¿Está usted preparado para una Amenaza Persistente Avanzada?

Ciudad de México.- Para las organizaciones que dedican sus esfuerzos al cuidado de los riesgos, el imperativo está en proteger la información de los clientes y la propiedad intelectual de la organización, manteniendo los servicios en operación la mayor parte del tiempo y maximizando la protección contra las amenazas internas y externas. Luis Rodríguez Díaz, Consultor Senior de Inteligencia para la Seguridad en IBM Software nos comenta a continuación acerca de estos riesgos y las mejores prácticas para una protección de punta a punta.

Luis Rodríguez: El mundo está cada vez más digitalizado e interconectado: las personas utilizan dispositivos personales para realizar actividades empresariales y de sus clientes;, las empresas están trasladándose a nuevas plataformas que incluyen el cómputo en la Nube, virtualización y consumo de aplicaciones. Este fenómeno ha transformado la forma de hacer negocios, competir en el mercado y comunicar, dando lugar a que la información sea un activo y las aplicaciones sean herramientas facilitadoras de negocios.

Al ser accesibles en cualquier momento y lugar, las amenazas a la confidencialidad, integridad y disponibilidad de la información han evolucionado a los siguientes aspectos:

- La motivación de los atacantes es mayor por la ganancia derivada de la extracción de información de las víctimas y por el costo decreciente de las herramientas y servicios, lo que permite realizar ataques personalizados hacia la organización objetivo, donde la información representa una ventaja competitiva sobre las demás o aquellas que poseen datos valiosos de terceros.

- Las amenazas son persistentes, porque de manera lenta, silenciosa y sostenida explotan vulnerabilidades desconocidas (Zero Day) utilizando conexiones de confianza y pueden mantenerse en operación por mucho tiempo antes de ser accionables y en consecuencia detectables.

- Las amenazas son avanzadas debido a su coordinación, alcance, impacto y complejidad; no tienen un vector de ataque definido, es decir puede ser interno, externo o ambos al mismo tiempo, mediante el uso de herramientas automatizadas y no necesariamente mediante irrupciones complejas; al explotar las relaciones de confianza se pueden ver en acción técnicas que se consideran obsoletas y, sin embargo, acceden a la red como usuarios y aplicaciones legítimas para lograr su propósito.

- Las Amenazas Persistentes Avanzadas (Advanced Persistent Threats o APT) están cambiando la percepción de la seguridad informática, por lo que la detección es la máxima prioridad. De hecho, algunos analistas aseguran que "la detección es la nueva prevención". Sin embargo, esta idea nos podría llevar peligrosamente en la dirección equivocada, ya que nos sugiere la implementación de nuevas herramientas independientes y especializadas y la incorporación de muchos más puntos de refuerzo o controles de seguridad compensatorios, lo cual operativamente se vuelve insostenible y en muchos casos tiene el efecto contrario de lo que se pretendía.

En este sentido, las organizaciones y los profesionales en seguridad tenemos el reto de evolucionar a mayor velocidad para construir una estrategia congruente, predictiva, inteligente y automatizada que haga frente a estas amenazas, sin comprometer la administración de las Tecnologías de la Información y su presupuesto.

Para enfrentar este reto, algunos analistas de seguridad comienzan a hablar de seguridad definida por software. Por ejemplo, organizaciones como la Cloud Security Alliance estableció el marco de referencia “Perímetro Definido por Software (SDP, por sus siglas en inglés)” incorporando estándares existentes del National Institute of Standards and Technology con la finalidad de tener la posibilidad de contener ataques basados ​​en redes, como los de negación de servicio (DOS/DDoS, por sus siglas en inglés), intromisiones hechas por intermediarios (man-in-the-middle), vulnerabilidades y ataques de movimientos laterales.

 
La mejor forma para ayudar a las organizaciones a establecer una postura de seguridad inteligente y accionable es estableciendo una conversación basada en capacidades y articular los controles de seguridad en capas integradas de defensa que ayuden a prevenir, detectar y responder continuamente a las amenazas en una arquitectura de punta a punta, las cuales permitan:

1. Tener visibilidad y contexto de las asociaciones que se dan entre las personas y su identidad.

2. Saber quién, cómo, dónde y cuándo se accede y se manipulan datos en reposo, en movimiento, estructurados y no estructurados.

3. Desarrollar aplicaciones seguras desde el momento del diseño de las mismas.

4. Cuantificar el consumo de la infraestructura física o virtual.

Crear patrones de normalidad, detectar anomalías y al mismo tiempo ayudar a cumplir con las políticas y requerimientos normativos.

¿Está preparado para las amenazas actuales de seguridad? Visite IBM Security y consulte el estudio trimestral IBM X-Force Threat Intelligence.

Para abundar en estos temas, visítenos en la conferencia global InterConnect 2015, el cual se realizará del 22 al 26 de febrero en Las Vegas, Nevada.

Síganos  en el blog de Inteligencia de Seguridad de IBM.

Para estar en contacto, conéctame aquí.

* Julio Velázquez es Director del Grupo de Software de IBM en México.

**Luis Rodríguez es Consultor Senior en Inteligencia de Seguridad en IBM de México. 

Jbf