APT: Detecta al espía en tu red

¿Qué significa realmente vivir a la sombra de las Amenazas Avanzadas Persistentes? Las APTs son mucho más sutiles, inteligentes y peligrosas que sus predecesoras, más aleatorias y menos sofisticadas. El entorno de amenazas de internet es cada día más malicioso y no podemos confiar solo en defensas basadas en firmas. Debemos luchar con inteligencia contra la propia inteligencia.

Mientras que el cibercrimen ha evolucionado y avanzado, también mantiene un enfoque retrospectivo. El cibercrimen actual recuerda a la era de oro del espionaje de la vieja escuela – infiltrarse, esconderse y extraer información de valor y sensible sin ser detectado. Esta estrategia es especialmente efectiva en un mundo donde la información digital cada vez es más valiosa.

Infiltrarse online para robar información confidencial valiosa es el objetivo de los nuevos ciberdelincuentes, por lo que es evidente que las organizaciones tienen que estar especialmente alerta y preparadas para detectar los nuevos tipos de amenazas. La infección y ejecución de código malicioso en una red puede causar estragos ahora más que nunca por el riesgo que implica el robo de propiedad intelectual.

Una ventaja competitiva, información privilegiada o el direccionamiento IP de una compañía,  son de gran valor tanto para el Cibercriminal profesional como para los nuevos atacantes patrocinados por estados (hasta ahora no demostrado).

Las nuevas formas de trabajo como Bring Your Own Device (BYOD), donde los dispositivos personales (PCs, SmartPhones, Tabletas, etc)  se utilizan también para actividades ajenas al trabajo, como acceder a redes sociales, ayudando a las APTs. Algo tan sencillo como un enlace en Facebook a una página infectada puede proporcionar un punto de entrada a la red corporativa de una Organización. Los cibercriminales  son cada vez más hábiles a la hora de contactar con los usuarios y engañarles (Ingeniería Social) para que, inocentemente les permitan acceder a sus dispositivos y, en consecuencia a su red corporativa.

Afortunadamente, hay formas de detectar a los “espías” que tratan de infiltrarse en la red, e incluso aquellos que ya lo hayan conseguido. Todos dejan alguna huella. Se trata de buscarlas y, en el caso de localizar un presunto `espía´, engañarle para que cometa algún error que nos permita identificarle y encargarnos de él.

El “Sandboxing” no es una idea nueva, pero está resultando cada vez más útil para la lucha contra las APTs. El malware ha tratado siempre de disfrazarse y los desarrolladores de hoy en día crean software teniendo en cuenta su entorno. El sandbox – que puede ser local o basado en la nube – proporciona un entorno virtual muy controlado en el cual se ofrecen únicamente los recursos básicos para permitir la ejecución del software sospechoso o desconocido y donde el acceso a la red y a otras funciones críticas están restringidas. Se hace creer al malware que ha llegado a su destino para observar atentamente cuál es su comportamiento. Pero, ¿cómo seleccionar el software que debe pasar al entorno del sandbox virtual para un escrutinio minucioso?

Hay cinco indicios de exploits y comportamientos que, solos o en conjunto, suelen alertar sobre una actividad de malware.

Pasemos a analizarlo en detalle; las cargas útiles de algunas APTs generan aleatoriamente direcciones IP con el objetivo de ayudar a su propagación, o pueden intentar conectar con un servidor de comando y control para extraer datos o señalizar otros recursos a atacar a través de una botnet. Conocer los detalles del servidor malicioso, es el equivalente a que un presunto espía bajo vigilancia revele su propia identidad cuando llame a su jefe.

Además, en los casos documentados de APTs se recogen numerosas técnicas para ocultar el significado real y la intención que se esconde detrás de un código JavaScript malicioso, y por supuesto, el malware mimetizará el comportamiento del dispositivo o aplicación infectada para evitar ser detectado. En consecuencia, la tendencia a incorporar malware cifrado dentro del payload de las APTs eleva el nivel de riesgo del tráfico cifrado.

Para una protección más efectiva y un mayor control, el sandboxing debería operar como parte de una estrategia por capas. La primera línea de defensa será un motor antivirus soportado por un sandbox integrado y en tiempo real. Si la amenaza resulta evidene, los archivos sospechosos se pueden enviar a un entorno sandbox en la nube para su posterior análisis. Esta estrategia unificada y por capas ofrece un mayor control y velocidad en la lucha contra potenciales ataques. Y es algo necesario. A medida que el cibercrimen se sofistica y se hace multicapa, es necesario un mayor fortalecimiento de la seguridad de la organización.

Por desgracia, persiste la creencia entre muchas empresas y organizaciones de que nada de esto realmente les afecta. La ciberguerra entre distintos países, de la que tanto hablan los medios de comunicación, contribuye a reforzar esta creencia errónea. Sin embargo, en el ciberespacio no hay fronteras nacionales y todas las organizaciones, sin importar cuán grandes o pequeñas sean, son un objetivo potencial. Para los expertos cibercriminales es fácil utilizar la “ingeniería social” para conseguir acceso a dispositivos y redes, ¿cómo detenerlos si saben que la organización a la que quieren atacar es vulnerable? Además, las herramientas de cibercrimen  son cada vez más baratas y al alcance de cualquiera ¿cómo detener su proliferación?

Con las APTs acechando, las defensas de seguridad TI tradicionales se revelan obsoletas e inadecuadas. Hay una creciente urgencia por parte de las organizaciones en reconocer y aceptar los verdaderos riesgos reales que plantean las APTs y adoptar una estrategia nueva e inteligente para identificar y poner remedio a estas amenazas. En este contexto, el sandboxing se convierte en la herramienta clave para lograrlo.