APT: Ataques estratégicos exigen pruebas estratégicas
A medida que el riesgo aumenta, las empresas incrementan su seguridad informática mediante mecanismos de defensa especializados para repeler ataques estratégicos y específicos. En paralelo se desarrollan nuevas estrategias para evitar peligros. Pero, ¿cómo es de buena la defensa contra ataques APT que ofrecen nuevos productos en los ámbitos Endpoint Protection y Endpoint Detection & Response? El instituto AV-TEST nos explica los nuevos procedimientos de prueba para una evaluación profesional de este tipo de soluciones.
La amenaza se intensifica para empresas y organismos estatales
Hace tiempo que no es suficiente con que las empresas y organismos estatales se defiendan contra malware de masas, puesto que, a diferencia de los usuarios privados, a estos no solo los amenaza la creciente avalancha de malware de masas, sino también el progresivo aumento de los ciberataques tácticos. Estos intentan sabotear las producciones en marcha o, en el marco del espionaje industrial digital, extraer knowhow decisivo para la marca, es decir, costosos trabajos de investigación y desarrollo. Así lo demuestran los ataques de los últimos meses contra siete entidades de investigación y fabricantes de vacunas contra la COVID-19 por parte de presuntos atacantes rusos y coreanos. Otro objetivo de los atacantes son datos de clientes y otros datos comerciales relevantes. Sin las pertinentes estrategias de defensa, las empresas no solo ponen en riesgo el funcionamiento de su negocio y su competitividad, sino también su reputación en el caso de que un ataque tenga éxito.
El Barómetro de Riesgos de Allianz 2020 subraya lo precaria que consideran las empresas la situación en lo relativo a la seguridad informática: En la 9ª edición de este estudio, Allianz Global Corporate & Specialty (AGCS) encuestó a más de 2.700 expertos en riesgo de empresas de más de cien países acerca de cuáles son, en su opinión, los mayores riesgos para las empresas. En el ranking de las principales amenazas, los expertos consideraron los ciberataques a su empresa el mayor peligro existente en un 39 por ciento de los casos, notablemente por encima de su preocupación frente a guerras comerciales, la subida de aranceles, catástrofes naturales o el cambio climático.
APT: ataques tácticos estratégicos más allá del malware de masas
A diferencia de los ataques con malware de masas de gran difusión, en los ataques tácticos a empresas y organismos oficiales se aplican programas maliciosos muy desarrollados y estrategias a largo plazo. Se trata de las llamadas amenazas persistentes avanzadas (Advanced Persistent Threats, abreviado APT), que requieren tener información precisa de la infraestructura técnica de los atacados. El objetivo de este tipo de ataques tácticos es moverse por la red atacada sin ser descubiertos el máximo tiempo posible y a la mayor profundidad para causar el mayor daño posible.
Si se tienen en cuenta los ataques APT descubiertos y analizados hasta ahora se percibe rápidamente su peligrosidad y la necesidad de contar con extensas medidas de defensa. Los ataques APT tienen siempre un objetivo específico, suelen precederles meses e incluso años de planificación, y se caracterizan por el uso de una elevada cantidad de medios económicos y técnicos y por contar con equipos altamente especializados. Estas premisas al menos limitan en gran medida el número de atacantes. Con frecuencia se trata de equipos de expertos al servicio de terceros Estados u organizaciones militares. El listado de ciberincidentes más significativos (Significant Cyber Incidents) del Center for Strategic & International Studies (CSIS) ofrece una impactante visión general de los ataques descubiertos y sus supuestos autores. Adicionalmente, el análisis de ataques conocidos revela patrones de procedimiento y tácticas habituales, que, por su parte, indican con frecuencia una combinación de varias técnicas de ataque. La matriz MITRE ATT&CK constituye el estándar reconocido de las correspondientes tácticas y técnicas de ataques APT.
Combinación específica de técnicas de ataque
La falta de patrones típicos de ataque y la combinación constante de diferentes procedimientos y vectores hacen que los ataques APT sean impredecibles y extremadamente difíciles de detectar. Lo que estos ataques tienen en común es el uso de una combinación de modos de ataque y el empleo de diferentes procedimientos de ataque, que, por regla general, siguen una sucesión determinada, es decir, que recorren una especie de ciclo de vida APT.
En la primera fase de los ataques APT se suele averiguar información sobre la víctima mediante ataques de ingeniería social, así como mediante el análisis técnico de la infraestructura informática que se quiere atacar (reconnaissance). Después se seleccionan las correspondientes herramientas y técnicas de ataque (weaponization) y se introducen las herramientas de ataque seleccionadas en la red ajena (delivery). Tras una explotación exitosa (exploit), los siguientes pasos son la instalación (installation) y la fijación de las herramientas de ataque en el sistema asaltado, así como la difusión en la red. Una vez se han colocado y configurado las herramientas y se pueden administrar de forma remota (command & control), los atacantes han conseguido su objetivo y pueden desplegar los efectos deseados del ataque (action).
Para las diferentes técnicas de ataque, en la fase de reconocimiento (reconnaissance), los autores recurren con frecuencia a ataques de ingeniería social, mediante los que atacan a las víctimas con spear phishing. A continuación se utilizan herramientas estándar, que se modifican y adaptan a la situación de ataque, pero también malware de última generación. Este aprovecha a menudo lagunas de día cero de aplicaciones aún sin parchear y, por lo tanto, resulta difícil de detectar. Para detectar y repeler ataques de APT se requieren herramientas de detección y defensa lo suficientemente extensas, así como estrategias y formación integrales. Solo así se pueden detectar actividades sospechosas de los atacantes entre el enorme „ruido de fondo“ que suponen los archivos log.
Pruebas y formación: el equipo rojo contra el equipo azul
Lo ideal es que las pruebas y los cursos de formación relativos a soluciones de seguridad contra ataques APT se lleven a cabo con dos equipos enfrentados, el „rojo“ y el „azul“. El equipo rojo hace uso de las tácticas y técnicas, como lo hacen los atacantes. Esto, no obstante, requiere disponer de las herramientas correspondientes, como malware de día cero, así como de conocimientos pertinentes sobre su manejo y las tácticas de ataque específicas.
El equipo azul, por el contrario, debe detectar, analizar y, en el caso ideal, repeler o bloquear un ataque APT de este tipo. Las armas del equipo azul, por lo general, consisten en la interacción entre Endpoint Protection Platforms (EPP) y plataformas Endpoint Detection & Response (EDR). En los diferentes escenarios de prueba, las soluciones de seguridad utilizadas, su configuración y los administradores, así como las estructuras de seguridad de la empresa atacada tienen que demostrar su valía.
¿Cómo rinden las EPP y EDR?
Las Endpoint Protection Platforms se utilizan para detectar y repeler la infiltración de malware y otras herramientas usadas en ataques APT. En el mejor de los casos, este tipo de plataformas gestionan y controlan todos los dispositivos finales, es decir los endpoints de la red y les proporcionan una multitud de técnicas de seguridad disponibles, entre ellas, escáneres de virus, cortafuegos, sistemas de prevención de intrusiones y sistemas de prevención de pérdida de datos. Hasta qué punto son capaces las EPP de repeler refinados ataques APT y malware de día cero depende, entre otras cosas, de los métodos de detección utilizados. Dependiendo del fabricante de la EPP, esta recurre a métodos de análisis estáticos y dinámicos, así como a análisis de comportamiento e inteligencia digital.
Especialmente la detección de las herramientas de ataque que ya se hallan en el sistema supone ya con frecuencia un problema irresoluble para la EPP. Por eso, lo ideal es que estas reciban el apoyo de plataformas Endpoint Detection & Response para detectar ataques APT. La tarea de estos sistemas consiste en registrar las actividades de todos los dispositivos finales activos en la red y analizar los eventos que estos generan. Puede tratarse de inicios de sesión de usuarios, accesos a datos, registros o memorias, conexiones a redes y muchas otras actividades. Las EDR comparan estas actividades con el modus operandi conocido basándose en ataques APT ya analizados. Para ello, hacen uso de extensas bases de datos, que se actualizan continuamente y en las que se almacenan y combinan vulnerabilidades y patrones de ataque conocidos, y con las que se analizan patrones de comportamientos para ver si indican anormalidades y posibles ataques. Sobre la base de estos datos, los responsables de seguridad de la empresa tienen la posibilidad de poner en marcha contramedidas si se detecta un ataque.
Las pruebas avanzadas EPP y EDR de AV-TEST establecen el rendimiento en la defensa APT
El instituto AV-TEST recrea ataques realistas siguiendo el ejemplo de diferentes grupos APT o de acuerdo con escenarios actuales, por ejemplo, mediante ataques específicos de ransomware, y recurre para ello a tácticas y técnicas, según se describen en la matriz MITRE ATT&CK. Con estos realistas test de equipo rojo, los expertos en seguridad del instituto AV-TEST determinan los puntos fuertes y débiles de las soluciones utilizadas para la defensa de la empresa. Mediante ataques combinados, de acuerdo con la matriz MITRE ATT&C, los test, que cambian continuamente y se adaptan a la situación de riesgo momentánea, garantizan no solo la mejor evaluación de la capacidad de defensa, sino que también ofrecen la posibilidad de optimizar los sistemas EPP y EDR. La estructura de las pruebas desarrolladas por AV-TEST siempre es comprensible y reproducible en todo momento.
En el marco de las pruebas, usted recibe información detallada sobre el rendimiento de detección y defensa de las soluciones EPP y EDR, con un desglose detallado de la capacidad de resistencia frente a ataques APT de acuerdo con la MITRE ATT&CK Matrix. Si se superan los test correspondientes, el instituto AV-TEST concede el certificado A2EPP (APPROVED ADVANCED ENDPOINT PROTECTION) y también el certificado A2EDR (APPROVED ADVANCED ENDPOINT DETECTION AND RESPONSE), junto con el informe correspondiente para las soluciones examinadas con éxito. Los productos de seguridad certificados reciben, de este modo, un comprobante de su capacidad de resistencia frente a ataques avanzados y específicos, que hacen uso de tácticas y técnicas que son posibles en ataques APT actuales. Los certificados A2EPP y A2EDR de AV-TEST garantizan a los fabricantes de soluciones EPP y EDR que pueden demostrar la efectividad de sus productos, lo cual les aporta una ventaja competitiva decisiva.
En estos momentos, varias plataformas de Endpoint Protection y soluciones Endpoint Detection & Response se están sometiendo a la primera prueba avanzada que realiza el instituto AV-TEST. Esta prueba simula ataques de ransomware específicos a una red empresarial protegida mediante los sistemas EPP y EDR sometidos a la prueba, en concreto tras una explotación con éxito mediante técnicas y tácticas APT aplicadas actualmente. Dentro de poco, AV-TEST publicará más información sobre la prueba en curso.