¿Quieres saber sobre amenazas avanzadas? Advanced Threat Protection

¿Quieres saber sobre amenazas avanzadas? Advanced Threat Protection

Aunque los ataques clásicos no se han quedado atrás, se han añadido otras amenazas en los últimos meses, que la industria de la seguridad debe responder. La razón: Las clásicas técnicas de defensa contra los clásicos correos electrónicos de spam y virus pueden tener éxito. Para los nuevos métodos como ransomware, que se centran en los objetivos o ataques específicos, así como la inclusión de enlaces ocultos de código malicioso en los correos electrónicos provocan un daño considerable. En muchas empresas prevalece la falta de conocimiento sobre los distintos tipos de ataques y un alto grado de incertidumbre sobre cómo pueden ser evitados.

 

El grupo de expertos de la Asociación eco Internet Security, de la que forma parte Hornetsecurity, han organizado un taller con el título “Locky, fraude del CEO, ¿Cómo son las amenazas avanzadas y qué se puede hacer?”. Proveedores de seguridad TI tales como Blue Coat, GData y Hornetsecurity estuvieron presentes en el evento durante el cual se habló de las cuestiones más actuales, las amenazas más avanzadas y su defensa.

 

Como Jefe de Seguridad del grupo de expertos, Oliver Dehning, lideró el taller. Publicamos un par de preguntas para ilustrar el tema.

 

Sr. Dehning, ¿qué se entiende por Advanced Threat? 

“Advanced Threat” no es más que la abreviatura, de amenaza persistente avanzada (Advanced Persistent Threat). Esto significa que, como su nombre indica, amenazas avanzadas y aun más persistentes. En sentido estricto, los ataques que se adaptan a las organizaciones o individuos. Este tipo de ataques requieren por parte del atacante planificación, en la recolección de información, un análisis preciso de dicha información, y por lo general varios pasos de ataque que estén coordinados. Los casos de Fraude del CEO, son este tipo de ataques: los atacantes son informados sobre los detalles de la organización objetivo, identifican a las personas expuestas, y luego tratan de influir en ellos, para que, por ejemplo, realicen transferencias con importes elevados a las cuentas del agresor.

 

El término “Advanced Threat Protection” (ATP) también se utiliza en la industria de la seguridad TI. Los ataques no son necesariamente avanzados, pero sí lo es la tecnología la utilizada para su detección.

 

ATP protege contra la amenaza avanzada persistente igual que antes contra ataques convencionales, tales como los virus que se propagan a través del correo electrónico de forma masiva. Utilizando la técnica, por ejemplo, “Sandboxing (La zona de pruebas)”, puede ATP proteger contra ataques y virus no conocidos previamente, a diferencia de métodos de detección tradicionales basados en firmas. El reconocimiento “de la primera copia de virus” es cada vez más importante ya que los virus enviados por correo cambian rápidamente su forma y apariencia (los llamados virus polimórficos). Para métodos de detección basados en la firma puede ser difícil de detectar, y muchas copias de virus polimórficos pasan los filtros convencionales sin dejar rastro.

 

Desde su punto de vista. ¿Aumenta la importancia de ransomware frente al malware “normal”?

Absolutamente. El fenómeno es en realidad bastante viejo, las primeras copias de estos virus son conocidas desde 1989.

Durante este tiempo, sin embargo, los kits de software están disponibles, con lo que los atacantes, pueden iniciar ataques con virus ransomware con relativamente poco esfuerzo. Esto ha llevado a un aumento drástico en el número de ataques durante aproximadamente el último año. En Hornetsecurity hemos visto con claridad  un incremento de virus detectados.   Pero uno también aprende de las conversaciones en las que prácticamente cualquiera conoce a alguien que ha sido víctima de un ataque. Algunos de ellos, espectaculares que han aparecido en los medios de comunicación.

 

¿Cómo explica que esta ingeniería social y especialmente el fraude del CEO funcionen de nuevo?

Los atacantes conocen y utilizan la conducta humana. Nuestra comunidad básicamente funciona sobre la base de la confianza. Es apropiado ser desconfiado en ciertas situaciones, pero si usted se cuestiona y examina todo, cualquier tipo de cooperación sería imposible. Los temores de los empleados, por tanto, juegan un importante papel – el miedo a hacer algo mal o parecer tonto por preguntar demasiado a menudo.

 

La protección técnica contra los delincuentes cibernéticos es solo una parte ¿Qué recomienda a las empresas para garantizar la protección integral?

La protección técnica es importante, pero también debe llevarse a cabo un análisis de las amenazas antes de adoptar medidas de protección. ¿Qué valores de la empresa son particularmente dignos de ser protegidos? ¿Qué datos y sistemas necesitan ser protegidos, aunque tal vea sean menos importantes? Los resultados de este análisis permiten hacer un uso eficiente de los fondos. En el caso de las medidas en sí mismas, además de los equipos de protección técnica, los empleados son una y otra vez importantes. Las medidas técnicas no ayudarán si pueden ser eludidas a la sombra del departamento de TI. Se deben tomar en serio las necesidades de los empleados para que no eludan las medidas de protección con el ánimo de hacer su trabajo más rápida y eficazmente.  Por tanto, una cultura empresarial abierta ayuda, por ejemplo, en el caso de atacantes del fraude del CEO, dirigido a empleados que por temor a sus jefes, evitan hacer muchas preguntas.