Su propósito para 2015: controlar los ataques dirigidos
Protección frente a vulnerabilidades o listas blancas para los sistemas más críticos son algunos de los consejos de Raimund Genes, CTO Trend Micro, para la lucha contra las APTs.
En los próximos años los ataques dirigidos serán tan frecuentes como las amenazas más habituales del cibercrimen. Kits de herramientas baratos y fáciles de usar seguirán proliferando por el lado oscuro de la web, mientras que empresas de todos los tamaños serán víctimas de estas insidiosas plagas tan focalizadas.
Como CIO, se preguntará por qué tiene que involucrarse en esto pues, al fin y al cabo, eso es para lo que está su CISO, ¿no? Bueno, echemos un vistazo a las repercusiones. Una de las mayores violaciones de datos de los últimos años tuvo lugar cuando la cadena minorista estadounidense Target se convirtió, irónicamente, en víctima de un ataque dirigido enfocado a sus sistemas punto de venta (PoS). Los ciberladrones lograron información detallada de alrededor de 40 millones de tarjetas e información personal sobre 70 millones de clientes. Ahora, el coste de reimprimir una nueva tarjeta ronda los 8 dólares. Multiplique esta cifra por 40 millones y comenzará a entender por qué los ataques dirigidos necesitan ser tratados como un problema a nivel de la junta directiva.
Centrarse en las mentes del consejo directivo
En Europa, los consumidores no somos tan insensibles a esos fallos como nuestros semejantes al otro lado del Atlántico parecen ser. Esta es una mala noticia para los CIO. Esto significa que en el caso de que se produzca una brecha de seguridad, somos más propensos a ser cliente en otra parte, o leer los titulares y hacer un apunte mental de no utilizar esos servicios o ir de compras a determinadas tiendas. Estos costes indirectos pueden ser más perjudiciales para la empresa atacada que las multas iniciales y los costes asociados a la limpieza. En cuanto a aquellos, bueno el próximo Reglamento General de Protección de Datos de la UE, -que contempla penas de hasta 100 millones de euros o el 5% de la facturación anual mundial de la compañía- también debería tener en mente a los directivos de nivel C encargados de la seguridad de sus sistemas.
¿Por qué hablamos concretamente de ataques dirigidos? Debido a su increíble dificultad para ser detectados, éstos superan la mayoría de las defensas de seguridad tradicionales y, a día de hoy, pueden darse prácticamente en cualquier organización. Esos cibercriminales que una vez escribieron el principal malware ahora se están transformando con el desarrollo de kits de herramientas de ataques dirigidos. La razón es simplemente económica. En la actualidad, los sistemas operativos de escritorio están bastante bien protegidos de la corriente principal de virus. Los usuarios, por su parte, invierten cada vez más tiempo en sus teléfonos inteligentes y tablets -con la mayoría de los datos, por lo general, almacenados en la nube y no en el dispositivo-. En resumen, los ciberdelincuentes pueden obtener un mejor ROI lanzando ataques dirigidos contra empresas o compañías sectoriales.
Estos ni siquiera tienen que ser ataques particularmente sofisticados. Cuando surgieron por primera vez, las amenazas persistentes avanzadas (APT) estaban principalmente centradas en preservar a los estados nación. Estamos hablando seriamente de tecnología avanzada, como Stuxnet, por ejemplo. La mayoría de ataques dirigidos actuales ni siquiera recurren a las amenazas de día cero, que sólo explotan las vulnerabilidades del software que han descubierto.
Volver a la escuela
No estoy sugiriendo que los CIO no sean conscientes de los ataques dirigidos, aunque todavía muchos asumen que pueden llegar a funcionar con los sistemas de seguridad existentes: firewall, IDS / IPS, antimalware, etc. Esta parte sigue siendo importante para mantener el malware y los ataques –en efecto, elimina el “ruido” con el que su equipo de seguridad tiene que tratar-. Pero no detendrá ese ataque dirigido, que termina con una base de datos de clientes clave o una parte de la propiedad intelectual crítica cayendo en las manos inadecuadas de los malhechores.
Entonces, ¿qué se necesita? Para empezar, contar con protección frente a vulnerabilidades es un buen comienzo. Ayudará a mantener sus sistemas a salvo en caso de que no pueda aplicar parches con la suficiente rapidez. Las vulnerabilidades para las que estos parches están diseñados son, con frecuencia, los mismos fallos explotados en un ataque dirigido. También es importante contar con algún tipo de sistema de detección de brechas. Es necesario contar con herramientas que dispongan de funciones de sandboxing para detectar y bloquear correos electrónicos de spear- phishing, que normalmente configuran la primera etapa de un ataque, y que van a escanear puertos y protocolos para detectar si un ataque ya ha penetrado en su red.
Si usted necesita cualquier otro extra, estas son las herramientas que probablemente le pida un asegurador después de una brecha.
Otro enfoque que considero va a ganar enteros este año es el de listas blancas para los sistemas más críticos. Calcule lo que usted quiere que se ejecute en ellos y luego rechace cualquier cosa que no esté en dicha lista. Requiere mucho tiempo tener que aprobar manualmente cada nuevo programa de forma individual, pero vale la pena por la tranquilidad y porque hará que sea más fácil de detectar cuando algo no está del todo bien.
Los CIO deben ver el comienzo de 2015 como una oportunidad. Familiarizarse con los ataques dirigidos, cómo funcionan y cómo pueden detenerlos. Entonces se trata de persuadir a la junta directiva para que destine los fondos suficientes para mejorar las defensas de seguridad cibernética. Pregúntese cuánto le costaría a la empresa si una base de datos de clientes clave fuese explotada. Tome el 5% de esa cifra y tendrá una estimación aproximada de la cantidad a pedir.
Si con esto no logra la atención del consejo de dirección, nada lo hará.