar una empresa a la quiebra, sino que incluso puede causar muertes, como sucedió en el caso de Ashley Madison.
Si una organización no cuenta con la inteligencia de amenazas necesaria es casi imposible afirmar que su red o sistemas informáticos no se encuentren comprometidos. Capturar, procesar y correlacionar los eventos de seguridad se debe convertir en una práctica estándar dentro de todas las organizaciones, ya que si no se conoce lo que sucede en el interior de las mismas, los incidentes no podrán ser detectados. Este proceso es solo el primer paso para lograr la visibilidad necesaria acerca de los ataques. Los atacantes utilizan estrategias o metodologías repetitivas en el desarrollo de sus campañas, las cuales pueden ser identificadas y convertidas en IOC’s. Con estos IOC’s se puede detectar un ataque o encontrar el nivel de afectación en cada organización. El intercambio de los IOC’s dentro de una comunidad puede ayudar en la detección temprana o a resolver el incidente de forma más efectiva. Si la comunidad recibe inteligencia de varias partes y esta es actualizada y procesada de forma efectiva se podrán evitar o solucionar los ataques con mayor destreza e incrementará el costo para los atacantes.
Los atacantes sí están en mi red. No existe un solución milagrosa para asegurar los sistemas, la seguridad no se puede comprar, cada nuevo dispositivo agregado a una red incrementa la superficie de ataque. Cada persona u organización debe considerar que ya pudo haber sido vulnerada y la única forma de poder corroborarlo es aplicando inteligencia tanto interna como colaborativa en búsqueda de IOC’s. Para lograr este cometido se plantea la siguiente estrategia de diez pasos:
- Definir los activos de mayor valor al interior de la organización.
- Documentar los canales de comunicación entre los diferentes activos incluyendo los dispositivos de red por los cuales se transmiten los datos. Con el fin de poder determinar con certeza las diferentes ubicaciones donde se pueden generar alertas o trazas de tráfico anómalo (Inteligencia de red).
- Establecer una línea base o patrón de tráfico común.
- Establecer los indicadores para la determinación de tráfico anómalo.
- Establecer un procedimiento de manejo de incidentes de seguridad informática.
- Conformar el equipo de atención a incidentes de seguridad informática (CSIRT).
- Implementar un sistema de monitoreo de eventos de seguridad (SIEM).
- Generar IOC’s con la inteligencia recolectada de los eventos procesados por el SIEM y establecer el procedimiento de tratamiento de los mismos al interior de la red organizacional.
- Integrar inteligencia de IOC’s de fuentes de terceros confiables.
- Crear o vincularse a una comunidad de compartición de IOC’s del sector al cual pertenece la compañía.
________________________________________________________________________
Tomado de: https://www.linkedin.com/pulse/son-las-empresas-y-nuestros-datos-m%C3%A1s-vulnerables-que-hern%C3%A1ndez?trk=pulse-det-nav_art
Se Respetan Derechos de Autor