Herramientas para revertir el efecto de un ciberataque

Soy Digital

Cuando los sistemas son vulnerados es casi imposible descubrir quién es el responsable, pero si cuenta con las armas necesarias podrá tomar medidas para revertir el cibercrimen.

Selene Agüero  

Ante estas amenazas existe detrás de todo ciberataque un escuadrón de cazafantasmas en busca de la seguridad de los sistemas informáticos.  

Mientras todos trabajan normalmente, no se imaginan que los fantasmas hacen sus apariciones en las redes y equipos con el objetivo de burlar las medidas de protección que proveedores de seguridad y autoridades colocan para evitar que esos fenómenos comprometan la información.

 Darse cuenta de la identidad y de la ubicación en donde se encuentran los fantasmas, es tarea sencilla pero los Ghostbusters, tienen herramientas para rastrear la información.  De acuerdo con Luis Corrons Granel, director técnico en PandaLabs, en la mayoría de los casos es casi imposible obtener información para averiguar quién es el responsable que está detrás del ataque, pero sí es un poco más sencillo averiguar el lugar desde donde se produce la amenaza.

Cuando aparecen sitios web comprometidos o preparados para ejecutar determinadas campañas desde una red clásica, los agentes pueden determinar los registros de los mismos, pero cuando se ejecutan campañas desde la Deep Web resulta mucho más difícil determinar el origen debido al anonimato que proporciona la red Tor.  

En cuanto a los fantasmas de las campañas de spam, los cazadores logran acercarse un poco hacia el origen del atacante a través  de la examinación de encabezados de mensajes de correo que brindan información sobre los servidores SMTP que han sido utilizados.  

Le recomendamos: ¿Cuál es el papel del CISO en la actualidad?

El hecho de que exista gran cantidad de compañías proveedoras de medidas de seguridad, no quiere decir que en su totalidad utilicen las mismas estrategias y herramientas para realizar el proceso de cazar a los cibercriminales.

“Hemos establecido una fuente de datos de amenazas de Internet a través de nuestra Red de Inteligencia Global, que se compone de millones de sensores de ataque que graban miles de eventos por segundo, además de 10 centros de respuesta de seguridad alrededor del planeta”, explicó Sebastián Brenner, security strategist en Symantec.  

Según Brenner, debido a que sus fuentes de datos son muy amplias, la compañía utiliza telemetría enviada por los productos de protección del endpoint. Con esto, Symantec tiene presente que con solo el volumen de datos no es posible sacar conclusiones sobre el origen del ataque, sino que la interpretación de esos datos es necesaria para convertirla en información que se pueda consumir y accionar.   

Para dar y entender el próximo paso que van a tomar los atacantes es necesario un análisis que se compare con los procesos de investigación oficial o forense, que según Juan Pablo Castro, especialista de Trend Micro, tienen que ver con tácticas militares de filtración de inteligencia.

Otra institución que busca la seguridad informática en distintos países es el CSIRT, la cual mantiene una amplia comunicación con todas las instituciones públicas y privadas interesadas en mantener una red de confianza.

Los mecanismos utilizados para la atención de incidentes dependen de la organización que  cada institución o empresa tenga de sus equipos, sistemas de información, procedimientos y personal técnico responsable, de acuerdo con Johnny Pan, jefe de la Unidad de Servicios Tecnológicos del Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT), organismo regulador del CSIRT en Costa Rica.

 

 “Cualquier institución pública, empresa privada, sectores productivos, académicos, agremiados o bancarios pueden establecer su propio CSIRT para atención de incidentes propios de su campo de acción y a su vez coordinar con el CSIRT Nacional”, indicó Johnny Pan.  

Muchas son las medidas y herramientas de seguridad que se utilizan para resguardar la información del gobierno y empresarial, sin embargo es de suma importancia que los equipos de caza fantasmas entiendan que el nuevo tipo de ciberataque no busca impactar la operación para no encender las alarmas, para pasar desapercibido ante las medidas de sus víctimas y hospedarse un largo tiempo en los sistemas. 

“Uno de los principales aspectos para entender si estoy comprometido o no es analizar la red interna o la red corporativa, lo que se debe analizar son los llamados indicadores de compromiso que nosotros llamamos como movimiento lateral o tráfico este oeste porque el norte y sur es el que normalmente analiza si la red de Internet está conectada al data center. Hay que tener claro que cuando un equipo interno está comprometido puede acceder a los servidores y ese acceso puede parecer normal, por eso es necesario analizar los comportamientos silenciosos del atacante dentro de la red interna”, recalcó Castro de Trend Micro.   

¿Cómo se protegen los cazadores?

Una de esas armas es el firewall, que según Herbert Rodríguez, gerente general de Rolosa, distribuidora de servicios de AVIRA, es una parte esencial para evitar ataques externos. “Los firewall se utilizan para controlar el flujo de información desde y hacia adentro de una organización, pero requieren de mucha intervención de parte del departamento de TI para mantenerlo actual y optimizado.

Los firewall perimetrales son un componente básico de la infraestructura de la red como primer filtro de tráfico entrante a nuestra red”, comentó Rodríguez.  Rodolfo Castro, gerente de ingeniería de Fortinet, también apoya la función del firewall y expresa además que el concepto ha cambiado bastante y que pasó de ser el punto de acceso a la red, actuando de manera estática a convertirse en aquel concepto dinámico capaz de proteger la información y no una porción de la red.

Además: Ciberseguridad aplicada a tecnologías emergentes

 Para proteger la red de los fantasmas, proveedores como GM Security recomienda que desde la estación de trabajo debe haber una herramienta para cubrir el anti-malware y una herramienta de rastreo con persistencia que cubra los datos y dispositivos, sin olvidar que estas tecnologías deben acompañarse de un nivel de peritaje.  Ante este punto, Sebastián Brenner de Symantec, consideró que la protección contra amenazas tiene que incluir la capacidad de controlar lo que entra y sale de la red. 

Debido a que el correo electrónico funciona como puerta para las amenazas, las empresas deben proteger con tecnologías de antispam y de protección avanzadas contra todo tipo de amenazas a las implementaciones del correo que se encuentran en sus instalaciones y las que estén basadas en la nube.  Finalmente para atrapar las vulnerabilidades que conspiran contra las aplicaciones web, es válido el uso de soluciones automatizadas o manuales tal y como lo pide el requisito 6.5 de PCI-DSS, que según Rodolfo Castro, gerente de ingeniería de Fortinet, este proceso no es realizado por el mismo desarrollador de la aplicación, sino por un externo. 

Luego de la revisión del código, vienen las pruebas de invasión que deben ser internas y externas de tipo ingeniería social y por objetivo.  

“Tradicionalmente estas aplicaciones web son accesadas desde un browser y al mismo tiempo desde un app vía dispositivo móvil, por lo cual, se deben correr baterías de prueba independientes para ambas versiones, luego vienen pruebas de denegación de servicio y basados en los resultados, se procede a la mitigación ya basados en la arquitectura de seguridad seleccionada”, relató el experto de Fortinet.

Este artículo está clasificado como: , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR