Continuando con la crónica de la jornada organizada por la Revista SIC: “Protección de vanguardia ante APTs y DDoS: Nuevos ataques, mejores defensas” la cual os empezamos a contar hace un par de días, en el siguiente bloque de la misma se abordaron las diferentes aproximaciones que diferentes fabricantes hacen con respecto a la protección frente a APTs y a ataques DDoS. Apuntar que se repitieron bastante entre todos los fabricantes dos palabras que actualmente están muy de moda: Correlación e Inteligencia.
BLOQUE 2: Aproximaciones de la industria
Check Point, Corero, Fortinet, HP, Stonesoft, Symantec y Trend Micro
Lo que la mayoría de fabricantes definió como ‘inteligencia’ era por un lado el hecho de disponer bases de datos centralizadas (bien globales, en cloud, o en cliente), que recopilaban información bien de clientes y/o procedentes de otras empresas u organismos con los que tienen acuerdos, información con datos sobre tendencias de ataques, sobre reputación de IPs o sobre reputación de los propios usuarios dentro de un cliente, nuevas vulnerabilidades, patrones de tráfico, comportamientos anómalos. En definitiva, recopilación de toda la información necesaria para hacer que se tenga una visión global de lo que está pasando para, con la retroalimentación de todos esos datos poder estar prevenidos frente a un ataque dirigido.
Por otro lado, otros fabricantes también definieron ‘inteligencia’ como el valor añadido que aportan sus equipos de gente que solo se dedican al estudio nuevos ataques o análisis de malware.
La mayoría aportó una solución multicapa para la defensa frente a APTs o ataques DDoS. A mi personalmente me llamó la atención la gente de StoneSoft, no porque estén o no más en lo cierto sino porque aportaron algo diferente a lo que el resto habían dicho, y era que la solución frente a las APTs no pasaba sólo por poner ‘más módulos’ de defensa a nuestros sistemas sino en el planteamiento inicial de si nuestros sistemas de defensa actuales funcionaban o no de manera adecuada para los tiempos que corren. Cuestionaron los sistemas de defensa tal y como están implementados actualmente y se centraron no en las APTs sino en las AETs (Advanced Evasion Techiques). Comentaron que actualmente se han descubiertos numerosas técnicas de evasión avanzadas y que se se recomienda testear nuestros sistemas para ver si son vulnerables a esas AETs antes de incorporar nuevos módulos tecnológicos de defensa en nuestros sistemas.
Para finalizar la jornada, tuvo lugar una mesa redonda muy interesante.
BLOQUE 3: Mesa redonda. La visión de los usuarios/centros de competencia. Escenarios actuales, limitaciones y necesidades futuras.
Olof Sandstrom Herrera (Arsys)
Luis Jiménez Muñoz (CCN)
Santiago Pérez (Telefónica)
En esta mesa redonda por fin se habla de dos conceptos que yo personalmente estaba echando en falta en toda la jornada:
1. No sólo concienciar al usuario sino al administrador de red.
2. Detección de APTs y no sólo prevención.
Santiago Pérez (Telefónica) nos cuenta que no hay una solución clara para la detección de APTs y muy acertadamente indica que no solo hay que hablar de prevención sino también de detección. A su modo de parecer la monitorización del tráfico es lo más importante, sobre todo el saliente. También es verdad que es necesario que los administradores de los sistemas y redes tengan una formación específica sobre cómo detectar comportamientos anómalos en nuestros sistemas y redes que puedan indicarnos que algo extraño está pasando.
Olof Sandstrom (Arsys) habla de las campañas de APTs como ataques que pueden llevar años de planificación hasta encontrar una vía de entrada. Comenta la necesidad imperiosa de contar personal especializado en seguridad en cada empresa (que figure en nómina gente dedicada expresamente a la seguridad de la información, gente que sepa leer logs, sepa bastionar los sistemas, etc.) y la necesidad de tener un SOC 24×7 que se dedique a monitorizar qué está pasando. Apunta también que la ingeniería social es un componente muy complicado de controlar.
Luis Jiménez (CCN) comenta que los ataques DDoS son una amenaza controlada puesto que hay tecnología definida para mitigarlos. Apunta que un ataque de DoS puede venir en cualquier capa del modelo OSI. Caracteriza las APT como ataques colonizadores (el malware está en toda la red; en equipos cliente, servidores, electrónica de red…) y modulares (una vez se entra en la organización se van descargando diferentes módulos de malware: módulos para establecer las comunicaciones, módulos para monitorizar, etc.). Hace hincapié en el gran impacto económico que supone para un organismo poder ‘limpiarse’ de una APT (además de los daños ocasionados si la APT consigue su objetivo).
Por último, indica que es necesario contar con personal de seguridad dedicado a la seguridad en cada organismo/empresa y que las capacidades para construir un ciberespacio seguro existen, pero que es necesaria más coordinación entre el sector público y el privado. Para él tres conceptos importantes a tener en cuenta para la seguridad son: redes monitorizadas, tecnología certificable y acreditación de los usuarios.
Ante la pregunta de si los operadores de telecomunicaciones y los ISPs tienen alguna responsabilidad en la defensa ante APTs, tanto Telefónica como Arsys comentaron que no (parece lógico, dada su situación). En cuanto a los ataques de DDoS tampoco la tienen ni deberían tener al menos de forma gratuita, indicando que ellos prestan sus servicios con una seguridad ‘básica’, lo adecuado según la ley y adicionalmente ofrecen ampliaciones de estos servicios como podría ser la ayuda a mitigar un DDoS pero de manera remunerada. Luis Jimenez, del CCN, discrepa en este asunto y a su modo de ver, los mecanismos de defensa frente a ataques DDoS debería ser ofrecidos cuando se contratan los servicios de un operador de telecomunicaciones o ISP.
Así que para finalizar esta crónica os lanzo la misma pregunta a vosotros: ¿qué responsabilidad creéis que tienen en la defensa ante APTs o ataques DDoS los operadores de telecomunicaciones y los ISPs? ¿Deberían ser servicios “gratuitos” incluidos en el servicio o por el otro lado tener un coste añadido?
No se puede responsabilizar a los ISPs ni siquiera a los clientes ni usuarios de casa sobre la cantidad de amenazas existentes hoy dia, muchas de ellas desarrolladas por personas o colectivos cuyos fines son lucrativos o ciberguerras y donde detras hay intereses de empresas, ciberguerras como los ataques producidos desde china a la india..todo esto, respaldado con una legislacion laxa como la China u otros paises parecidos y el anonimato en internet. Si fuera posible cazar y meter sanciones muy ejemplarizantes, quizas se paliarian este tipo de amenazas aunque podrian surgir otras nuevas.
Yo creo que tampoco se puede responsabilizar a los ISP, ya que el problema, a parte del ser humano como tal :-P, está en el propio protocolo. Otra cosa es que por ley se creara o exigiera el requerimiento por las circunstancias y tiempos que corren, auqnue supongo que eso, comes lógico, repercutiría en los costes y precios para todos.
A parte, si el DoS es en la capa de aplicación, y hay un parche para ello, pero yo como persona por algún motivo no lo he aplicado, ¿sería justo que se me exigiera el haberlo tenido instalado? Aquí entran en juego muchas respuetas y variables, y se me ocurren un par en las que puede estar justificado no haberlo puesto -incompatibilidad con algo, osimplemente que el ataque se produjo antes de la ventana de tiempo planificada para ello por no causar parada en producción-, en esos casos, ¿estaría justificado que se me despidiera? -muy drástico :-P-, ¿o habría que evaluar bien la situación y hacer la inversión/gasto necesario para que no volviera a ocurrir la próxima vez? Supongo que lo más barato sería lo primero, y así ya se han depurado responsabilidades :-)
Gracias como siempre y salu2!
Hola Pablo,
Gracias por compartir con nosotros tu opinión y por leernos.Está claro que es un tema muy complejo. Como he comentado en el post los ISPs venden sus servicios con una seguridad ‘básica’, lo que la ley exige, sin embargo se pueden adquirir previo pago unos servicios ‘extra’ que aportarían mas seguridad.
Está claro que las amenazas cada día aumentan y se vuelven potencialmente más peligrosas,nos enfrentamos ante un panorama cambiante de amenazas… ¿crees que frente a estos cambios que estamos viviendo respecto a estas nuevas amenazas la ley debería exigir que los ISPs suban el nivel de lo que ellos entienden por ‘seguridad básica’?
Un saludo :)
Hola Anónimo 1! Justo ahora (antes de leerte) planteaba una pregunta a Pablo (1er comentario) sobre algo que tu también has mencionado… el hecho de que por ley se exigieran mas requerimientos de seguridad a los ISPs adecuados a los tiempos que corren. Has comentado que este hecho repercutiría en los costes y precios del servicio para todos…pero ¿tu verías viable que a pesar de que los ISP perdieran esos ingresos extra que ahora están teniendo la ley les obligara a ofrecer mayor seguridad a sus clientes?
Gracias a ti por aportar tu opinión y por seguirnos :D
Si por ley se exigiera, perfecto, creo que debería ser el primer paso, a pesar de todo lo que conllevaría por detrás, pero sería el primer paso paa un cambio importante.
También puede haber otro problema, que es el coste/impacto que eso puede tener en todos, y no todos podrían a lo mejor pagarlo (no me imagino una empresa de 3 personas asumiendo u coste en el servicio para que otra de 2500 no tenga el problema).
Que sea algo opcional, si técnicamente fuera viable, podría ser otra opción, y ya ahí que cada cual asuma los riesgos en base a sus presupuestos que considere necesario.
Y muy importante, creo que muchas veces, los que hacen las leyes, no acaban de asesorarse bien o con toda la gente que debría y sabe mejor.
Un saludp y gracias!
Aquí la crónica de la Revista SIC, que acabo de ver que la han publicado http://revistasic.es/index.php?option=com_content&view=article&id=615&Itemid=545
Me gusta más la tuya :)
Gracias Manolo ;)