Más que nunca el acceso seguro a la Web, al correo electrónico y a los recursos compartidos corre peligro. Tal como señala David DeWalt, perteneciente al Comité Asesor en Telecomunicaciones para la Seguridad Nacional del Presidente de los Estados Unidos; y Consejero Delegado de FireEye, a pesar de los más de 20 mil millones de dólares que se invirtieron en tecnologías de seguridad informática en 2014, los ciberdelincuentes y los responsables de las amenazas persistentes avanzadas (APT), siguen entrando de forma ilegal en prácticamente cualquier red, robando datos y perturbando el desarrollo de los negocios.
Esta afirmación, incluida en “Definitive Guide para la protección contra amenazas de próxima generación”, de Steve Piper, CISSP, publicada por CyberEdge Group, es el punto de partida para entender que, en la actualidad, las empresas no están frente a cualquier tipo de amenaza o virus aislados. Hoy, todas las compañías están expuestas a ataques persistentes, complejos y, como dice esta guía, “sigilosos”, que son exitosos cuando de comprometer las redes se trata.
Los “nuevos” riesgos
Como en muchos temas, los paradigmas tradicionales de la seguridad han cambiado drásticamente desde hace algunos años hasta ahora, y el canal especialista en seguridad, a cargo de implementar herramientas de protección de los datos en las empresas, ha visto con sorpresa cómo las amenazas ya no vienen desde dentro de las empresas como antes. Hoy, el panorama es distinto.
Una evidencia de esta nueva realidad es el estudio hecho hace tres años por la empresa Verizon, que analizó cerca de 900 incidentes de seguridad de datos ocurridos en 2011, y que determinó que el 98% de los incidentes fue originado por agentes externos.
Otro rasgo distintivo de los ataques informáticos actuales es que sus autores ya no son solo hackers motivados por alcanzar notoriedad pública. “El sector de la ciberdelincuencia se ha transformado completamente, pasando desde la piratería por pura diversión a los ciberataques con ánimo de lucro o, en algunos casos, con fines políticos. Los ciberdelincuentes actuales están bien formados e incorporan técnicas de ataque sofisticadas, que no pueden ser combatidas con las defensas tradicionales basadas en firmas, que son insuficientes”, indica Steve Piper.
El tercer elemento que caracteriza a los problemas de seguridad de datos de hoy es que su naturaleza es tan compleja como diversa. Se trata, como se describe en “Definitive Guide para la protección contra amenazas de próxima generación”, de amenazas multivectoriales y multifase, capaces de esquivar las barreras de seguridad tradicionales como firewalls, sistemas de prevención de intrusiones (IPS, Intrusion Prevention Systems), puertas de enlace seguras de la Web y del correo electrónico, y plataformas antivirus.
El daño en cifras
Las estadísticas sobre el daño provocado por las amenazas de nueva generación en las redes de las empresas son sencillamente impactantes. Durante 2014, los ciberataques a organizaciones aumentaron en un 176%, a los que se asocian pérdidas millonarias. Jorge Rojas, Gerente de Servicios de NovaRed, señala que durante los últimos cuatro años, el número de ciberataques creció en 176%, donde el tiempo necesario para resolverlo también experimentó un aumento considerable. Datos arrojados por una encuesta de Intel Security, indicó que el 74% de los encuestados piensa que las intrusiones dirigidas son una de las mayores preocupaciones en sus compañías y, más preocupante aún, solo el 24% confía en su capacidad de detectarlo en los primeros minutos, y poco menos de la mitad reportó que podrían tardar desde días hasta meses antes de observar un comportamiento inusual.
Desde NovaRed señalan que en algunos casos más complejos, las empresas tardan en promedio 170 días en detectar un ataque malicioso, el que una vez detectado demora alrededor de 45 días en ser resuelto, arrastrando costos cercanos a los 1,6 millones de dólares. Asimismo, indican que las empresas que son víctimas de algún ataque informático se enfrentan a consecuencias relacionadas al impacto en el negocio y al daño financiero. Un estudio internacional de Kaspersky Labs muestra la pérdida de acceso a información crítica (61%), como la principal consecuencia para una empresa tras un ataque de Denegación de Servicio (DDoS), seguido por un daño en su reputación con un 38%. En relación a los gastos en los que debe incurrir una compañía víctima de este tipo de ataques se encuentran las consultas a empresas especialistas en seguridad de tecnologías de la información (49%); asesorías legales (46%); el pago por mejorar y asegurar las plataformas de TI (65%), y finalmente el pago por gestores de riesgos (41%).
Peligro en la red
Según indica Piper en su libro, los ciberataques se agrupan en dos grandes categorías: amenazas tradicionales y amenazas de próxima generación. Las tradicionales son hiperconocidas, pero no por eso menos importantes, porque aún provocan daño a los sistemas de las empresas que no están suficientemente preparadas. Incluyen a gusanos, troyanos y virus, spyware y redes de bots, ataques de ingeniería social -como phishing y baiting- y desbordamientos de búfer e inyecciones SQL.
En cuanto a las amenazas de próxima generación, la situación es más compleja porque, como su nombre lo dice, son menos conocidas y predecibles. Algunas de las principales son: amenazas zeroday, amenazas persistentes avanzadas, amenazas polimórficas y las amenazas combinadas.
Las amenazas zero-day aprovechan una vulnerabilidad desconocida de una aplicación o de un sistema operativo, y debe su nombre a que el ataque ocurre al mismo tiempo que se hace pública la vulnerabilidad, o incluso antes. Son altamente efectivos debido a que pueden pasar inadvertidos durante meses o años.
Las amenazas persistentes avanzadas, conocidas como APT o ATA, son sofisticados ataques en los que un extraño obtiene acceso a una red y permanece en ella sin ser detectada, con el objetivo de robar información. Las empresas más afectadas con ellas son las que manejan información valiosa, como las instituciones financieras.
Las amenazas polimórficas son ciberataques que pueden presentarse en forma de virus, gusano, spyware o troyano, y transformarse constantemente -cambiando el nombre del archivo y su nivel de compresión- dificultando su detección.
Las amenazas combinadas son una mezcla de varios tipos de malware, que ataca distintas áreas de los sistemas, para aumentar la gravedad del daño y su velocidad de propagación.
Protección para las nuevas amenazas
Frente a amenazas nuevas y potentes, se requieren niveles de protección complejos, profundos y detallados, en otras palabras, una nueva categoría de defensa de seguridad de la red, como la protección contra amenazas de próxima generación, conocida por sus siglas NGTP, que en inglés corresponde a Next-Generation Threat Protection. A juicio de Steve Piper, “se trata de una nueva e innovadora plataforma de seguridad para redes, que ha demostrado ser de ayuda para ganar la batalla contra las amenazas de próxima generación”.
De acuerdo a la definición de “Definitive Guide para la protección contra amenazas de próxima generación”, la NGTP pertenece a una nueva generación de tecnologías de seguridad de la red, específicamente diseñadas para identificar y evitar los nuevos ciberataques modernos, que mejora los sistemas de seguridad tradicionales en lugar de sustituirlos. Introduce una nueva capa en la arquitectura de defensa en profundidad, con el fin de crear un tejido de protección contra las amenazas que ofrezca protección contra los ciberataques, que pasan inadvertidos a las defensas basadas en firmas habituales.
En general, los proveedores de NGTP mejor evaluados ofrecen una plataforma integrada que examina el tráfico de mensajes de correo electrónico, el tráfico de la Web y los archivos en reposo, y comparte la información sobre las amenazas entre los vectores de ataque. Estos dispositivos examinan el tráfico y los archivos para detectar sus características sospechosas, incluidas técnicas de ocultación. “Las sesiones se reproducen en un entorno de ejecución virtual compuesto por máquinas virtuales con un motor personalizado de virtualización específicamente diseñado para analizar la seguridad, con el fin de determinar si el tráfico sospechoso contiene malware”, explica el autor.
El conjunto de características de las soluciones NGTP varía y es necesario que el canal ofrezca a sus clientes la plataforma que mejor responda a sus necesidades. Sin embargo, es importante que este tipo de soluciones avanzadas goce de elementos como ejecución virtual de objetos sospechosos, bloqueo fast-path, manejo de archivos maliciosos en cuarentena, administración centralizada, capacidad para compartir la información sobre el malware, reglas personalizadas, integración con la suite antivirus, controles de acceso basados en funciones, un panel para supervisar la seguridad de la red, la posibilidad de generar informes y alertas, y administración de Incidentes e Integración de NGTP en la infraestructura de TI existente.
Contar con una solución que integre la mayoría de estas características, garantiza en gran medida la protección de los sistemas y las redes de una empresa. Permite sentirse protegidos contra las amenazas de nueva generación, para enfrentar con tranquilidad el desarrollo de los negocios.
