Las nuevas amenazas avanzadas y persistentes comprometen la seguridad de las empresas

e esta forma y como señala Pilar Santamaría, directora de Desarrollo de Negocio y Ciberseguridad para la Región Mediterránea de Cisco, "durante los seis primeros meses de 2011 se han confirmado dos tendencias: un importante crecimiento de ataques dirigidos a empresas con el fin de obtener información confidencial o acceder a propiedad intelectual y la proliferación de amenazas avanzadas y persistentes (APTs, Advanced Persistent Threats)". Se denomina APTs a las amenazas de tipo troyano diseñadas para capturar contraseñas y tráfico de mensajes que no muestran síntomas visibles de infección, capaces de esquivar la detección de firmas y otros métodos estándares de protección, y que a menudo se apoyan en los privilegios de acceso para cruzar la red corporativa. "Teniendo en cuenta que estas nuevas amenazas avanzadas y persistentes rara vez se descubren de forma pasiva al permanecer ocultas mientras los hackers manipulan el sistema de forma remota, es necesario priorizar tanto los análisis de seguridad internos como del tráfico de datos", continúa la responsable de Cisco. Recomendaciones

El reto para las organizaciones consiste precisamente en separar las APTs de otro malware y poder identificarlo a tiempo para tomar medidas. Así, aunque se trata de una amenaza poco comprendida en la actualidad, Cisco recomienda diversas medidas para optimizar la detección y respuesta frente a las APTs. Entre ellas se encuentran: Utilizar la herramienta NetFlow (o servicios similares) para monitorizar los flujos de tráfico o conexiones de red y responder a los incidentes identificando amenazas de 'día cero' que han superado los controles de seguridad tradicionales. Reforzar los análisis, incluyendo: la capacidad para producir, recopilar y monitorizar conexiones, especialmente las más importantes (host logs, proxies y logs de autenticación y atribuciones); alguna forma de inspección de paquetes que cubra todos los cuellos de botella importantes en la red corporativa; mecanismos de análisis de malware. Establecer relaciones de confianza con otras organizaciones para compartir inteligencia sobre eventos (como FIRST, Forum of Incident Response Teams).

Asignar variables de ubicación IDS (Sistemas de Detección de Intrusiones) para que las alertas sean más "humanas" y que los equipos de seguridad puedan identificar un incidente sin necesidad de descifrar primero la alerta. Definir valores de referencia comparativos (baselining) para detectar eventos anómalos. Un ejemplo es recopilar el número de direcciones IP encontradas en cada informe de malware y buscar desviaciones con respecto a los valores esperados.

"Los cibercriminales se están centrando en ataques más dirigidos, persistentes y difíciles de detectar", destaca Santamaría. "Pero aunque no existe una fórmula mágica, las organizaciones no están indefensas; combinadas, las medidas propuestas pueden ayudar al departamento de seguridad a detectar, identificar, monitorizar y responder a los incidentes con mayor rapidez para evitar pérdidas potenciales".

Amenazas por sectores y spam

Las compañías de la industria química y farmacéutica y del segmento de energía y petróleo han sido las más expuestas a las infecciones web durante los seis primeros meses del año, con un ratio de riesgo que se sitúa en el 580 por ciento y en el 310 por ciento, respectivamente. Los segmentos de transportes y logística (170 por ciento), agricultura y minería (170 por ciento) y educación (160 por ciento) son los siguientes más expuestos según esta clasificación, mientras las compañías de servicios profesionales y ONGs corren el menor riesgo.

Con respecto al spam, la desmantelación de botnets (redes de ordenadores zombis) generalizada en 2010 y la menor actividad de Rustock -cuya máxima incidencia se registró en el último trimestre del pasado año- han tenido un impacto positivo para frenar la incidencia del spam en los seis primeros meses del presente año.

No obstante, aunque el volumen mundial de spam ha sido ligeramente inferior durante el segundo trimestre, los ataques de phising se han incrementado entre abril y junio de 2011, representando el 4 por ciento del total de spam en el mes de mayo. Frente al spam masivo se imponen así ataques de phising selectivo que suponen un serio riesgo frente a la integridad de datos personales y financieros. Igualmente, mientras los ataques de denegación de servicio (DoS) se han mantenido constantes durante el segundo trimestre del año -con los mayores picos en mayo y junio- los intentos de forzar la entrada en los sistemas mediante ataques a servidores SQL se han incrementado significativamente.

"Con independencia del motivo de los ataques -robar datos, demostrar su poder o simplemente burlarse- el número de incidentes de seguridad sigue aumentando. Los sistemas de detección y prevención de intrusiones (IPS/IDS), herramientas como NetFlow y las acciones para optimizar la detección y respuesta frente a las APTs proporcionan alertas y evaluaciones muy valiosas para una detección temprana", sentencia la responsable de Cisco.