marzo 16, 2016
El MARCO GENERAL
La primavera pasada(2015), descubrimos Duqu 2.0 , una operación de ciberespionaje altamente profesional, muy cara. Probablemente patrocinada por el estado. Nos encontramos con ella cuando estábamos probando la versión beta de la plataforma Kaspersky Anti Targeted Attack (KATA), nuestra solución que te defiende en contra de los sofisticados ataques dirigidos precisamente como Duqu 2.0.
Y ahora, un año después, podemos proclamar con orgullo: ¡Hurra! ¡El producto está ahora oficialmente lanzado y totalmente preparado para la batalla!
Pero primero, déjenme volver atrás para contarles cómo llegamos a esto, por qué ahora estamos atascados con este ciber-espionaje respaldado por el gobierno y por qué tuvimos que elaborar una protección muy específica contra él.
Ahora, para todos aquellos que prefieran ir directamente al punto clave de este post, hagan click aquí.
“Los buenos tiempos”, palabras que la mayoría de veces son pronunciadas como si nunca hubieran ocurrido cosas malas en el pasado. La música era mejor, la sociedad era más justa, las calles eran más seguras, la cerveza tenía mejor espuma, y muchas cosas más. Sin embargo, algunas cosas sí eran mucho mejores, un ejemplo es lo fácil que era combatir los ciberataques.
Por supuesto, en ese momento no lo pensaba. Nosotros estábamos trabajando 25 horas al día, ocho días a la semana, maldiciendo todo el tiempo a los creadores de virus y su fenomenal tasa de reproducción. Cada mes (y algunas veces con más frecuencia) había epidemias mundiales de gusanos, lo que nos hacía pensar que las cosas no se podían poner mucho peor. Qué equivocados estábamos…
A principios de este siglo los virus eran creados principalmente por estudiantes y ciber-hooligans. Ellos no tenían la intención ni la habilidad de crear algo realmente serio, así que las epidemias de las que ellos eran responsables se esfumaban en cuestión de días, utilizando métodos pro-activos. En realidad, no tenían ninguna motivación por crear algo más siniestro; solo lo hacían cuando se cansaban de Doom and Duke Nukem (conocidos videojuegos 3D).
A mediados del año 2000 vieron llegar mucho dinero a Internet, además de nuevas tecnologías que conectaban todo, desde plantas de energía a reproductores mp3. Grupos profesionales del cibercrimen entraron también al escenario buscando grandes cantidades de dinero que Internet podía brindar, mientras que los ejércitos de servicios de inteligencia cibernética eran atraídos por él debido a las posibilidades tecnológicas que este ofrecía. Estos grupos tenían la motivación, la intención y sabían cómo crear un malware súper complejo y dirigir ataques realmente sofisticados pasando desapercibidos.
Alrededor de esta época se podría decir que “los antivirus murieron”: los métodos tradicionales de protección ya no podían mantener los niveles suficientes de seguridad. Entonces comenzó una carrera de ciberarmas, una versión moderna en el eterno modelo de poder basado en la violencia, ya fuera atacando o defendiendo su uso. Los ciberataques se volvieron más selectivos/precisos en términos de elección de objetivos, más furtivos y mucho más avanzados.
Mientras tanto el AV “básico” (el cual, para entonces, estaba lejos de solo ser AV) evolucionó a unos sistemas complejos multi-componentes de protección multi-nivel, repleto de todo tipo de tecnologías de protección, mientras que los sistemas avanzados de seguridad corporativa construyeron arsenales formidables para controlar los perímetros y detectar intrusos.
Sin embargo, ese enfoque, independientemente de lo impresionante que fuera, tenía una pequeña e importante desventaja para las grandes corporaciones: hacía poco por detectar los ataques dirigidos más profesionales, aquellos que usan malware único usando ingeniería social específica y días cero. El malware puede pasar desapercibido para las tecnologías de seguridad.
Estoy hablando de ataques planeados cuidadosamente durante meses, si no es que años antes, por expertos respaldados por presupuestos infinitos y algunas veces con apoyo financiero del estado. Ataques como este, a veces pueden pasar desapercibidos por varios años, por ejemplo, ¡la operación Equation que descubrimos en el 2014 se había originado desde 1996! Bancos, gobiernos, infraestructura crítica, manufactura, decenas de miles de grandes organizaciones de varios rubros y con diferentes formas de propiedad (básicamente la base de la economía actual), todo esto resulta ser vulnerable ante estas amenazas profesionales. Y la demanda por información del objetivo, dinero y propiedad intelectual es muy alta y crece continuamente.
Y, ¿qué podemos hacer? ¿Solo aceptar que estas grandes amenazas modernas son una parte inevitable de la vida moderna? ¿Rendirse en la lucha contra estos ataques dirigidos?
Jamás.
Cualquier cosa puede ser atacada, no importa qué tan sofisticada sea, puede ser protegida a un gran nivel si le dedicas tiempo, esfuerzo y un poco de cabeza. Nunca existirá la protección 100% absoluta, pero sí existe una protección máxima, que hace a los ataques económicamente inviables: son barreras tan formidables que los agresores deciden rendirse y no invertir sus recursos para pasarlas, en cambio se van en búsqueda de víctimas menos protegidas. Claro que habrá excepciones, especialmente cuando los ataques políticamente motivados están en la agenda; dichos ataques serán vistos, obstinadamente, hasta el final, un final victorioso para el atacante, pero eso no es una razón para dejar de luchar.
Y bien. Se acabó la clase de contexto histórico, ahora vayamos a ese sirloin que mencioné antes…
Justamente lo que me recetó el doctor para combatir los ataques dirigidos avanzados, nuestra nueva plataforma Kaspersky Anti Targeted Attack (KATA).
Entonces, ¿qué es KATA exactamente? ¿Cómo trabaja? Y ¿cuánto cuesta?
Primero, un análisis anatómico de un ataque dirigido…
Un ataque dirigido siempre es exclusivo: hechos a la medida para una organización o individuo específico.
Las malas noticias detrás de un ataque dirigido comienzan reuniendo toda la información de los objetivos de forma escrupulosa, ya que, el suceso de un ataque depende de la integridad del expediente, tanto como del presupuesto de la operación. Todos los objetivos son espiados y analizados: sus estilos de vida, familias, pasatiempos, y demás. La manera en la que está construida la red corporativa es construida y estudiada cuidadosamente. Y en base a toda la información recolectada, se selecciona una estrategia.
Después, (i) la red es penetrada y se obtiene acceso remoto (y no detectado) con privilegios máximos. Después de eso, (ii) los nodos críticos de la infraestructura entran en peligro. Y, finalmente, (iii) “¡inicia el bombardeo!”: el robo o la destrucción de la información, la disrupción de los procesos de negocios, o lo que sea que fuera el objetivo del ataque, además de la importancia de cubrir las huellas para que nadie se entere de quién fue el responsable.
La motivación, la duración de las diferentes etapas de preparación y ejecución, los vectores de ataque, las tecnologías de penetración, y el malware en sí, todas esas cosas son muy individuales. Pero no importa qué tan exclusivo llegue a ser un ataque, siempre tendrá un talón de Aquiles. Ya que un ataque siempre causará al menos algunos acontecimientos (actividad de red, cierto comportamiento de archivos y otros objetos, etc.), aparecen anomalías, y actividad de redes anormal. Así que, teniendo una visión global, de hecho, el panorama entero formado desde diferentes fuentes alrededor de la red hace posible detectar un ataque.
Para recolectar toda la información acerca de tales anomalías y la creación de la visión global, KATA utiliza sensores, “e-agentes especiales”, los cuales analizan continuamente el IP/web/ tráfico de email, además de eventos en estaciones de trabajo y servidores. Por ejemplo, nosotros interceptamos el tráfico IP (HTTP(s), FTP, DNS) usando TAP/SPAN; el sensor web se integra con los servidores proxy vía ICAP; y el sensor del correo se conecta a los servidores de correo vía POP 3 (S). Los agentes son realmente ligeros (para Windows – alrededor de 15 megabytes), son compatibles con otro software de seguridad y no tienen mayor impacto en la red o en los recursos.
Toda la información recolectada (objetos y metadatos) son transferidos al Centro de Análisis para procesarlos usando diferentes métodos (sandbox, escaneo AV, y reglas ajustables YARA, revisión de reputación de documentos y URL, escaneo de vulnerabilidad, etc.) y archivándolos. También es posible conectar el sistema en nuestra nube KSN, o mantener las cosas internamente, con una copia interna de KpSN para mejor cumplimiento.
Una vez que la visión global está formada, ¡es momento de la siguiente etapa! KATA revela la actividad sospechosa y puede informar a los administradores y a SIEM (en español, seguridad de la información y gestión de eventos). Splunk, Qradar, ArcSighr informan de cualquier molestia detectada. Y, aún mejor, mientras más tiempo trabaja el sistema, más información de la red acumula, y es más efectivo, ya que el comportamiento atípico es más fácil de detectar.
Ah, sí, casi se me olvida… ¿cuánto cuesta todo esto?
Bien, no hay una respuesta sencilla. El precio del servicio depende de docenas de factores, incluyendo el tamaño y la tipología de la red corporativa, cómo está configurada la solución, y cuántos servicios la acompañan. Una cosa está clara, el precio parece insignificante si lo comparas con el daño potencial que previene.