Lo que deben saber los CEOs sobre APT y hackeo industrializado
Por Victor Anda, director Regional de Ventas Imperva México:
El mundo del hackeo ha evolucionado en dos variedades principales: ataques industrializados y amenazas persistentes avanzadas (APT, por sus siglas en inglés). ¿Cuál es la diferencia entre APT y el hackeo industrializado y cómo debe responder usted?
Hackeo industrializado
–Está enfocado en el ROI (retorno de la inversión). Todas las partes involucradas trabajan para depurar las bases, similar a la forma en que trabaja una empresa para maximizar la ganancia con la menor inversión posible.
–No es personal. Se centran en las masas, empresas y usuarios por igual, empleando criterios de selección generales. Por ejemplo, un botnet que impulsa ataques masivos de inyección de SQL o ataques de contraseñas de fuerza bruta no discriminarán entre organizaciones grandes o pequeñas.
–Tiene múltiples niveles. Cada parte implicada en el proceso de hackeo tiene un rol único y emplea un modelo financiero diferente.
–Es automatizado. Los botnets, ejércitos de computadoras enlistadas sin saberlo que controlan hackers, exploran y sondean la Web buscando explotar vulnerabilidades y extraer datos valiosos, perpetrar ataques de contraseñas de fuerza bruta, diseminar spam (o correo no solicitado), distribuir malware y manipular resultados de los buscadores.
Los tipos de ataque incluyen:
–Robo de datos o inyecciones SQL. El robo de datos es el que se realiza más comúnmente a través de inyecciones SQL. Entre enero y junio de 2009, IBM reportó casi 250,000 ataques diarios de inyección SQL a sitios Web de todo el mundo.
–Ataques a lógica del negocio y no el código de las aplicaciones. A menudo pasan sin ser detectados. De hecho, la mayoría de las vulnerabilidades en la lógica del negocios son difíciles de anticipar y de detectar utilizando herramientas de prueba automatizadas, como analizadores de código estático y exploradores de vulnerabilidades. A menudo el tráfico de ataques se asemeja al tráfico normal de aplicaciones. Los ataques no suelen ser evidentes desde el código y son demasiado diversos para expresarse a través de pruebas genéricas de exploradores de vulnerabilidades.
–Ataques de negación de servicio. Este tipo de ataque suele ser ejecutado como parte de un esquema de chantaje que obliga a los dueños de aplicaciones a pagar un rescate por liberar su aplicación de la invasión de tráfico inservible. Por ejemplo, los atacantes amenazarán con desactivar sitios de juego en línea a cambio de una suma determinada.
Amenazas persistentes avanzadas
Las amenazas persistentes avanzadas (APT) son impulsadas, por lo general, por dependencias de gobierno o sus contrapartes terroristas. Rara vez las APTs son impulsadas por organizaciones políticas o comerciales. Sin embargo, en algunos casos, surgen amenazas marginales de individuos obsesivos y organizaciones comerciales legítimas. Características principales del hackeo APT:
–Es muy personal. La parte atacante selecciona cuidadosamente los objetivos basándose en intereses políticos, comerciales y de seguridad. Una APT emplea a menudo ingeniería social.
–Es persistente. Si el objetivo muestra resistencia, el atacante no desistirá, sino que cambiará la estrategia e implementará un nuevo tipo de ataque contra el mismo objetivo. Es posible también que el atacante decida cambiar de una amenaza externa a una interna.
–Enfocada en control. Las APTs se centran en ganar el control de una infraestructura crucial, como redes eléctricas y sistemas de comunicación. Asimismo, las APTs se centran en datos compuestos de propiedad intelectual e información confidencial de seguridad nacional. Sin embargo, los datos personales no interesan. De manera sorprendente, a los hackers APT no les interesan tanto los costos o los ingresos. Por lo tanto, se pueden destinar grandes presupuestos sin justificación “financiera”. ¿Cómo puede cuantificar la seguridad del estado?
–Es automatizada, pero en pequeña escala. La automatización se utiliza para elevar el poder de un ataque contra un objetivo, no para lanzar ataques más amplios a múltiples objetivos.
–Es de un nivel. Una parte posee y controla todos los roles y responsabilidades de hackeo. De hecho, las organizaciones gubernamentales más serias operan sus propios botnets (o al menos toman control de partes de botnets).
¿Cómo pueden responder los profesionales?
El hacker industrializado quiere dinero. Si tiene presencia en la Web, usted es un blanco potencial para los ataques industrializados (incluso si la suya es una organización pequeña). Necesita utilizar actualizaciones oportunas sobre fuentes de ataque para identificar a los atacantes. Como está destinado a ser atacado, debe hacer hincapié en manejo y operaciones sencillos, con protección contra vulnerabilidades conocidas y tipos de ataques comunes, como inyecciones SQL, XSS y CSRF.
Por otra parte, las amenazas persistentes avanzadas son mucho más refinadas. Considérese un blanco si posee información confidencial que sea de beneficio para gobiernos.
Si ha identificado una APT, entonces necesita recolectar y revisar información de auditoría relacionada con el acceso a activos delicados.
En ambos casos, debe proteger su sitio y sus clientes empleando un procedimiento rápido de exploración de vulnerabilidades de seguridad. Además, la implementación de un firewall de aplicaciones Web le proporcionará una primera y última línea de defensa. Sin embargo, considerando la naturaleza más tipo James Bond de las APTs, quizá necesite también una solución poderosa y completamente personalizable que se integre con tecnologías de evaluación de vulnerabilidades.
