Una vez más ante la brecha: lo que se necesita para derrotar a los ciberatacantes

En alianza con Hewlett Packard Enterprise y FireEye





Imagínese esto: es la noche antes de una gran fiesta. Familiares y amigos llegan a su hogar para disfrutar de una comida relajante y de un tiempo fuera de la oficina.

Pero no todos se toman un descanso.



En medio de la noche, suena el teléfono. Hay una emergencia en el trabajo: una brecha en la red. He recibido llamadas en los momentos más inoportunos, dice Marshall Heilman, vicepresidente y director ejecutivo, respuesta a incidentes y operaciones de equipo rojo en la firma de seguridad cibernética Mandiant, una empresa de FireEye. En 2014, recibí una llamada justo antes del Día de Acción de Gracias. Tuve que entrar para ayudar a una empresa que había sido atacada por un atacante avanzado, y era grave, recuerda Heilman, y agrega que su equipo luchó contra otra brecha en la víspera de Navidad de 2015. Los miembros del equipo también tienen muchas historias sobre, por ejemplo, , estando tan ocupado en las vacaciones que los empleados estaban trabajando mientras intentaban rociar un pavo al mismo tiempo, dice Heilman: Los piratas informáticos son estratégicos en las vacaciones. Comprometen a las organizaciones en esos momentos porque es cuando esperan que las defensas estén bajas.

Pero como bien sabe Heilman, los piratas informáticos no necesitan esperar hasta las vacaciones para atrapar a sus objetivos con la guardia baja. Las organizaciones de todos los tamaños son vulnerables a las infracciones durante todo el año.

Hubo un tiempo en que los expertos en seguridad cibernética usaban la analogía de un castillo para describir este tipo de ataques, donde los enemigos cruzan un foso, escalan un muro y se cuelan sin ser detectados por los caballeros. Pero Chris Leach, tecnólogo jefe de los servicios de seguridad de Hewlett Packard Enterprise (HPE), dice que esa perspectiva es obsoleta. Las viejas tácticas de tener a los caballeros vigilando el perímetro no son el mejor uso de los recursos. Debido a las amenazas cambiantes y las formas en que entran los soldados camuflados, necesitamos detectar a los intrusos más rápidamente. antes de pueden encontrar las joyas de la corona.



Andrzej Kawalec, director de tecnología de HPE Security Services, también ve una evolución en la ciberseguridad. Hoy, hay una gran asimetría en las capacidades de los atacantes y los defensores, dice. La mayoría de las organizaciones de hoy confían en los muros y fosos de antaño, pensando que se están defendiendo contra catapultas y cañones, mientras que los atacantes usan drones y tecnología sigilosa altamente específica. Y en las empresas digitales de hoy, señala, los empleados y clientes a menudo se encuentran fuera de los muros de una empresa, por ejemplo, en cafeterías y espacios de colaboración sin fuertes defensas perimetrales. Mientras tanto, como Informe de riesgo cibernético de HPE 2016 encuentra, el 86 por ciento de las organizaciones actualmente carecen de capacidades adecuadas de ciberseguridad.

Vídeo: Anatomía de un ataque

Meses en el interior



¿Cuánto tiempo pasan los adversarios dentro del perímetro antes de ser detectados? En 2015, la mediana de días fue de 146, según el Informe M-Tendencias 2016 por Mandiant. Si bien la mayoría de los ataques no se convertirán en infracciones importantes, las amenazas constantes a la seguridad cibernética son una realidad en estos días, dice Heilman. Un atacante exitoso puede obtener acceso a la red en el transcurso de una semana, o incluso en solo un par de días, dice. “Entonces, si no puede prevenir un ataque, si sabe que el atacante entrará sin importar qué, entonces desea detectarlo lo más rápido posible y luego responder. Kawalec de HPE está de acuerdo. “La gente necesita un socio de seguridad robusto, o un conjunto de socios, que entiendan cómo responder en tiempo real, dice.

Ahí es donde intervienen FireEye y HPE. Las dos empresas, que ofrecen servicios de respuesta a incidentes, evaluación de compromisos y detección de amenazas a empresas de todo el mundo, responden a miles de tales infracciones anualmente.

Hay una necesidad de aprendizaje y comprensión reales sobre la cadencia, la secuencia de eventos, dice Kawalec. Esa cadencia incluye investigación y reconocimiento, infiltración, descubrimiento, captura y exfiltración o extracción de datos. Es primordial, dice Kawalec, comprender el perfil de riesgo de su organización: debe comenzar con una pregunta simple: ¿Cuáles son sus activos digitales y las amenazas cibernéticas que enfrentan? Sin esa respuesta, lamentablemente no estará preparado para responder en tiempo real a un ciberataque potencialmente devastador.



El ciclo de vida del ataque

Resultados de la encuesta

  • Desafíos, riesgos, tendencias e impactos de la ciberseguridad

    Producido por MIT Technology Review Custom en colaboración con Hewlett Packard Enterprise Security Services y FireEye Inc.

Independientemente de si el perpetrador es un hacktivista, un ciberdelincuente o un actor de amenazas patrocinado por el estado, la cadencia (o ciclo de vida del ataque ) permanece esencialmente igual, dice Heilman. El trabajo de su equipo se inclina hacia las amenazas persistentes avanzadas (APT), que son situaciones en las que los perpetradores obtienen acceso a una red y permanecen allí durante mucho tiempo.

Después de haber investigado los sistemas y las personas de una empresa objetivo, los atacantes dan el siguiente paso: infiltrarse en una red aprovechando una debilidad, en el 80 por ciento de los casos, enviando un correo electrónico de phishing, dice Heilman. Al hacer que un humano haga clic en un enlace o abra un archivo, los atacantes pueden ejecutar su propio código malicioso, que a menudo crea una puerta trasera en la red. Eso establece un punto de apoyo desde el cual los atacantes pueden controlar sus actividades en ese entorno.

Luego viene la escalada de privilegios, explica Heilman: toman los derechos que han obtenido de los sistemas que han comprometido y los escalan a un administrador local o a un administrador principal, al acceso raíz o a lo que puedan necesitar para un mayor acceso a sistemas y datos.' Eso a menudo se logra robando credenciales, descifrando contraseñas o explotando software vulnerable.

Una vez que los atacantes han obtenido derechos administrativos, han alcanzado el estado APT. Realizan un reconocimiento, moviéndose lateralmente a través de los sistemas informáticos de la empresa, haciendo un inventario de lo que están viendo, anotando las funciones y responsabilidades de las personas clave y la ubicación de la información que desean. Los perpetradores a menudo mantienen su presencia o persistencia instalando múltiples puertas traseras en todo el entorno. “Luego intentarán lograr lo que vinieron a hacer, que a menudo es robar información: propiedad intelectual, datos financieros, detalles de fusiones y adquisiciones o información de identificación personal, por ejemplo, dice Heilman. Cuando han completado su misión, los atacantes retienen el acceso donde sea posible, en caso de que quieran regresar.

Consejos para los destinatarios: piense como los malos

En opinión de Heilman, el mejor enfoque para derrotar a los atacantes es adoptar su mentalidad: no responder a sus próximos movimientos, sino anticiparse a ellos. También debe reconocer y detectar comportamientos anómalos en su organización.

Kawalec alienta a los ejecutivos empresariales a familiarizarse con el panorama de amenazas de su empresa. Saber qué activos son más críticos y, por lo tanto, deben protegerse atentamente es una ventaja ofensiva significativa contra las ciberamenazas. 'Comprenda lo que es valioso en su organización. ¿Quién va a tratar de conseguir esos importantes activos? Eso te da una visión del riesgo, dice. Luego, comprenda si se ha visto comprometido y dónde es vulnerable. Finalmente, el mayor problema: ¿Sabes exactamente lo que vas a hacer cuando suene el teléfono en caso de una brecha? pregunta Kawalec. Esas son las grandes preguntas que cualquier líder de seguridad cibernética o director de seguridad de la información debería poder responder en nombre de su organización, porque si no pueden, están en problemas'.

Al igual que con muchos otros delitos, las primeras 48 horas posteriores a una infracción son las más críticas. Pero qué tan rápido y qué tan bien responde y se recupera una organización está determinado por lo que se ha hecho. antes de el incidente. Su respuesta de emergencia inicial depende total y fundamentalmente del trabajo que realizó meses antes: escriba y comprenda un plan de respuesta ante infracciones, identifique las funciones y responsabilidades de las personas involucradas, especialmente los primeros en responder, y luego capacite a las personas, explica Kawalec. Los simulacros también son cruciales: ejecute escenarios y revisiones de equipo rojo, o simulaciones realistas, y lleve a la junta directiva de la empresa a través de una experiencia de la vida real de un ataque cibernético, dice. De esa manera, cuando lo experimenten de verdad, no será la primera vez”.

Y no será la última vez. Como documenta el último informe de riesgo cibernético de HPE, el volumen de infracciones ha aumentado y, aunque los atacantes siguen utilizando métodos relativamente antiguos para escalar los firewalls y eludir el software antivirus y otras defensas tradicionales, también se están volviendo más sofisticados. Están ajustando sus técnicas para eludir las nuevas tecnologías de ciberseguridad. Además, están desarrollando modelos comerciales intrincados en los que colaboran en los ataques y están ampliando su alcance a Internet de las cosas, incluidos teléfonos móviles, tabletas y servicios en la nube. Todo se suma a los gastos masivos para las organizaciones: El Estudio del costo de los delitos cibernéticos de 2015: Global , realizado por Ponemon Institute y patrocinado por HPE, estima el costo medio anualizado del delito cibernético para 252 empresas evaluadas en $7.7 millones en solo un año, y la firma de investigación de seguridad informa que algunas perdieron hasta $65 millones.

Tratar con adversarios cada vez más sofisticados requiere líneas de defensa correspondientemente sofisticadas. Con eso en mente, HPE ha desarrollado un estándar de la industria Arquitectura de referencia cibernética (CRA) que brinda a los clientes un plan para servicios avanzados de protección contra amenazas y capacidades de respuesta a incidentes. Entre otras funcionalidades, la CRA incorpora los conocimientos más actuales de FireEye con respecto a las APT, aquellas situaciones en las que los atacantes establecen fuertes puntos de apoyo y causan estragos durante largos períodos de tiempo.

Esencialmente, la CRA es un libro de recetas de ciberseguridad, dice Leach, de HPE. 'La arquitectura de referencia articula cómo debería ser su organización: las áreas clave, el alcance de las responsabilidades y las métricas. Abarca desde la parte estratégica, incluida la ejecución de simulacros de respuesta dentro de una empresa, hasta las personas, las operaciones y lo que debe hacer en una infracción real, explica.

La arquitectura también incluye planos de uso específicos, sintetizando los eventos comunes y mapeándolos a la CRA para ver si aborda el riesgo y el riesgo operativo, agrega Leach. 'El director de seguridad de la información (CISO) probablemente esté abordando el riesgo de la manera más proactiva posible. Pero un CISO puede no tener todas las piezas de esa arquitectura de referencia y, por lo tanto, necesita asociarse con otros para obtener una imagen completa, dice. La CRA es realmente una guía valiosa de extremo a extremo.'

Asóciese con los expertos

Las estadísticas indican que las empresas necesitan ayuda externa con la ciberseguridad. Solo el 47 por ciento de las infracciones de 2015 que Mandiant abordó fueron descubiertas internamente por los propios empleados de una empresa; en el 53 por ciento de los casos, las empresas se enteraron de las infracciones a través de fuentes externas, como las fuerzas del orden, los medios de comunicación, los clientes o los proveedores, o incluso los propios atacantes. Kawalec dice que tal notificación externa pone a los líderes de la empresa en una posición reactiva difícil. “Significa que les resulta muy difícil controlar la situación, ordenar y dirigir la respuesta adecuada, y también comunicarse desde una posición de fuerza”, dice. Deben concentrarse en comprender y rastrear los comportamientos de los usuarios y los sistemas, y luego comparar un patrón con algo que saben que no es correcto”.

Cada vez más empresas globales recurren a HPE para obtener servicios de remediación de ciberseguridad respaldados por la detección avanzada de amenazas, inteligencia, metodologías y experiencia en respuesta a incidentes de FireEye. Los analistas de amenazas de HPE-FireEye se involucran como una extensión del equipo de ciberseguridad de una organización, brindando información e inteligencia desde la primera línea. Además de responder a los incidentes, HPE y FireEye buscan de manera proactiva indicadores de compromiso en los entornos de sus clientes.

Con 10 centros de operaciones de seguridad en todo el mundo y 5000 profesionales de seguridad que atienden a 10 000 clientes, HPE ofrece un alcance global sin precedentes. Además, FireEye tiene seis centros de operaciones de seguridad globales que brindan detección y respuesta constantes a 4400 clientes. Juntas, las dos empresas forman una poderosa asociación en ciberseguridad, dice Kawalec. 'Cuando considera los recursos de un equipo de seguridad típico en una organización bastante grande, incluso los equipos de seguridad más grandes serían solo de 15 a 100 personas. HPE y FireEye pueden proyectar la capacidad de ciberseguridad para una amplia gama de empresas. Es por eso que la gente recurre a nosotros en busca de esa ayuda.'

Para obtener más información sobre ciberseguridad, explore este sitio web de recursos de HPE-FireEye .

esconder