¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Términos especiales

СпецНаз (специальные названия)

Otras ediciones de este tema (47)
  • añadir a favoritos
    Añadir a marcadores

Los ataques dirigidos y su localización

Consultas: 705 Comentarios: 0 Ranking: 2

miércoles 7 de julio de 2021

Los ataques dirigidos es un término que parece bastante peligroso y lleno de enigmas. Cada ataque APT popular suele ser objeto de discusión tanto en el entorno profesional como fuera del mismo. Pero ¿qué es en realidad? Vamos a verlo juntos. En la edición de hoy vamos a informar sobre los ataques dirigidos con más detalle, veremos cómo empiezan los mismos y cómo se puede protegerse de ellos.

Inicialmente el término APT (Advanced persistent threat) se aplicaba para las ciberamenazas militares y políticas cuyos objetivos eran los objetos de la infraestructura crítica, las autoridades estatales y los departamentos militares. Hoy día en publicaciones populares y en los medios de comunicación es un término más amplio que suele aplicarse para todos los ataques vinculados al impacto dirigido a los sistemas de información de una entidad en concreto.

Esto provoca cierta confusión: si en caso de ataques APT clásicos el motivo básico de los atacantes era el robo de la información de valor o el daño de un objeto de infraestructura, hoy día siempre se habla más de los ataques dirigidos cuyo objetivo es sacar provecho material. Puede ser un robo de dinero, de secretos comerciales o una infección de los equipos de la empresa con un cifrador con la posterior demanda del pago del rescate, como en caso de un ataque reciente al proveedor norteamericano de oleoductos Colonial Pipeline.

Pero vamos a volver a los ataques dirigidos tradicionales. Su peligro más importante radica en lo siguiente: el atacante no actúa al azar, sino crea una estrategia individual de ataque, al buscar vulnerabilidades de protección a base de los datos de investigación que pueden incluir no solo la información técnica sobre el funcionamiento de la empresa, sino también la información sobre la actividad de sus empleados, por ejemplo, sobre la hora de comer de todos ellos. Para el ataque dirigido se crean herramientas software únicas que toman en cuenta las peculiaridades de la infraestructura y de los medios de protección aplicados. La preparación para el ataque y su realización pueden llevar años. Durante este periodo, los atacantes poco a poco avanzarán para penetrar en el sistema atacado, al investigar su construcción y los mecanismos de funcionamiento del mismo.

#drweb

El funcionamiento de la mayoría de los sistemas conocidos para afrontar los ataques APT se basa en la idea de supervisión del caso dentro del perímetro protegido de la empresa y detección de las posibles características del ataque objetivo. Pueden ser varias anomalías de trabajo de usuarios y de funcionamiento de la infraestructura de red. Las soluciones similares pueden completar el conjunto de las herramientas útiles para la SI — pero solo si en la empresa existe un buen sistema escalonado multicomponente de protección que incluye los medios de seguridad de las estaciones de trabajo y servidores, los analizadores de archivos que llegan desde fuera, el control del correo electrónico y del tráfico de red, así como las políticas de seguridad configuradas correctamente. Y, por supuesto, uno nunca debe pensar que un sistema especializado permitirá hacer que la empresa sea invulnerable para los malintencionados./p>

¿Cómo empieza un ataque? ¡A través de un usuario ordinario!

El análisis de incidentes demuestra que la mayoría de los ataques empiezan no por la detección de una vulnerabilidad de protección del servidor corporativo, sino por el compromiso de la estación de trabajo de un empleado. Las causas de este compromiso pueden ser múltiples: las vulnerabilidades del día cero no corregidas de forma oportuna, los privilegios de usuario no configurados correctamente; un mensaje electrónico con malware o con un enlace al sitio web phishing, una unidad USB introducida en el equipo o simplemente un papelito con nombre de usuario y contraseña que sale en una foto publicada por un empleado en las redes sociales.

El equipo comprometido les asegura a los malintencionados un punto de entrada en el perímetro interno de la empresa. Así mismo, uno debe recordar que un ataque dirigido no siempre se refiere a toda la infraestructura de la empresa, muchas veces su objetivo clave es solo un servidor o una estación de trabajo que contiene la información requerida o controla los procesos de producción. Así mismo, las manipulaciones realizadas desde el equipo comprometido pueden pasar desapercibidas para los sistemas especializadas para afrontar los ataques АРТ en caso de corresponder a los modelos ordinarios de comportamiento de usuarios.

Por lo tanto, resulta que la seguridad de la empresa depende de la seguridad del dispositivo final de cada empleado. Eso es aún más importante para el trabajo remoto cuando los empleados están fuera del perímetro protegida y usan la conexión VPN para acceder a la infraestructura de la empresa.

#drweb

Protección de cada estación de trabajo

De esta forma, vamos a pasar de los sistemas de protección especializados a los medios de seguridad de usuarios finales, el principal de los cuales es un antivirus. Es la primera protección en la ruta de los atacantes.

El requisito clave para el uso del antivirus para la protección contra los ataques dirigidos con las amplias posibilidades del mismo de detección de actividad maliciosa no basada en firmas. En otras palabras, el antivirus debe ser capaz de detectar los tipos y las compilaciones desconocidas del malware, así como la actividad anómala en la estación de trabajo atacada y afrontarla enseguida.

Dr.Web es uno de los pioneros de implementación de los métodos de detección de la actividad maliciosa no basada en firmas y muchas veces demostraba su eficacia en la práctica. Basta con recordar la epidemia conocida del gusano cifrador WannaCry, durante la cual Dr.Web funcionó correctamente e impidió la infección de miles de quipos con el nuevo malware muy peligroso y desconocido para todos.

La solución antivirus para el negocio Dr.Web Enterprise Security Suite asegura la protección integral de todos los nodos de la red corporativa y de los dispositivos finales de usuarios, incluidos sus equipos y dispositivos móviles personales usados para el trabajo, y permite realizar la administración centralizada de directivas de seguridad al informar sobre los incidentes detectados. Se puede integrar Dr.Web Enterprise Security Suite en la infraestructura existente, y el mismo también puede ser núcleo del sistema de seguridad que permite supervisar la actividad maliciosa, al detectar y y cerrar los posibles canales de compromiso de Su infraestructura de información.

En unos casos esto permitirá afrontar el ataque completamente, en otros casos se ganará el tiempo requerido para el análisis del mismo y la creación de la estrategia de protección. Lo más importante es que, si no hay protección de las estaciones de trabajo de usuarios finales, Su protección puede, igual que la carroza de Cenicienta, convertirse en una calabaza enseguida, sin importar el uso de soluciones especializadas de protección contra ataques.

#seguridad_corporativa #antivirus #incidentes_informáticos_vinculados_a_virus #malware #extorsión #términos

El mundo de antivirus recomienda

  1. No prescinda de la protección de dispositivos de usuarios finales: solo una estación de trabajo no protegido puede ser una amenaza para la seguridad de toda la empresa.
  2. No perita a los usuarios controlar sin ayuda las opciones de protección de la estación de trabajo, todos los cambios deben realizarse de forma centralizada, según las directivas de seguridad. Y, por supuesto, el usuario no debe ser capaz de desactivar sin ayuda el software antivirus.
  3. Proporcione el control de los incidentes en las estaciones de trabajo de los empleados. En Dr.Web Enterprise Security Suite la información sobre todas las anomalías y el malware detectado entra en el Centro de control. Cualquier incidente detectado debe ser investigado y analizado con detalle.

¡Consulte las ediciones del proyecto “El mundo de antivirus” y mejore Su alfabetización digital con nosotros!

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.