Lea el artículo completo dando clic aquí
Transcripción
Lea el artículo completo dando clic aquí
EL ARTE DE LA CIBERGUERRA Institucional “Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla”. Zun Tzu. César Castillo Guerrero Business Developer Soc & Big Data Security Gamma Ingenieros Así como en las guerras tradicionales se establecen cinco principios fundamentales que determinan el resultado de la misma: la doctrina, el tiempo, el terreno, el mando y la disciplina, en el ciberespacio las guerras se rigen por los mismos principios: • La doctrina es la capacidad que tiene el gobernante o la organización criminal de tener adeptos, que los siguen sin temor y a donde sea, con tal de cumplir un objetivo específico. • El tiempo se refiere al cambio de horario, que hace que el día se convierta en noche, y durante el cual se realizan las operaciones necesarias definidas estratégicamente con antelación. • El terreno hace referencia a dónde es fácil o difícil desplazarse, es el estudio de la víctima y su conocimiento previo. • El mando es la sabiduría y coraje que tienen los ejércitos u organizaciones criminales de seguir adelante con su objetivo. • La disciplina es la organización del ataque y las reglas por seguir de manera constante para llegar al resultado esperado. En el mundo virtual las guerras funcionan de la misma manera. Su proceso de ataque inicia con el estudio previo de la víctima que determina en gran medida el éxito o el fracaso de la operación, el atacante debe conocer su objetivo en profundidad con el fin de detectar sus debilidades para posteriormente atacar. Este proceso puede durar días o inclusive semanas y es el punto de partida en donde el ciberdelicuente define la estrategia óptima de ataque, es decir el vector a utilizar: un correo electrónico o una página web comúnmente accedida por la víctima, entre otros. Así mismo, el atacante avanzado es paciente, y lanza el ataque solo en el momento en que sabe a ciencia cierta que su objetivo va a ser vencido. Las amenazas actuales, también conocidas como Amenazas Persistentes Avanzadas (por sus siglas en inglés Advanced Persistent Threats o A P T ), persiguen un objetivo específico y están desarrolladas exclusivamente para atacarlo; se alejan de las amenazas tradicionales que son impersonales y generalistas, es decir que van dirigidas a toda la población, en general. Poseen la característica de ser capaces de perdurar en el tiempo; son avanzadas, ya que deben aportar novedad en la ciencia de la seguridad informática; su estructura es multiflujo, lo que garantiza que los componentes que la conforman pasen desapercibidos por las protecciones convencionales de seguridad y están dirigidas a un objetivo específico que busca el robo de información a través del espionaje empresarial, gubernamental y militar, con fines económicos principalmente. La experticia y avance de los ciberdelincuentes es tal que año tras año evidenciamos cómo los países del mundo están siendo cada vez más atacados por organizaciones criminales sofisticadas. Durante el año 2014. el Reino Unido y Alemania fueron los países más atacados. Para el caso de América Latina las tendencias indican que los países más afectados fueron Brasil, México y Colombia, con pérdidas estimadas en USD 11.000 millones. Un estudio publicado por el Centro Criptológico Nacional de España asegura que el crimen cibernético deja más ganancias monetarias que el mismo narcotráfico. Gold Partner cibernéticos se convierte en una preocupación para las organizaciones, que ven día tras día afectados sus servicios y su información. Actualmente, las amenazas informáticas han dejado de ser parte de la ciencia ficción y se han convertido en una realidad incontrolable para los antivirus y dispositivos de seguridad tradicionales, ya que su comportamiento es cada vez más impredecible y avanzado. En vista de esta situación, la Organización de los Estados Americanos (OEA), aprobó, en el año 2004, la Estrategia Interamericana Integral de Seguridad Cibernética, que busca que los gobiernos de las Américas, las organizaciones internacionales, el sector privado y, en general, toda la sociedad civil, acuñen esfuerzos para prevenir, responder y fomentar una cultura basada en la detección temprana y el control de los ataques cibernéticos en donde se reconozca que la seguridad informática es responsabilidad de todos. Con la masificación de Internet, en el mundo cada día más personas utilizan los servicios que les provee el ciberespacio. Esto ha facilitado que las organizaciones alrededor del planeta compartan información y se comuniquen de una manera acelerada y simple hasta el punto que el internet se ha convertido en uno de los pilares de la economía, de la cultura de todos los países y, en general, de la vida cotidiana del ser humano. Los analistas de seguridad deben poseer la formación y experiencia adecuada para responder eficazmente a la presencia de dichas amenazas. Desde el año 2005, Colombia se ha venido preparando para enfrentar la ciberdelincuencia. Hoy por hoy es considerada la nación de América Latina más avanzada en temas de ciberdefensa y ciberseguridad, gracias a la creación de agencias de trabajo y respuesta a incidentes, como el colCERT (Equipo de Respuesta a Emergencias informáticas en Colombia). Junto con este boom de tecnologías y gran manojo de ventajas que nos trae el uso de internet, también, nos vemos expuestos a diferentes amenazas que buscan obtener beneficios económicos mediante el robo de información y espionaje informático. Poco a poco vemos que el esquema actual de ataques Así como el país en la actualidad está en posición de defender y contrarrestar las amenazas cibernéticas que puedan atentar contra la seguridad nacional, es primordial generar una cultura de seguridad interna en la que las organizaciones del sector público y privado complementen sus esquemas Institucional tradicionales (cuya detección y control de amenazas se basa en firmas), con esquemas avanzados (que manejan correlación de eventos y máquinas virtuales que permitan explotar internamente el tráfico, detectando cambios en los sistemas operativos), que puedan identificar un ataque de día cero (zeroday) presente en los equipos o infraestructuras críticas de las organizaciones. El informe de S A N S (SysAdmin Audit, Networking and Security Institute) galardona anualmente a los mejores fabricantes de tecnología expertos en seguridad de la información, por soluciones efectivas y eficientes en detección y contención de amenazas cibernéticas. Dentro de las categorías premiadas se encuentran: “Mejor tecnología actual por efectividad en detección de Amenazas Avanzadas” e “Inteligencia de amenazas (Threat Intelligence)” cuyo ganador indiscutible en el año 2014 fue FireEye y FireEye Mandiant sucesivamente. Ahora bien, ¿cuáles son las características que hacen que FireEye haya sido galardonado con estos premios? FireEye es una compañía estadounidense fundada en el año 2004 por Ashar Aziz, un ingeniero de Sun Microsystems. Su tecnología está basada en el uso de máquinas virtuales y correlación que permiten supervisar todo el tráfico web (FireEye NX), email (FireEye EX), contenido de archivos (FireEye FX), dispositivos móviles (MX), endpoints (HX), además de tecnologías que proporcionan a los analistas de seguridad control directo sobre potentes entornos de pruebas configurados automáticamente, con el fin de ejecutar e inspeccionar el malware avanzado y realizar análisis forense (FireEye AX) y analizar la red del cliente (FireEye PX), para detectar y bloquear la actividad sospechosa (exploits de día cero). FireEye es la única tecnología en el mercado que hoy en día es capaz de prevenir, detectar, contener y resolver las amenazas persistentes avanzadas en cualquier fase de su ciclo de vida: • Exploit inicial: un exploit se produce debido a una vulnerabilidad en una aplicación o Sistema Operativo. El ataque comienza cuando el usuario accede a una URL maliciosa a través de la navegación casual. • Descarga de Software Malicioso (Malware): en la segunda fase el archivo binario es d e s c a r g a d o ( K e y l o g g e r s , Tr o y a n o s , Backdoors, Passwords Crackers y File Grabbers). • Devoluciones de llamada (Callbacks): el malware empieza a hacer devoluciones de llamada a los servidores de comando y control (C&C) para obtener instrucciones. Para evitar ser detectados puede replicarse, disfrazarse, desactivar antivirus o volver a instalar los componentes que faltan después de una limpieza del Sistema Operativo. El software malicioso también puede permanecer en estado latente durante días o semanas. Las devoluciones de llamadas son capaces de penetrar a través de todas las capas de red, por completo y sin restricciones. • Exfiltración de Datos: los datos adquiridos de los servidores infectados son enviados a un servidor externo controlado por el atacante. • Expansión Lateral: el malware se propaga lateralmente para establecer en la red un control a largo plazo. Así mismo, FireEye proporciona actualizaciones de inteligencia de seguridad de software malicioso mediante la nube DTI (Dynamic Los servicios de Gamma Ingenieros: Entre los principales servicios que tiene Gamma Ingenieros se destacan los siguientes: • Control de APT’s • Correlación de eventos • Gestión del cambio • Capacitación • Consultoría: SGSI Bogotá: Calle 166 No. 20 - 45 PBX. +571 407 6000 Cali: Carrera 18 No. 10 - 38 Tel. +572 557 4147 Medellín: Calle 23 No. 41 - 70 Of. 408 Tel. +574 332 9906 Barranquilla: Calle 74 No. 46 - 78 Tel. +575 385 2976 Threat Intelligence), que comparte canales de callbacks encubiertos y conocimientos de nuevas amenazas, hacia todos los appliances de FireEye y desde ellos, instalados alrededor del globo; así la red de los clientes es protegida con información de amenazas avanzadas. FireEye es una solución pionera que protege de amenazas avanzadas persistentes (APT) y proporciona protección continua completa de los ataques sofisticados de hoy. Ofrece: • Análisis multiflujo que examina el tráfico en el MVX Engine (Multi vector Virtual Execution) para entender todo el contexto de un ataque cibernético, proporcionando visibilidad en todas las etapas del ciclo de vida del ataque y bloqueo en tiempo real. • Un endurecido hipervisor no susceptible a técnicas de evasión. • Correlación a través de múltiples vectores. • Validación de amenazas de la red hasta el endpoint, con un portafolio completo de seguridad. • Un equipo de respuesta a incidentes con experiencia en el tratamiento de amenazas avanzadas (APT). • Bajo coste, fácil implementación y una muy baja tasa de falsos positivos. Cabe destacar que, como Partners Gold de FireEye, Gamma Ingenieros tiene a su disposición un equipo de especialistas certificados en Colombia que están en capacidad de proveer todo el portafolio de productos y servicios, contando con pleno respaldo de la marca. • Consultoría: Protección de datos personales • Gerencia de proyectos • Reportes en la nube • Soporte @GammaIngenieros /GammaIngenierosColombia http://www.gammaingenieros.com/