¿Qué es la protección avanzada contra amenazas?

Si piensa en los ataques a la ciberseguridad, es posible que piense en un hacker con capucha en un sótano oscuro "pirateando la computadora central" desde su laptop. Por mucha verdad que haya en esta imagen, también hay sofisticados actores nocivos que utilizan tecnología y métodos de vanguardia cuyo objetivo es atacar sistemas altamente protegidos. Estas amenazas avanzadas persistentes (APT) —que podrían ser estados-nación bien financiados o grupos con motivaciones nefastas— desarrollan e implementan avanzadas amenazas selectivas que se infiltran insidiosamente en los sistemas, potencialmente durante largos periodos de tiempo.

Estas amenazas avanzadas pueden ocultarse en sus sistemas sin ser detectadas, mientras cosechan los datos de su organización, incluyendo información personal y registrada. La enorme cantidad de datos que pueden recopilarse durante largos periodos de tiempo significa que estas amenazas pueden causar estragos totales en su empresa, por lo que la Protección Avanzada contra Amenazas (Advanced Threat Protection, ATP) es una necesidad crítica en sus soluciones de seguridad.

La Protección Avanzada contra Amenazas va más allá de los cortafuegos y antivirus tradicionales

Tiene que ser tan persistente y polifacética como las amenazas que intenta prevenir. En este blog explicaremos cómo son las amenazas avanzadas, cómo las soluciones ATP pueden prevenir las amenazas, así como las ventajas de dichas soluciones.

Comprensión de las amenazas avanzadas

Las amenazas avanzadas pueden ser de varios tipos, y normalmente comprenden la combinación de múltiples vectores de ataque. No obstante, por muy diferente que sea el método de ataque, lo que cada amenaza avanzada tiene en común es la capacidad de tomar el control de sus sistemas y de esconderse en su infraestructura durante periodos de tiempo potencialmente largos, evadiendo las herramientas tradicionales de detección de amenazas.

Las amenazas avanzadas se ocultan en sus sistemas por ser complejas y adaptables. Los atacantes suelen instalar backdoors mediante troyanos para poder mantener la accesibilidad cuando sea necesario. Y como estos ataques suelen ser selectivos, los actores nocivos suelen saber exactamente qué partes de su sistema son las más vulnerables. Estas amenazas no se pueden detectar de forma sencilla, pero generalmente presentan el siguiente aspecto:

• Aumentan los inicios de sesión fuera del horario de la empresa
• Troyanos backdoor generalizados
• Flujos de información inesperados

Malware y ransomware

Puede aparecer una forma más "básica" de malware, como las ventanas emergentes de publicidad en su navegador web después de haber descargado shareware infectado para ahorrarse unos dólares. O tal vez se trate de un virus más complejo que se haya descargado de un archivo adjunto de un correo electrónico y que los actores nocivos pueden explotar para obtener sus credenciales.

El infame Stuxnet es una forma avanzada de malware considerada a menudo como la primera ciberarma. Este gusano, descubierto en 2010, infectó los sistemas de al menos 14 centros industriales de Irán. Fue introducido en su sistema a través del USB, donde se autopropagó de dispositivo en dispositivo hasta alcanzar su objetivo: un sistema de control industrial de centrifugadoras. A partir de ahí, explotó las vulnerabilidades de día cero del sistema y tomó el control, mostrando que todo funcionaba con normalidad mientras hacía girar las centrifugadoras hasta hacerla fallar. Este ataque selectivo requirió el conocimiento del hardware y software de Irán, y utilizó múltiples vectores de ataque: ingeniería social, malware y vulnerabilidades de día cero.

Los grupos de amenazas avanzadas persistentes también utilizan el ransomware para sus fines. En un ejemplo más reciente, la empresa de ciberseguridad ESET descubrió que se utilizaba un ransomware asociado al grupo de amenazas Sandworm para perturbar la infraestructura energética y las empresas de logística ucranianas. Según ESET, estos ataques difieren de los ataques tradicionales de ransomware en que Sandworm probablemente nunca planeó permitir el descifrado de datos, y en su lugar borró los datos del sistema.

Phishing e ingeniería social

La mayoría de las amenazas persistentes avanzadas —90% según un informe de 2019 de Positive Technologies— empiezan con el spearphishing. En 2015, APT29, también conocida como Cozy Bear, lanzó una campaña de spearphishing que envió correos electrónicos con enlaces maliciosos a más de 1,000 destinatarios. Este ataque utilizó dominios legítimos asociados a organizaciones e instituciones educativas estadounidenses para alojar el malware y enviar los correos electrónicos. Al menos una víctima activó el malware, lo que permitió a APT29 escalar sus privilegios en el sistema y, finalmente, filtrar correos electrónicos a través de conexiones cifradas. APT29 se ha infiltrado con éxito en otros sistemas mediante spearphishing.

Amenazas internas

Es cierto que un actor nocivo puede perseguir intencionalmente la contratación en su empresa para comprometer sus sistemas. O podrían proceder de empleados originalmente inofensivos, como represalia o para obtener beneficios económicos. Pero las amenazas internas no siempre son parte activa de una amenaza avanzada. En su versión más inocente, un infiltrado puede propiciar el riesgo por negligencia o ignorancia, como descargar un archivo adjunto infectado. Por eso es importante tener un programa de capacitación en ciberseguridad y protección de redes y endpoints, pero hablaremos de ello más adelante.

Soluciones avanzadas de protección contra amenazas

Así que las amenazas avanzadas son destructivas, sofisticadas y difíciles de encontrar. Genial... ¿cómo podemos evitarlas? En su aspecto más fundamental, se requiere reforzar a las personas, la tecnología y las operaciones de su organización: defensa profunda, por así decirlo. Pero para este blog, vamos a centrarnos en el aspecto tecnológico.

Las soluciones de la ATP no son del tipo "establecer y olvidar" o de "talla única". No hay ningún software, hardware o programa de capacitación que sea suficiente para defender sus sistemas de las amenazas avanzadas. Pero, en general, las soluciones ATP deben tener estas capacidades:

Detección y respuesta a las amenazas

La protección a su organización de las amenazas avanzadas requiere la capacidad de encontrar amenazas en su sistema y responder a ellas. Para conseguirlo, hay que implementar la protección de endpoints, cortafuegos y antivirus. Una detección adecuada de las amenazas requiere:

• Monitorización constante de la salud de su red y endpoints
• Conocimiento de las amenazas actuales mediante la conectividad a repositorios de amenazas como el marco MITRE ATT&CK
• La capacidad de descubrir amenazas aún no conocidas basándose en firmas digitales y otros comportamientos.

Entonces, las políticas de seguridad bien establecidas y el personal podrán responder según sea necesario a las amenazas encontradas, utilizando las medidas adecuadas, como por ejemplo:

• Aislar de la red los sistemas comprometidos para evitar su propagación
• Actualizar políticas o herramientas que favorezcan el compromiso (por ejemplo, añadir autenticación multifactor o sustituyendo la VPN por ZTNA)
• Implementación o revisión de programas de capacitación en ciberseguridad

Inteligencia artificial y aprendizaje automático

La IA y el aprendizaje automático (ML) ayudan a cazar amenazas, es decir, a buscar vulnerabilidades y anomalías antes de que exploten. Las computadoras pueden peinar y procesar incansablemente la actividad de la red mucho más allá de las capacidades humanas, por lo que es necesario mantener una supervisión meticulosa.

Análisis del comportamiento y detección de anomalías

El análisis del comportamiento y la detección de anomalías son fundamentales. Como las amenazas avanzadas se ocultan tan bien, a veces la única señal de que algo va mal es que el comportamiento de su red se ha desviado de su línea de referencia. Para comprender su línea de referencia, deben aplicarse estas herramientas:

• El Software SIEM para monitorear y analizar los comportamientos de sus sistemas, las entidades de sus usuarios y las analíticas de sus comportamientos
• IA y ML para procesar la actividad de su red y qué usuarios acceden a su sistema y detectar anomalías.
• Las soluciones de administración de dispositivos móviles proporcionan transparencia sobre la salud y el cumplimiento de su flota de dispositivos

Sandboxing y aislamiento

Dado que los grupos de amenazas persistentes avanzadas pueden desarrollar sus propios métodos exclusivos para atacar sistemas, puede ser útil aplicar aislamiento y sandboxing. El sandboxing consiste en crear un entorno seguro y aislado que imite sus sistemas y permita a las organizaciones observar cómo se comportan los programas sospechosos en su red. Esto permite que las organizaciones comprendan mejor los métodos de los actores nocivos y aprendan cómo impedir que afecten a su sistema o puedan bloquearlos.

Protección frente a amenazas avanzadas: principales conclusiones

• Las amenazas persistentes avanzadas son ataques complejos y selectivos contra una organización
• Los grupos de amenazas avanzadas utilizan una variedad y combinación de vectores de ataque, lo que obliga a las organizaciones a defenderse por todos los flancos
• La protección avanzada contra amenazas requiere una solución polifacética que defienda los endpoints, las redes, los usuarios y la información de la empresa.
• La inteligencia artificial, el aprendizaje automático, el software SIEM, los cortafuegos, las soluciones de administración de dispositivos y los sandboxes ayudan a defender a las organizaciones.