Columnas

Para detener atacantes avanzados, busque indicadores poco frecuentes

Redacción04/10/2013
3 minutos de lectura

Por Josué Hernández, arquitecto en seguridad de Sourcefire México:

 

Los atacantes avanzados tienen los recursos, la experiencia y la persistencia de comprometer cualquier organización, en cualquier momento. Comprenden la naturaleza de las tecnologías clásicas de seguridad y sus aplicaciones. Llevan a cabo sus ataques, frecuentemente utilizando herramientas que han sido desarrolladas específicamente para eludir la infraestructura de seguridad elegida por el destino. Una vez que penetran en la red hacen lo posible para no ser detectados, utilizando tecnologías y métodos que se traducen en indicadores de compromiso casi imperceptibles para llevar a cabo su misión.

 

El desafío para los defensores es que las tecnologías de seguridad tradicionales se centran en la detección de fuertes indicios de compromiso, tales como el malware y otras amenazas conocidas, pero no puede capturar o analizar indicios débiles de compromiso. Además, estas tecnologías son sólo capaces de tomar una determinación en un solo punto en el tiempo. Si se pierde esa oportunidad de identificar y bloquear una amenaza, la mayoría de los profesionales de seguridad de TI no tienen manera de seguir vigilando los archivos una vez que entren en la red y tomar medidas si resultan ser malicioso. Con el tiempo se dará cuenta de que una violación ha ocurrido, incluso puede tomar meses o años para descubrirlo, de acuerdo con el último informe sobre investigaciones de filtración de datos de Verizon del 2013. En ese momento, dejan la llamada al equipo forense para averiguar lo que pasó y lo que fue robado o destruido.

 

Para recuperar el control de estos ataques, los defensores necesitan una nueva amenaza-centrada enfocada a la seguridad para hacer frente al ataque, antes, durante y después, con una visibilidad continua en los indicadores de compromiso y seguridad retrospectiva para contener y detener el daño. Algunos ejemplos de actividades que podrían indicar compromiso incluyen, un sistema que intenta comunicarse nuevamente con una dirección IP conocida (incluidos en listas negras), tratando de acceder a una parte de la red, a un dispositivo o a una base de datos que no haya accedido antes, o la creación de un proceso que no lo haría en circunstancias normales. De forma aislada cada una de estas actividades no es un evento de detección o prevención, pero cuando se correlaciona con la inteligencia malware y otras conductas, incluso los aparentemente benignos o no relacionados, que pueden indicar un compromiso.

 

Ser capaz de identificar los indicadores de compromiso una vez que una amenaza haya accedido en la red, requiere adoptar un enfoque de dos niveles con herramientas y procesos que combinan las capacidades de trayectoria, grandes análisis de datos y visualización para permitir lo siguiente:

 

Nivel 1: el análisis y la respuesta automática. Identificar las tecnologías que utilizan las capacidades de trayectoria para rastrear las actividades a nivel de sistema, origen y relaciones de archivo y luego un análisis de datos grandes para aprovechar causa raíz y el análisis forense. Cuando se combinan, estas tecnologías pueden resaltar e identificar patrones sutiles de comportamiento e indicadores débiles, sugiriendo que un compromiso ha sucedido y que probablemente una violación ha ocurrido. La capacidad de alertar y tomar medidas de forma automática puede acelerar la respuesta y ayudar a mitigar los daños.

 

Nivel 2: La inteligencia procesable. Las tecnologías de visualización también son importantes para que usted pueda comprender la cadena de acontecimientos que condujeron y continuaron un posible compromiso. Esto le permite aplicar un contexto basado en su experiencia, perspectiva y conocimiento de las actividades que suceden en ese momento en su entorno para hacer una determinación aún más matizada de actividades sospechosas e identificar los indicadores de compromiso. Si identifica un indicador de compromiso se puede ver lo que está ocurriendo en su entorno en ese momento, mirar hacia atrás en los acontecimientos que precedieron y controlar las actividades que podrían ser riesgosas. Si usted determina que probablemente una violación ha ocurrido, ubicando el punto de origen y entendiendo el alcance de la exposición que puede detener el ataque y repararlo.

 

Los atacantes dependen del hecho de que los defensores se enfocan en las tecnologías de detección y prevención solo para buscar las amenazas y eliminarlas. Como resultado, cibercriminales utilizan señales débiles para crear indicadores casi imperceptibles de compromiso para intentar mantenerse por debajo del radar de defensores. Mientras que la detección y la prevención son esenciales para cualquier estrategia de seguridad y defensa, los defensores también tienen la capacidad de atar eventos no relacionados para identificar una amenaza que ha evadido las defensas. Con una visión decisiva de trayectoria, análisis de grandes volúmenes de datos y capacidades de visualización los defensores ahora pueden comprobar qué punto en el radar, afinarlo, comprenderlo y tomar medidas.

 

[email protected]

Etiquetas
Redacción04/10/2013
3 minutos de lectura

Publicaciones relacionadas

La innovación al servicio de los negocios con tecnología de nube

23/04/2024

UPS: la clave para una infraestructura de TI confiable y resiliente

18/04/2024

La importancia de los datos para comenzar un proyecto de IA

15/04/2024

Conectividad y digitalización de las redes de transporte

11/04/2024
Mira también
Cerrar
Botón volver arriba


Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap