Respuestas SIC: Protección de vanguardia ante APTs y DDoS (I)

Recientemente tuvo lugar una nueva edición de “Respuestas SIC”, unas jornadas que periódicamente organiza la revista SIC y a las que tuve la oportunidad de asistir.

Esta edición tenía como título: “Protección de vanguardia ante APTs y DDoS: Nuevos ataques, mejores defensas” y tuvo tres bloques. En el primero, un especialista en protección de la información (Juan Miguel Velasco López-Urda) ofreció una charla sobre su visión ante la defensa frente a APTs. En el segundo bloque, siete fabricantes de seguridad TI (Check Point, Corero, Fortinet, HP, Stonesoft, Symantec y Trend Micro) explicaron sus orientaciones en materia de protección frente a APTs y DDoS. El tercer bloque contó con la participación del Centro Criptológico Nacional representado por su subdirector General Adjunto, Luis Jiménez Muñoz, y dos organizaciones privadas: Arsys (Olof Sandstrom Herrera, Director de operaciones y seguridad) y Telefónica Digital (Santiago Perez) y consistió en una mesa redonda en la cual se trató la visión de los usuarios/centros de competencia al respecto de los temas tratados (APTs y DDos) además de hablar sobre los escenarios actuales, limitaciones y necesidades futuras.

A continuación, en esta y sucesivas entradas realizaré una breve crónica de la jornada.

BLOQUE 1: Protección ante APTs y DDoS. Situación presente.

Juan Miguel Velasco López-Urda
Consultor Estrátegico de Seguridad y Cloud para Grandes Corporaciones

Juan Miguel comenzó mencionando, entre otros, que en 2014 se prevé que habrá más dispositivos conectados que habitantes en la Tierra (fuente: Gartner) —hizo hincapié en la tendencia en auge BYOD y en que ésto crea un perímetro que no se puede cerrar— y que actualmente los ciberataques según el World Economic Forum se encuentran en 4º lugar como potenciales riesgos globales en cuanto a probabilidad que puedan afectarnos (por detrás del aumento de emisiones de gases de efecto invernadero).

Definió las APTs (Advanced Persistent Threats) como una categoría de cibercrimen dirigido contra objetivos empresariales y gubernamentales cuya máxima es “atacar de manera lenta y silenciosa” y que son un tipo de servicio demandado por competidores, cazarrecompensas, gobiernos, servicios de inteligencia, etc.

Asemejó sus técnicas con técnicas de estrategia militar y mencionó Stuxnet, Aurora, Flame, Shady RAT, GhostNet, Night Dragon, Nitro, y la última ‘saltada a la palestra’ cuya misión es la búsqueda y robo de ficheros Autocad, Medre (creo que así se ha bautizado). Habló incluso de APTs para PC de usuarios con objetivo el robo de identidad.

Describió como fases por las que se pasa cuando se descubre una APT en un organismo las siguientes: Denial, Shock, Attribution & Retribution, Investigation & Discovery, Realization y Resolution. Según Juan Miguel, en España nos quedamos en las tres primeras fases (‘esto no me puede pasar a mi’,’estado de shock’,’echar las culpas’), y es algo que hay que cambiar.

Como principal vía de entrada para una APT habló del phishing dirigido y del BYOD como nueva puerta de entrada (además de otras puertas de entrada como fallos en el perímetro externo: Firewall, VPN Server, Proxy, aplicaciones web vulnerables, navegación web, perímetro interno: ingeniería social, USBs, …etc) y citó algunos precios reales de lo que costaría planear una campaña de APT:

  • RAT: Gratuito.
  • Servicio de phishing dirigido : Setup de 2000$, coste mensual de 2000 $.
  • Dos 0-day: 40.000 $.
  • Rent-a-hacker: unos 20.000 $ al mes.

Habló de los ataques de DDoS como método de distracción para llevar otros ataques más sofisticados y los caracterizó como ataques universales (te puede pasar donde sea, a quien sea y cuando sea), baratos, eficientes, impunes (gracias al anonimato que dan las botnets), de gran impacto, reiteradamente posibles y menospreciados.

Ante cómo defenderse frente a una APT comentó que los elementos tradicionales y de defensa han de ser desplegados, monitorizados en tiempo real y recopilados todos los logs para su análisis y almacenamiento. Al menos hay que tener todos los Proxy Logs, Authentication Logs, IDS alerts, HIDS logs, Firewall logs, Full content traffic captures, Netflow, aplicaciones (datos y errores) y auditoría con activación proactiva.

Algunas conclusiones extraídas de esta interesante charla del señor Velasco fueron las siguientes.

1) Frente a defensa de APTs:

  • Diseñar el perímetro (Firewalls, IPS, WAF, habló del cloud como protagonista como tercer perímetro y de la necesidad de monitorizarlo y auditarlo de manera periódica. Éste debe ser una extensión de nuestro perímetro exterior asumiendo nuestra política y reglas).
  • Implementar contramedidas antiDDoS (implementando un modelo híbrido cloud).
  • Implantar protección email (Antispam, email firewall).
  • Análisis de código Web y politicas de diseño Web y código.
  • Monitorizar toda la información que entra y sale.
  • Restringir el acceso a BYOD.
  • Segmentar la red y el acceso a los usuarios.

2) Sobre la situación actual respecto a APTs y DDoS, destacó que:

  • Cada día aparece nuevo malware, nuevos 0-day, nuevas vulnerabilidades… y nuevas APT aprovechándose de ello. Por otro lado los ataques DDoS son favorecidos por la proliferación de las botnets, y además comienzan a tener un ‘toque de sofisticación’ puesto que ya no son volumétricos, sino que también son dirigidos.
  • El perímetro comienza a perder los límites establecidos por el exceso de tráfico no catalogado, la heterogeneidad de las aplicaciones, la necesidad de que el usuario sea capaz de conectarse desde cualquier parte y a través de cualquier dispositivo. Por tanto se ha de redimensionar de manera adecuada este perímetro y sobre todo incluir monitorización en el mismo y correlación continua y gestionada. Además, los servicios en la nube podrían ayudarnos como una evolución de nuestro perímetro.
  • La incorporación de tecnologías antiDDoS, la simulación de entornos con SandBox virtuales y los analizadores de tráfico dinámicos no basados en firmas ayudarían en la ‘lucha’ contra las APTs y los DDoS.

En la tanda de preguntas resaltar la opinión de una persona que afirmó que es imposible parar BYOD; se trata de una tendencia imparable y que hay que elegir bien la tecnología y buscar un equilibrio. Otra persona comentó que a veces dudaba de si las vulnerabilidades las anunciaban los mismos que nos venden ‘la solución’: los fabricantes.

En definitiva, el bloque 1 de las jornadas, de la mano de Juan Miguel Velasco, aportó una visión muy clara sobre la situación presente ante las nuevas, avanzadas y persistentes amenazas que están presentes en el panorama actual. En la próxima entrada acabaré la crónica de esta jornada, con el bloque 2 y 3. Mientras, os lanzo una de las interesantes preguntas que surgieron a lo largo del día:

¿Creéis que los fabricantes de herramientas TIC están orientando de manera adecuada sus desarrollos con fines de seguridad y protección frente a las nuevas amenazas que se nos están viniendo encima?

[Sobre la autora]

Comments

  1. El tema de las APT es muy curioso. Hace poco hice un análisis de capacidades para la ciberguerra, y como parte de él me tocó hacer un repaso de las APT más sonadas supuestamente por China. El resultado fue el siguiente:

    – Titan Rain: Unpatched vulns (unspecified)
    – Ghost Net: Spearphising + 0-day
    – Night Dragon: SQL Inyection
    – Aurora: Spearphising + 0-day
    – Shadows in the Cloud: Spearphising + 0-day
    – RSA: Spearphising + 0-day
    – Shady Rat: Spearphising + 0-day
    – Byzantine Hades: Spearphising + 0-day

    Las conclusiones son obvias: El factor humano es clave. Por mucha seguridad lógica que pongas, si el usuario termina haciendo doble click sobre un correo y salta el 0-day … no hay nada que hacer. En mi opinión, la formación y la concienciación en seguridad siguen siendo fundamentales hoy en día.

    [Si queréis el informe, lo tenéis aquí: http://www.slideshare.net/ansanz/capacidades-de-china-para-la-ciberguerra%5D

  2. Maite Moreno says

    Hola Antonio,

    Gracias por tu comentario. Comparto lo que comentas de que el factor humano es clave y está claro que la formación/concienciación en seguridad es fundamental y quizá la, por ahora, ‘batalla’ que aún se está mas lejos de ganar en ese sentido. La falta de sentido común y el desconocimiento hacen que , como se ha repetido tantas veces, el usuario sea ‘el eslabón más débil de la cadena’.

    Cabe comentar también, que a día de hoy, las técnicas de ingeniería social utilizadas para conseguir este tipo de fines (campañas de APTs u otros ataques dirigidos) son cada vez más sofisticadas… y aunque el usuario esté preparado, el riesgo sigue estando.

    Muchas gracias por el informe que nos aportas. Buen material para analizar.

    Un saludo

  3. ¿Por qué lo llaman APT cuando quieren decir China? :))

  4. Maite Moreno says

    Jajaja! La verdad es que el 90% de las APTs conocidas son originarias de China (o al menos los datos apuntan a eso). Pero tampoco hay que olvidar a países cómo Estados Unidos,Israel, Rusia… y aquellos que aún no han salido a la luz.

    Por otro lado, respecto a China, a pesar de ser potencialmente muy peligrosa en estos aspectos, puede que la falta de comunicación entre sus diferentes ministerios y autoridades militares (según apuntan algunos estudios) a la vez la hagan vulnerable.

    Gracias por tu comentario Roman y un saludo :)

  5. Muy buenos días a todos,

    Si bien todos los informes apuntan a China como originaria de estas APT, en ningún caso tenemos pruebas contundentes que no dejen duda alguna que sea este país el originario de los ataques (aunque los que estamos en informática forense sabemos que una cosa es saber si alguien es o no culpable, y otra demostrarlo). Porque cuando el río suena … También hay que decir que por otro lado cuesta bien poco registrar un host en China y poner 4 caracteres chinos en un exploit para los analistas.

    Por otra parte, a las empresas de seguridad informática (sobre todo estadounidenses) les viene de maravilla esta tendencia de «que viene el dragón chino a comernos», porque les deja el FUD prácticamente medio hecho. La mayoría de los informes los hace Karspersky, Symantec, TrendMicro … los más metidos en el tema de análisis de malware.

    Y no hay que olvidar que en el tema del ciberespionaje/ciberguerra, EEUU, Rusia, Israel tampoco van a la zaga (recuerda Stuxnet, Duqu, Flame). Lo que pasa es que cuando un comando de EEUU se meta en el Ministerio de Seguridad del Estado chino, China no va a quejarse públicamente. Eso se barre debajo de la alfombra, y listo.

    China ha hecho un trabajo de integración fortísimo de sus sistemas TIC en la última década, sobre todo a nivel gubernamental y militar. No te digo que sea perfecta, pero yo creo que juegan al mismo nivel que EEUU a día de hoy.

    Y un detalle que no se tiene nunca en cuenta es que China tiene el «Gran Cortafuegos» (Golden Shield). En caso de «liarla parda», China tiene una estrategia de ciberdefensa mucho más estructurada basándonos en esta protección global.

    Y se me olvidaba: China lleva tiempo desplegando Kylin (su versión hardened de FreeBSD, que ya de por sí es MUY robusta) a nivel militar y gubernamental. Si lo comparas con los drones que se controlaban con Windows XP … hay tela.

    Queda mucho por hacer. Muchísimo. Como dicen los chinos, vamos a vivir «tiempos interesantes» en lo referente a la seguridad … :)

  6. Maite Moreno says

    Hola Antonio,

    La verdad es que comparto tu apunte en que no hay pruebas contundentes en la mayoría de los casos que demuestren que China sea la fuente, por eso yo cuando lo comentaba he añadido lo de «…o al menos los datos apuntan a eso…» Como bien dices no cuesta mucho poner un comentario en chino (o ruso, o lo que sea)en un exploit para ‘despistar’ a los analistas.

    Me resultan muy interesantes tus conocimientos sobre China y sus estrategias en materia de ciberseguridad/ciberguerra. Si te apetece contárnoslo en un post estás invitado a hacerlo :)Puedes contactar conmigo directamente si te animas.

    Un saludo y muchas gracias por tus comentarios.

  7. Maite Moreno says

    Mirad, justo al hilo de lo que hablábamos… http://www.viruslist.com/sp/hackers/news?id=208274995