LIBRO BLANCO

Ataques dirigidos | Julio 2012

amenazas
avanzadas
persistentes:
defenderse del
interior y del
exterior
Russell Miller

Gestin de la seguridad de CATechnologies

agility
made possible

Ataques dirigidos

ndice

resumen ejecutivo

SECCIN 1: Reto

Amenazas avanzadas persistentes:

No es lo mismo de siempre
SECCIN 2: Oportunidad

Defensa en profundidad
SECCIN 3: Ventajas

14

Reduzca el riesgo.
SECCIN 4: Conclusiones

14

SECCIN 5: Referencias

15

SECCIN 6: Acerca de los autores

16

Ataques dirigidos

resumen ejecutivo
Reto
Proteger una organizacin es un reto cada vez ms difcil. Los ataques se estn volviendo ms
complejos y el aumento de las amenazas avanzadas persistentes (un tipo de ataque dirigido) ha hecho
que las organizaciones sean ms conscientes de su vulnerabilidad frente a ataques. Las empresas,
desde RSA Security a Google y Northrup Grumman, han sido objetivo de APT. No haber sido vctima
de un fallo significativo en el pasado no garantiza la seguridad en el futuro, ya que las organizaciones
que han sido objetivo especfico de las APT se enfrentan a retos distintos a los habituales de los
administradores de seguridad, como la prolongacin de las acciones a lo largo de meses o aos para
evitar la deteccin. Los daos que causa un fallo tambin estn aumentando, lo que hace que este reto
sea an ms real para los ejecutivos de alto nivel.

Oportunidad
No existe nada infalible cuando se trata de defenderse contra las APT. Deben emplearse varios niveles
de proteccin que reduzcan la posibilidad de fallos de seguridad y mitiguen los daos en caso de que
ocurran.
La estrategia inicial para defenderse frente a los ataques especficos era asegurar el permetro mediante
cortafuegos y sistemas de deteccin de intrusiones para detectar y bloquear comportamientos
anmalos. Esta estrategia puede ser efectiva al defenderse contra ciertos tipos de ataques, pero no
puede proteger frente a todos los vectores de ataque, como el spear phishing y la ingeniera social.
Si bien no hay ningn producto de seguridad (basado en la tecnologa u o de otro tipo) que pueda
proteger completamente una organizacin de las APT, la disponibilidad de hoy da de las soluciones
de seguridad para varios dominios puede ayudar a las organizaciones a protegerse mejor que nunca.
La gestin de identidades con privilegios, el control y la proteccin de la informacin y la seguridad de
la infraestructura interna son reas que se han abordado tradicionalmente de forma aislada, pero ahora
pueden combinarse para permitir a las organizaciones proteger su infraestructura de TI y sus centros
de datos complementariamente. CATechnologies lo llama inteligencia de datos e identidad.

Ventajas
Al entender y protegerse frente a las amenazas avanzadas persistentes, las organizaciones reducen
el riesgo en el caso de que fueran objetivo de un ataque. La reduccin del riesgo no es nicamente
econmica, sino tambin operacional, legal, normativa y de reputacin.
Al tener una visin completa de la seguridad que pueda utilizarse contra las APT, una organizacin
tambin se protege de los ataques menos avanzados, automatizados e incluso internos. Una estrategia
exhaustiva de seguridad tiene otras muchas ventajas, como mejorar el cumplimiento, permitir servicios
en la nube, mejorar la seguridad de virtualizacin y permitir el ahorro en los costes.

Ataques dirigidos

Seccin 1: Reto

Amenazas avanzadas persistentes: no es lo mismo

de siempre
Las amenazas avanzadas persistentes presentan retos que se diferencian de los tradicionales riesgos
de seguridad. El coste medio que ha estimado el Ponemon Institute es de 5,5 millones de dlares
estadounidenses en 20111, lo que convierte los fallos de seguridad en una preocupacin fundamental
incluso para ejecutivos de alto nivel.
Definicin
La amenaza avanzada persistente se refiere a un ataque sofisticado y a largo plazo dirigido especficamente
a una entidad. El atacante est a menudo apoyado por un estado y busca obtener informacin de gran
valor de otros gobiernos, pero tambin pueden llevarlo a cabo organizaciones privadas y tenerlas como
objetivo. Las fuerzas areas estadounidenses utilizaron el trmino por primera vez en 2006.2
El National Institute of Standards and Technology (NIST) define las APT del modo siguiente:3
La amenaza avanzada persistente es un adversario con niveles sofisticados de recursos expertos/
significativos que usa varios vectores de ataque (ej. ciber, fsico y engao) para generar oportunidades
de conseguir sus objetivos. Estos objetivos suelen consistir en establecer y ampliar puntos de apoyo
dentro de la infraestructura de TI de las organizaciones con el propsito de extraer informacin
continuamente, o socavar o impedir aspectos fundamentales de una misin, programa u organizacin,
o lograr una posicin desde la que realizar estas acciones en el futuro. Adems, la amenaza avanzada
persistente persigue sus objetivos repetidamente en un perodo amplio de tiempo, adaptndose a los
esfuerzos del defensor para resistir y con la determinacin de mantener el nivel de interaccin
necesario para lograr sus objetivos.
Aunque las definiciones varen, las tres palabras ayudan a clarificar qu es la amenaza avanzada
persistente:4
Avanzada: El atacante tiene capacidades tcnicas significativas para poder aprovechar las
vulnerabilidades del objetivo. Esto puede incluir acceso a grandes bases de datos de vulnerabilidades
y habilidades en codificacin y brechas de seguridad, pero tambin la capacidad de descubrir y sacar
provecho de vulnerabilidades desconocidas anteriormente.
Persistente: Las amenazas avanzadas persistentes (APT, del ingls advanced persistent threat)
suelen ocurrir durante un amplio perodo de tiempo. Al contrario de los ataques a corto plazo que
aprovechan las oportunidades temporales, las APT pueden tener lugar a lo largo de aos. Pueden
utilizarse varios vectores de ataque, desde los ataques basados en Internet hasta la ingeniera social.
Los fallos de seguridad menores pueden combinarse a lo largo del tiempo para obtener acceso a
datos ms significativos.
Amenaza: Para que sea una amenaza, tiene que haber un atacante con la motivacin y la habilidad
para llevar a cabo un ataque con xito.
Las herramientas automatizadas no se consideran una APT, aunque un grupo coordinado y organizado
puede utilizarlas como parte de un ataque mayor.

En las organizaciones ms grandes, el 50% de los ataques en 2011 fueron dirigidos,

lo que representa el 64% de todos los registros robados.5

Ataques dirigidos

Etapas
Una amenaza avanzada persistente tpica puede constar de las cuatro etapas siguientes:

Ilustracin A.
Las cuatro etapas
de una amenaza
avanzada persistente

1. Reconocimiento: Investigacin de las vulnerabilidades de una organizacin. Esto puede incluir

la investigacin bsica, incluida las consultas de dominios, sobre los anlisis de puertos y
vulnerabilidades.
2. Entrada inicial: Aprovechamiento de las debilidades para obtener un punto de apoyo en la red
objetivo. Puede llevarse a cabo mediante mtodos tcnicos sofisticados o tcnicas como el spear
phishing (ataques directos de phishing) que tienen como resultado el acceso habitual de un usuario
a un nico sistema. La ingeniera social, o el aprovechamiento de las personas, es tambin otro
mtodo comn para obtener acceso.
3. La elevacin de los privilegios y la expansin del control: Una vez que el atacante penetra en
el permetro de la red, intenta obtener privilegios adicionales y lograr el control sobre sistemas
importantes. Este paso tambin puede suponer la instalacin de herramientas de puerta trasera
para simplificar el acceso futuro a la red.
4. Aprovechamiento continuo: Una vez que se ha establecido el control, un atacante puede exportar
continuamente datos confidenciales.
La tercera y cuarta etapas pueden suceder a lo largo de los aos para reducir el riesgo de deteccin.
Qu hace diferentes a las APT?
La diferencia ms importante entre las APT y las amenazas normales es que estn dirigidas
especficamente a una organizacin. Aunque la defensa del permetro y la utilizacin de los controles
de seguridad habituales pueden proteger una organizacin frente a los ataques estndar, estas tcnicas
pueden no ser suficientes para enfrentarse a las APT. Los atacantes que sean pacientes pueden esperar
a nuevas vulnerabilidades para aprovechar una debilidad o pueden combinar vulnerabilidades
aparentemente pequeas en un ataque daino a gran escala.
Para enfrentarse a tal amenaza, no pueden aplicarse las normas habituales. En el pasado, muchas
organizaciones simplemente necesitaban una seguridad mejor que otras organizaciones y empresas
conectadas a Internet, ya que muchos atacantes elegan objetivos ms sencillos. Sin embargo, con las
APT, las organizaciones tienen que poder derrotar a un enemigo motivado que se tomar su tiempo en
buscar debilidades en vez de pasar a otro objetivo.
El marco temporal de las APT puede hacer tambin que las detecciones sean especialmente difciles.
En los fallos de seguridad estndar, cantidades de datos significativas pueden exportarse en un perodo
de tiempo corto, lo cual permite detectar el posible fallo mediante cortafuegos y dispositivos de
deteccin de intrusiones. Un atacante en una APT puede tardar meses e incluso aos en exportar los
datos marcados como objetivo, venciendo incluso sistemas bien configurados y con todas las funciones.

Ataques dirigidos

Objetivos

Objetivos

Debido a su naturaleza dirigida, los autores de las APT a

menudo tienen objetivos diferentes a los de los piratas
informticos estndar de Internet, incluido un creciente
inters en los siguientes aspectos en vez de en el
simple robo y dao como entretenimiento:

Ciertos tipos de organizaciones corren ms riesgo de

sufrir las APT debido a que, a menudo, la amenaza
tiene fines polticos y est respaldada por un estado:

Manipulacin poltica

Organizaciones gubernamentales
Contratistas y organizaciones de defensa

Espionaje econmico

Sistemas de infraestructuras importantes

(p. ej., sistemas pblicos de servicios,
comunicaciones y transporte)

Espionaje tcnico

Organizaciones polticas

Extorsin financiera

Instituciones financieras

Espionaje militar

Empresas tecnolgicas

Ejemplos
RSA
En 2011, RSA Security anunci que haba sido vctima de lo que defini como una APT6. Los atacantes
consiguieron entrar engaando a un usuario interno para que abriera un correo electrnico que tena
como adjunto una hoja de datos que aprovechaba una vulnerabilidad de da cero en Adobe Flash.
Desde ah, los atacantes fueron adquiriendo privilegios, instalaron puertas traseras y obtuvieron el
control de otros sistemas.
Los atacantes pudieron acceder a los sistemas de RSA que contenan informacin relacionada con
sus tokens de autenticacin de dos factores, conocidos como SecurID. Esta informacin incluye
potencialmente valores de inicializacin, los cuales RSA utiliza con sus tokens para generar contraseas
de un nico uso que cambian cada 60 segundos. Si robaran el cdigo fuente, los atacantes podran
buscar vulnerabilidades en la implementacin del SecurID o incluso en el propio cifrado.
Operacin Aurora
La Operacin Aurora fue una APT que tom como objetivo varias empresas grandes, incluidas Google,
Adobe, Rackspace y Juniper Networks. Los informes de la prensa sugieren que otras muchas empresas
fueron objetivo, incluidas Yahoo, Northrup Grumman, Morgan Stanley, Symantec y Dow Chemical.7
Se cree que el Politbur de China dirigi los ataques como parte de una campaa coordinada y a gran
escala contra EE.UU. y otros pases occidentales.8

Las APT son difciles de detectar. Segn el Verizon 2012 Data Breach
Investigations Report, el 92% de todas las organizaciones y el 49% de las
organizaciones grandes se han dado cuenta de un fallo de seguridad mediante
la notificacin de otros.9

Ataques dirigidos

Seccin 2: Oportunidad

Defensa en profundidad
La clave para defenderse frente a las amenazas avanzadas persistentes es la defensa en profundidad.
Con el tiempo suficiente, un atacante decidido podr poner en peligro la mayora de los permetros de
red. Una defensa con xito:
1. Har difcil la penetracin inicial.
2. Reducir la potencial escalada de privilegios en caso de que la cuenta est amenazada.
3. Limitar los daos que se pueden producir debido a una cuenta amenazada, incluso si tiene
privilegios.
4. Detectar las cuentas amenazadas y la actividad sospechosa en una fase temprana del proceso.
5. Recopilar informacin til para una investigacin forense, para poder determinar qu daos se
produjeron, cundo y quin los produjo.
Proteger el permetro con sistemas de cortafuegos y de deteccin de intrusiones en los lmites de la red
nicamente puede ayudar con las defensas primera y cuarta. Se necesita una estrategia de proteccin
ms activa.
Deteccin temprana
Los fallos de seguridad a menudo se detectan despus de que el atacante ha accedido a una red interna
y ha causado daos o ha robado grandes cantidades de datos. En ese punto, la defensa frente a la APT
supone un costoso proceso de control de daos, limpieza y seguimiento continuo. La clave de una
proteccin asequible y manejable frente a las APT se encuentra en la deteccin de las amenazas tan
pronto como sea posible. En la fase inicial de un ataque, cuando un atacante consigue un precario
punto de apoyo en la red, una organizacin puede utilizar varias tcnicas para detectar un fallo,
incluidas la separacin y externalizacin de la seguridad del sistema de la administracin del sistema,
la prevencin y deteccin de intentos de escalada de privilegios y utilizacin no autorizada de privilegios,
la auditora y registro de actividades de los usuarios fuera de los registros del sistema operativo (tales
auditora y registro pueden ser desconocidos por el atacante).
La gestin de identidades con privilegios, el control y la proteccin de informacin, y la seguridad
interna de las infraestructuras forman el ncleo de una defensa en profundidad frente a las APT,
junto con una deteccin temprana. Estas tcnicas se detallan en los siguientes apartados.
La gestin de identidades con privilegios
Las herramientas de gestin de identidades con privilegios (PIM) gestionan y controlan las cuentas
administrativas, como la de administrador en Windows y la root en UNIX y Linux. Los sistemas PIM:
Implementan el principio del privilegio mnimo, incluso para las cuentas administrativas.
Gestionan el acceso a las cuentas compartidas mediante las capacidades de gestin de contraseas
de los usuarios con privilegios.
Siguen las actividades de los usuarios tanto para ayudar a garantizar la responsabilidad como para
contribuir en una investigacin sobre el fallo de seguridad.

Ataques dirigidos

El mnimo privilegio de acceso

Todas las personas deben tener los privilegios mnimos necesarios para realizar su trabajo. Aunque
muchas organizaciones entienden este concepto, a menudo fallan cuando lo ponen en prctica,
especialmente en lo que respecta a las cuentas administrativas. A las personas que necesitan un mayor
nivel de acceso privilegiado se les suele dar la contrasea de la cuenta administrativa pertinente,
la cual comparten varias personas.
De lo que las organizaciones deben darse cuenta con el creciente predominio de las APT es de que el
acceso privilegiado no tiene que ser una decisin de todo o nada. A las personas se les pueden conceder
mayores privilegios para permitirles llevar a cabo nicamente una tarea muy especfica. En el pasado,
esto se ha logrado en los sistemas UNIX y Linux con la herramienta sudo, pero las herramientas
modernas de control de acceso pueden conceder y denegar acceso de forma centralizada tanto en
UNIX como en Windows.
Modelo de seguridad: separar la seguridad de la administracin del sistema
Un sistema operativo tpico tiene un modelo de seguridad de dos niveles: los usuarios con privilegios
y los usuarios normales. Sin embargo, para protegerse frente a las APT se necesita un modelo ms
sofisticado. Este modelo se basa en los principios de seguridad estndar de privilegios mnimos
y separacin de tareas. Como mnimo, deben definirse tres roles administrativos primarios:
Administrador del sistema: El administrador del sistema debe tener los privilegios necesarios para
realizar las actualizaciones de software del servidor, los cambios de configuracin e instalar software.
Los administradores del sistema no deben poder cambiar la configuracin de seguridad importante o
ver registros relacionados con la seguridad.
Administrador de seguridad: Estos administradores deben poder actualizar y cambiar la configuracin
de seguridad y ver los archivos de registros relacionados con la seguridad. Los administradores de
seguridad no deben poder instalar software o datos de acceso confidenciales en el sistema.
Auditor: Los auditores necesitan poder comprobar la configuracin de seguridad y ver los archivos
de registros, pero no deberan tener la posibilidad de hacer cambios en el sistema. Aunque puede ser
necesario acceder a archivos confidenciales, todos los accesos deben ser de slo lectura.
Deben crearse otros tipos de administradores si es apropiado, como administradores de bases de datos
o para otras aplicaciones especialmente delicadas.
Utilizar un modelo de seguridad de varios niveles logra dos objetivos al mismo tiempo: protege frente
a amenazas internas de los administradores internos al limitar lo que cada persona puede hacer y
tambin hace que las APT sean significativamente ms difciles para los atacantes externos. En vez de
poner en peligro una cuenta de superusuario, ahora los atacantes tendrn que acceder a varias cuentas
para tener un acceso completo al sistema.
Controles exhaustivos
Los controles exhaustivos, adems de ser una buena prctica de seguridad, son especialmente tiles
para reducir los daos que ha producido una APT. Una vez que los atacantes obtienen los privilegios
administrativos, normalmente instalan rootkits de puerta trasera y comienzan a exportar datos
confidenciales. Con los controles de acceso adecuados, un atacante incluso con acceso privilegiado est
limitado en sus acciones, y es posible evitar que acceda a archivos confidenciales, ejecute comandos
maliciosos, instale programas, detenga o inicie servicios o cambie archivos de registro. En un sistema
en el que los controles exhaustivos estn implementados, un atacante puede estar obligado a poner en
peligro varias cuentas para hacer lo que antes se poda hacer con una nica cuenta.

Ataques dirigidos

Implementar controles de acceso exhaustivos tambin puede reducir el riesgo de una de las mayores
debilidades de seguridad en una organizacin: su personal. Al utilizar las llamadas tcnicas de ingeniera
social, a menudo los atacantes engaan a los empleados u otras personas de la empresa para que les
faciliten informacin que puedan utilizar para acceder a sus cuentas o revelar otras debilidades de
seguridad. Al limitar el acceso a los sistemas y datos importantes de los empleados, se reducen los
daos que puede producir un atacante que accede a las cuentas mediante la ingeniera social.
Gestin de cuentas compartidas
La gestin de cuentas compartidas (o gestin de contraseas de usuarios con privilegios) es una defensa
clave frente a las APT. Acceder a identidades con privilegios (a menudo mediante la escalada de privilegios)
es un paso intermedio clave en casi todos los ataques que tienen xito. Las herramientas de gestin de
contraseas de usuarios con privilegios deben poder:
Almacenar de forma segura contraseas cifradas.
Gestionar la complejidad de contraseas y los cambios regulares automatizados en funcin de las
polticas.
Restringir el acceso a las cuentas administrativas al solicitar que todos los accesos se realicen
mediante un portal centralizado.
Utilizar la funcionalidad de inicio de sesin automtico para evitar que incluso usuarios autorizados
conozcan las contraseas de las cuentas con privilegios.
Proporcionar acceso de emergencia a las cuentas, que tiene otros controles y aprobaciones necesarias.
Eliminar la utilizacin de contraseas no modificables en scripts (que suelen estar almacenadas en
texto sin formato y las puede robar un usuario malintencionado).
Estas capacidades no solamente evitan que las contraseas se compartan, sino que tambin evita el
robo de contraseas de archivos personales de contraseas o mediante el registro de las pulsaciones
del teclado. Al necesitar que todos los inicios de sesin de cuentas con privilegios se realicen a travs
de un proxy central, una organizacin puede hacer un seguimiento de todos los inicios de sesin y
actividades en caso de fallo, con lo que ayuda en los esfuerzos de investigacin y en la potencial
reduccin de daos.
Generacin de informes sobre actividad de los usuarios
Comprender qu acciones se han llevado a cabo mediante las cuentas con privilegios es un componente
clave para detectar las APT y reducir los daos en caso de un ataque inicial con xito. Debido a su
naturaleza, las APT normalmente suponen la exportacin de cantidades significativas de datos, que
puede detectarse con las herramientas adecuadas. Los registros de actividad de los usuarios muestran
qu actividades de los usuarios y del sistema se estn llevando a cabo en un sistema o en un dispositivo
de red y puede utilizarse para identificar infracciones de polticas e investigar fallos de seguridad.
Las normativas como HIPAA, CA SB 1386 y las numerosas leyes de notificacin de fallos exigen que una
organizacin informe sobre el fallo de seguridad a la persona u organizacin afectada. Los registros de
actividad de los usuarios pueden utilizarse para buscar los fallos de seguridad, de modo que se averige
no solamente quin hizo qu, sino tambin cmo sucedi para que los controles internos pueden
arreglarse y los procesos puedan mejorarse.

Ataques dirigidos

Las herramientas de generacin de informes de actividad de los usuarios deberan hacer lo siguiente:
Llevar un seguimiento completo de:
Los inicios de sesin, en especial de las cuentas compartidas y con privilegios, incluidos la IP de
origen, el ID de usuario original que da acceso a la cuenta compartida, y la fecha y hora del inicio
y cierre de sesin.
Las actividades de cuentas compartidas hasta el ID del usuario original.
Los comandos, ya se hayan introducido con una lnea de comandos o mediante una interfaz
grfica.
Detectar un comportamiento anmalo:
Identificar actividades sospechosas y generar alertas.
Proporcionar la capacidad de correlacin de registros, centrndose en conectar la actividad de
los usuarios con la persona que la lleva a cabo mediante el anlisis de complejos patrones de
registros de auditoras.
Investigar fallos:
Comprobar quin hizo qu en un entorno de cuentas compartidas.
Entregar herramientas de anlisis de registros visuales con capacidades detalladas que agilizan la
investigacin de las actividades de recursos y usuarios, as como la identificacin de infracciones
de polticas.
En caso de fallo, estas capacidades ayudarn a la organizacin a comprender:
Cmo un atacante pudo acceder a una cuenta.
Qu hicieron mientras utilizaban esa cuenta y qu daos se han producido.
Cmo prevenir futuros ataques con los mismos mtodos o similares.
Potencialmente, quin fue el atacante y de dnde provena.
Qu informacin hay que dar a los organismos normativos.
Es importante recordar que los registros deben protegerse de los administradores. Los usuarios con
privilegios pueden determinar el lugar en el que los registros estn almacenados localmente en los
sistemas y pueden descubrir las polticas de auditoras utilizadas en la organizacin. Pueden cubrir sus
propios seguimientos al eliminar registros en los archivos de registros locales, ya que tienen acceso
total a los sistemas (si no se implementan unos controles exhaustivos adecuados). Las organizaciones
deben almacenar registros en una ubicacin remota que no sea accesible a los usuarios con privilegios
y tambin controlar si se ha intentado eliminar archivos de registros locales en el sistema.
Proteccin y control de la informacin
En una APT, el objetivo final del ataque es robar informacin confidencial, de modo que tener el control
de los datos es un componente esencial para tener xito en la defensa. Para proteger datos confidenciales
de una APT, una organizacin debe proteger y controlar los datos en cuatro estados:
Datos a los que se puede acceder. Informacin confidencial a la que se intenta acceder mediante un
rol inapropiado.
Datos que estn en uso. Informacin confidencial que se maneja en una estacin de trabajo local
o en un porttil.
Datos que estn en movimiento. Informacin confidencial que se comunica a travs de la red.
Datos almacenados. Informacin confidencial que est almacenada en repositorios como bases
de datos, servidores de archivos o sistemas de colaboracin.

10

Ataques dirigidos

Para conseguir esto, las organizaciones deben definir polticas que refuercen el control si se detecta un
acceso o una utilizacin inapropiados de los datos. Una vez que se infringe la poltica (como intentar
acceder a propiedad intelectual, copiar la informacin en un USB o intentar enviarla por correo
electrnico), la solucin debe reducir la amenaza mientras genera una alerta.
La clasificacin de la informacin est en el centro de cualquier iniciativa de seguridad de datos.
Sin comprender qu es la informacin y dnde est localizada, es imposible implementar un programa
de proteccin de datos exhaustivo. Una organizacin debe descubrir de forma precisa y clasificar la
informacin confidencial basada en su nivel de confidencialidad para la organizacin. Esto incluye la
propiedad intelectual, pero tambin la informacin identificable personalmente, informacin sanitaria
privada y otra informacin que no sea del dominio pblico.
Una vez que la informacin se haya clasificado adecuadamente, las polticas se hayan definido y los
controles se hayan implementado, una organizacin puede controlar el acceso y la gestin de toda la
informacin confidencial. Esto incluye las acciones de los usuarios desde el simple intento de acceder
a datos confidenciales y leerlos hasta copiarlos a un dispositivo externo o imprimirlos, enviarlos por
correo electrnico fuera de la red, o detectar datos almacenados en un repositorio como SharePoint.
Seguridad interna de las infraestructuras
Aunque proteger el permetro de la red y los datos e identidades con privilegios son componentes
esenciales de una defensa en profundidad frente a las APT, tambin es importante proteger la
infraestructura interna de TI. Adems de una arquitectura y segmentacin de red apropiadas, esto
incluye configurar y proteger adecuadamente los dispositivos y servidores individuales y sus entornos.
Seguridad externalizada e inesperada
Los atacantes crean estrategias y emplean tcticas frente a las defensas conocidas de seguridad.
Tambin utilizan comandos comunes del sistema operativo, funciones y utilidades para recopilar
informacin, controlar el sistema y tomar acciones para ampliar su control. Los profesionales de la
seguridad pueden utilizar las suposiciones bsicas de los atacantes contra ellos aadiendo elementos
inesperados al sistema. Por ejemplo, los archivos y comandos que parece que no se protegen ni
controlan con los registros del sistema pueden protegerse y controlarse con una herramienta externa.
En efecto, los permisos que un atacante ve no son necesariamente los permisos que se han aplicado.
Esto permite que una organizacin detecte a un atacante al comprobar los permisos del sistema
operativo e infringir las polticas externas cuando pone a prueba los lmites de los permisos.
Esta es la razn fundamental por la que la administracin de seguridad debe estar externalizada y
separada de la administracin del sistema operativo. Despus de obtener un acceso inicial al sistema,
un atacante tpico intentar escalar privilegios para evitar los controles de sistema operativo. Con ese
acceso, dan por hecho que podrn anular los mecanismos de seguridad y tapar sus huellas de manera
efectiva. Con una funcin de seguridad externa, a menudo es posible detectar y contener a los atacantes
en una fase mucho ms temprana en el proceso de la APT, cuando un atacante intenta escalar sus
privilegios, cambiar los controles de seguridad del sistema o ejercer privilegios que no le han concedido.
Aunque un atacante puede evitar con xito los registros y controles tradicionales del nivel del SO,
los procesos de deteccin externa pueden tomarlo desprevenido. En esencia, una organizacin puede
implementar una poltica de control de acceso en un segundo plano de una forma potente e inesperada.
Adems, los comandos estndar del sistema pueden cambiarse y modificarse. Si los administradores
cambien el nombre de funciones como sudo, todos los intentos de uso del comando sudo original
pueden generar una alerta y conducir a una deteccin temprana del fallo de seguridad.

11

Ataques dirigidos

Refuerzo de los servidores

Todos los servidores que alojan informacin confidencial deben configurarse de modo que se minimice
la posible amenaza y la diseminacin de datos en caso de que se encuentren en peligro. Esto incluye:
Utilizar un cortafuegos de software para controlar las comunicaciones de entrada y salida, la restriccin
de paquetes por IP de origen, protocolo (ej. SSH, TELNET, etc.) y puerto TCP y bloquear protocolos no
seguros (p. ej., servicios no cifrados, como FTP).
Bloquear todas las instalaciones y ejecuciones de aplicaciones excepto cuando se especifique de
manera explcita (lista blanca de aplicaciones), evitar el aprovechamiento de vulnerabilidades por
ejecucin de cdigo y la instalacin de software de puerta trasera.
Aplicaciones de captura. Definir y permitir acciones aceptadas por aplicaciones de alto riesgo y
restringir cualquier comportamiento que supere esos lmites. Por ejemplo, se puede crear una lista
de control de acceso basada en un ID que gestione procesos y servicios de Oracle, de forma que la
funcin de captura impida que realice acciones diferentes al inicio de servicios de Oracle DBMS.
Evitar cambios en los archivos de registro.
Permitir el control de la integridad de los archivos para detectar cambios en los archivos clave,
como los que realiza los root kit.
Controlar el acceso a los archivos confidenciales del directorio de las aplicaciones (p. ej., nicamente
la aplicacin de nminas puede abrir archivos de nminas).
Detectar cambios en archivos confidenciales en tiempo real.
Seguridad uniforme
Un problema comn en la informtica distribuida es la variacin de capacidades y disponibilidad
de los controles de seguridad entre plataformas (p. ej., los controles de directorio/archivo de UNIX
son muy diferentes a los de Windows). Esto puede llevar a varios problemas de aprovechamiento de
vulnerabilidades:
Las polticas de seguridad que ofrecen un modelo de sistema en vez de un modelo de seguridad
empresarial.
Las polticas de seguridad deben acomodarse a las limitaciones de los sistemas.
La complejidad aadida de la gestin de la seguridad causa errores y omisiones.
Para proporcionar una defensa exhaustiva frente a las APT, la configuracin de seguridad debe aplicarse
de la manera ms igualitaria posible en todas las plataformas. Cualquier limitacin e incoherencia debe
comprenderse y seguirse.
Es otra razn por la que las organizaciones no deben confiar nicamente en la seguridad de los sistemas
operativos. Las herramientas externas pueden proporcionar una plataforma universal para aplicar un
paradigma de seguridad en los entornos, lo que permite una aproximacin especfica empresarial,
agilizada y centralizada a la seguridad.
Seguridad de virtualizacin
El nmero de sistemas virtualizados se ha disparado, lo que ha convertido a los entornos virtuales en
un objetivo clave de los atacantes en una APT. Gartner informa de que a mediados de 2011 al menos
el 40% de las cargas de trabajo de arquitecturas x86 se haba virtualizado en servidores. Adems,
se espera que la base instalada crezca cinco veces ms entre 2010 y 2015 (puesto que el nmero
de cargas de trabajo del mercado sigue creciendo y la penetracin aumenta en ms del 75%).10

12

Ataques dirigidos

El hipervisor es tambin un objetivo fundamental debido al nivel de acceso que puede conceder. Si un
atacante pone en peligro el hipervisor, puede obtener un acceso casi completo a todas las mquinas
virtuales que se ejecutan en ese hipervisor. Aunque la seguridad de los sistemas operativos puede evitar
los inicios de sesin directos y el cifrado puede proteger los datos confidenciales, estas medidas no
podrn detener a un atacante decidido. Alguien con control administrativo sobre un hipervisor puede
copiar mquinas virtuales completas en un entorno externo, as como evitar la seguridad basada en
host mediante mtodos de fuerza bruta o sobrescribiendo archivos clave.
Para proteger entornos virtuales, las organizaciones deben centrarse de nuevo en los administradores y
aplicar el principio del privilegio mnimo. Primero, el acceso a cuentas de hipervisor con privilegios debe
estar estrictamente controlado, con todas las acciones controladas y registradas. Segundo, de la misma
manera que los entornos fsicos, las identidades de hipervisor con privilegios deben estar restringidas
para realizar nicamente las acciones necesarias. Por ejemplo, un administrador de finanzas debe poder
acceder solamente a mquinas virtuales que pertenezcan al departamento financiero y no a los sistemas
de RR.HH.
Unirlo todo
Ninguna herramienta de seguridad va a proteger una organizacin frente a una APT de un atacante
decidido, hbil, constante y con recursos. El objetivo de cualquier estrategia de defensa frente a una APT
se basa en hacer tan difcil como sea posible la penetracin en la red, reduciendo la cantidad de daos
que se puedan producir y la cantidad de informacin que se pueda robar en caso de que se produzca el
fallo de seguridad y detectando el fallo tan pronto como sea posible.
Aunque el permetro de seguridad es un componente necesario para evitar un fallo inicial, no es
suficiente en absoluto y no ayuda a reducir los daos a posteriori. La clave para la reduccin de los
efectos se basa en una combinacin inteligente de la gestin de identidades con privilegios, el control
y la clasificacin de datos y la seguridad de las infraestructuras.
Las herramientas estndar de gestin de identidades con privilegios pueden restringir o conceder acceso
segn un conjunto de normas. Aunque esta capacidad puede ofrecer una apropiada separacin de
tareas, es una solucin intrnsecamente rgida. Los privilegios pueden modificarse a lo largo del tiempo
cuando los roles cambien, pero es una solucin esencialmente pasiva.
La deteccin de contenido es lo que se necesita para pasar a una nueva generacin de defensa activa
frente a la APT. Esto significa integrar la inteligencia de los datos en todas las decisiones que se toman
cuando se determina si se concede una solicitud. Esto debe hacerse reconociendo y comprendiendo los
patrones del uso y los accesos de datos. Por ejemplo, debe observarse lo siguiente:
Cambios en el acceso a los tipos de datos. Un administrador que accede sistemticamente a datos
de un tipo especfico (p. ej., registros operacionales), solicita acceso a informacin financiera o datos
de clientes confidenciales.
Cambios en la utilizacin de los datos. Un administrador suele acceder a datos confidenciales
mediante una aplicacin especfica con solicitudes de slo lectura para exportar datos a un disco
duro externo, un USB o mediante correo electrnico.
Cambios en la cantidad de datos. Un administrador accede a 100MB de datos confidenciales a la
semana y solicita acceso a 500GB en el mismo perodo de tiempo.
Cambios en la frecuencia de acceso a los datos. Un administrador accede a datos altamente
confidenciales una vez al mes y, de repente, accede a los mismos datos diariamente.

13

Ataques dirigidos

Ninguno de estos cambios puede indicar que se haya producido un fallo; sin embargo, s que representan
un cambio de comportamiento. Un sistema que controla de forma inteligente el acceso de los usuarios
con privilegios debe tener todos estos factores en cuenta cuando revisa una solicitud de acceso.
Esta inteligencia de datos puede utilizarse para denegar el acceso a los recursos en tiempo real
o para permitir el acceso a la vez que se crea una alerta que indique una actividad sospechosa.

Seccin 3: Ventajas

Reduzca el riesgo.
Las organizaciones a las se dirijan amenazas avanzadas persistentes se enfrentan a varios tipos de
daos. Los atacantes pueden robar documentos estratgicos y de propiedad intelectual, que podran
afectar a la competitividad. El robo de datos de clientes puede conducir a reacciones negativas de los
clientes, daos en la reputacin y acciones legales. Los registros financieros o de informacin sanitaria
privada robados de carcter privado pueden conducir a problemas de cumplimiento de la normativa.
Una ventaja secundaria de un programa completo para defenderse frente a las amenazas avanzadas
persistentes es que ayuda a proteger una organizacin de otras amenazas, desde ataques externos
automatizados hasta amenazas internas. Muchas de las tcnicas empleadas para reducir los daos de
las APT tambin limitan el acceso dado a cuentas internas, incluidos los administradores. Al limitar el
acceso y separar las tareas incluso de los usuarios con privilegios, una organizacin se protege frente a
un administrador deshonesto u otro usuario interno malintencionado.
Lo que tiene de nico esta estrategia es que no es necesario un conocimiento concreto de nuevas
vulnerabilidades o posibles brechas de seguridad, y que no se basa en una defensa del permetro.
Al usar estas tcnicas, las organizaciones pueden aplicar un modelo de seguridad y permitir o denegar
acciones basadas en normas empresariales, confidencialidad de datos y comportamiento anmalo.
Como este modelo puede aplicarse de manera uniforme en las plataformas y puede separarse de la
seguridad del sistema operativo, puede ofrecer unos medios efectivos de defensa frente a las APT
y detectar ataques en una fase temprana del proceso.

Seccin 4:

Conclusiones
Los ataques especficos tienen cada vez mayor prevalencia. Los fallos en empresas como RSA han tenido
mucha repercusin y tendrn consecuencias a largo plazo, tanto en la reputacin como en los beneficios.
La idea de una defensa en profundidad no es nueva. Es un aspecto fundamental de cualquier programa
de seguridad. La novedad consiste en centrarse en la proteccin de las identidades internas con
privilegios para evitar los daos producidos por personas ajenas a la empresa. Al no ser ya el permetro
de red el bastin de seguridad que una vez fue, la identidad es ahora incluso ms importante.
Bsicamente, la identidad es el nuevo permetro.

14

Ataques dirigidos

Cuando se utiliza la identidad para protegerse frente a las amenazas externas e internas, como las APT,
la deteccin de contenido debe ser un requisito clave. Al utilizar la inteligencia de datos como parte de
cada decisin de acceso, las organizaciones de hoy en da pueden comprender mejor los riesgos
asociados con cada accin que realiza el usuario. Las solicitudes de acceso a datos confidenciales
pueden analizarse y comprenderse con mucho ms contexto que antes. En vez de confiar en normas
fijas para permitir o bloquear ciertas acciones, los datos pueden utilizarse para crear una imagen ms
clara de la actividad de los usuarios.
Para ayudar a que su organizacin est un paso por delante cuando se trata de defenderse frente a los
ataques dirigidos, adopte la gestin de identidades con privilegios y la deteccin de contenido como
piedras angulares de su programa de seguridad.

Seccin 5:

Referencias
1 Ponemon Institute. 2011 Cost of Data Breach Study: United States: http://www.symantec.com/
content/en/us/about/media/pdfs/b-ponemon-2011-cost-of-data-breach-us.en-us.pdf
2 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html
3 NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments, http://csrc.nist.
gov/publications/drafts/800-30-rev1/SP800-30-Rev1-ipd.pdf
4 Advanced Persistent Threat, Wikipedia, http://en.wikipedia.org/wiki/Advanced_persistent_threat
5 Verizon, 2012 Data Breach Investigations Report: http://www.verizonbusiness.com/resources/
reports/rp_data-breach-investigations-report-2012_en_xg.pdf
6 http://www.rsa.com/node.aspx?id=3872
7 http://en.wikipedia.org/wiki/Operation_Aurora
8 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp
9 Verizon, 2012 Data Breach Investigations Report: http://www.verizonbusiness.com/resources/
reports/rp_data-breach-investigations-report-2012_en_xg.pdf
10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure, Thomas Bittman,
George J. Weiss, Mark A. Margevicius y Philip Dawson, 30 de junio de 2011
Gartner no promociona a ningn proveedor ni ningn producto o servicio presentado en nuestras
publicaciones de investigacin, ni recomienda a los usuarios de tecnologa la eleccin exclusiva de
los distribuidores que obtengan la calificacin mxima. Los estudios publicados de Gartner se basan
en las opiniones de la organizacin de investigacin de Gartner y no deben interpretarse como
declaraciones de hecho. Gartner deniega toda garanta, ya sea explcita o implcita, en relacin con
este estudio, incluidas las garantas de comerciabilidad o de idoneidad para un fin especfico.

15

Ataques dirigidos

Seccin 6:

Acerca del autor

Russell Miller ha pasado ms de cinco aos en seguridad de red en diversos roles desde la piratera
informtica tica hasta el marketing de productos. En la actualidad se encarga del marketing de
los productos de seguridad de virtualizacin y de la gestin de identidades con privilegios para
CAControlMinderTM. Russell es licencicado en Informtica por el Middlebury College y posee un M.B.A.
de la MIT Sloan School of Management.

CATechnologies es una empresa de software y soluciones de gestin de TI

con experiencia en todos los entornos, desde el mainframe y los entornos
fsicos hasta los virtuales y en la nube. CATechnologies gestiona los
entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar
unos servicios de TI ms flexibles. Los innovadores productos y servicios de
CATechnologies proporcionan los anlisis y el control fundamentales para
que las organizaciones de TI impulsen la agilidad empresarial. La mayora
de las empresas que figuran en la lista Global Fortune 500 confan en
CATechnologies para gestionar sus ecosistemas de TI en constante
evolucin. Para obtener ms informacin, visite el sitio de CATechnologies
en ca.com.

Copyright 2012 CA. Todos los derechos reservados. Microsoft, SharePoint y Windows son marcas comerciales o marcas registradas de Microsoft
Corporation en los EE.UU. u otros pases. Linux es una marca comercial de Linus Torvalds en EE.UU. y otros pases. UNIX es una marca comercial de
The Open Group. Todas las marcas registradas, nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento
pertenecen a sus respectivas empresas. El propsito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad
de la informacin. En la medida de lo permitido por la ley vigente, CA proporciona esta documentacin tal cual, sin garanta de ningn tipo,
incluidas, a ttulo enunciativo y no taxativo, las garantas implcitas de comerciabilidad, adecuacin a un fin especfico o no incumplimiento. CA no
responder en ningn caso en los supuestos de demandas por prdidas o daos, directos o indirectos, que se deriven del uso de esta documentacin,
incluidas, a ttulo enunciativo y no taxativo, la prdida de beneficios, la interrupcin de la actividad empresarial, la prdida del fondo de comercio o
la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelacin y expresamente de la posibilidad de dichos daos. CS2548_0712