Monitoreo de integridad de archivos y SIEM: por qué la seguridad en capas es esencial para combatir la APT

Cada vez que los titulares están llenos de la última historia de Cyber ​​Crime o malware Scare, como el virus Flame, la necesidad de revisar los estándares de seguridad empleados por su organización adquiere un nuevo nivel de urgencia.

La APT 2012 (Amenaza Persistente Avanzada)

La amenaza Persistente Avanzada difiere de un ataque regular o troyano en que es como su nombre indica, avanzada en tecnología y técnica, y persistente, en que generalmente es un robo sostenido de datos durante muchos meses.

Hasta el momento, la APT se ha considerado en gran medida como un espionaje cibernético patrocinado por el Gobierno en términos de los recursos necesarios para organizar tal ataque, como el reciente malware Flame, que parece haber sido una iniciativa de espionaje apoyada por Estados Unidos o Israel contra Irán. Sin embargo, siempre verá que la tecnología de vanguardia se convertirá en la norma un año después, por lo que espere que los ataques de la APT alcancen a los grupos de espionaje industrial más dominados por la competencia y los “hacktivistas” como Lulzsec y Anonymous que adopten enfoques similares.

El vector común para estos ataques es una infiltración específica de phishing de la organización. El uso de Facebook, LinkedIn u otras redes sociales hace que la identificación de objetivos sea mucho más fácil hoy en día, y también el tipo de “cebo” de phishing será más eficaz para engañar al objetivo y proporcionar el importante y acogedor clic en los enlaces de cortesía o las descargas ofrecidas. .

El phishing ya es una herramienta bien establecida para las pandillas de Crimen organizado que utilizarán estas mismas técnicas de phishing para robar datos. Como un lado interesante con respecto al uso de ‘cybermuscle’ de crímenes organizados, se informa que los precios de las botnets están cayendo en picado en este momento debido al exceso de oferta de las redes de robots disponibles. Si quiere coaccionar a una organización con la amenaza de deshabilitar su presencia en la web, prepárese con una red de bots global y apúntela a su sitio: los ataques DDOS son más fáciles que nunca de organizar.

Algo se debe hacer …

Para dejar en claro lo que estamos diciendo aquí, no es que los AV o los cortafuegos sean inútiles, ni mucho menos. Pero el estilo de amenaza APT se evade tanto por diseño y este es el primer hecho que hay que reconocer, como el primer paso para un alcohólico en recuperación, ¡el primer paso es admitir que tiene un problema!

Por definición, este tipo de ataque es el más peligroso porque cualquier ataque que sea lo suficientemente inteligente como para omitir las medidas de defensa estándar definitivamente será respaldado por una intención seria de dañar a su organización (nota: no piense que la tecnología APT es solo un problema para las organizaciones de primer orden (puede que haya sido el caso, pero ahora que los conceptos y la arquitectura de la APT son comunes, las comunidades de hackers y hacktivistas más amplias ya habrán diseñado sus propias interpretaciones de la APT)

Entonces, el segundo hecho a tener en cuenta es que existe un “arte” para brindar seguridad efectiva y eso requiere un esfuerzo continuo para seguir el proceso y verificar que las medidas de seguridad estén funcionando de manera efectiva.

La buena noticia es que es posible automatizar los controles cruzados y la vigilancia que hemos identificado como una necesidad, y de hecho, ya existen dos tecnologías clave diseñadas para detectar sucesos anormales dentro de los sistemas y para verificar que se están implementando las mejores prácticas de seguridad.

FIM y SIEM – Medidas de seguridad suscritas

File Integrity Monitoring o FIM sirve para registrar cualquier cambio en el sistema de archivos, es decir, archivos del sistema operativo central o componentes del programa, y ​​las configuraciones de configuración del sistema, es decir, cuentas de usuario, política de contraseñas, servicios, software instalado, funciones de administración y monitoreo, claves de registro y registro valores, procesos en ejecución y configuración de la política de seguridad para la configuración de la directiva de auditoría, asignación de derechos de usuario y opciones de seguridad. FIM está diseñado para verificar que un dispositivo se mantiene firme y libre de vulnerabilidades en todo momento, y que el sistema de archivos permanece libre de cualquier malware.
Por lo tanto, incluso si alguna forma de malware APT logra infiltrarse en un servidor crítico, la FIM bien implementada detectará los cambios en el sistema de archivos antes de que puedan iniciarse las medidas de protección del rootkit que puede emplear el malware.

Del mismo modo, los sistemas SIEM, o Gestión de eventos e información de seguridad, están diseñados para recopilar y analizar todos los registros de seguimiento / eventos de auditoría del sistema y correlacionarlos con otra información de seguridad para presentar una imagen real de si ocurre algo inusual y potencialmente peligroso para la seguridad.

Es revelador que los estándares de seguridad ampliamente adoptados y practicados, como los PCI DSS, coloquen estos elementos en su núcleo como un medio para mantener la seguridad del sistema y verificar que se observen procesos clave como la Gestión de Cambios.

El núcleo de cualquier estándar de seguridad integral es el concepto de seguridad en capas: firewall, IPS, AV, parches, endurecimiento, DLP, tokenización, desarrollo seguro de aplicaciones y cifrado de datos, todo ello regido por procedimientos de control de cambios documentados y respaldado por el análisis de pistas de auditoría y Monitoreo de integridad de archivos. Incluso entonces, con estándares como el PCI DSS, existe un requisito obligatorio para la prueba de la pluma y el escaneo de vulnerabilidades, ya que verifica y equilibra que la seguridad se mantiene.

Resumen

En resumen, su política de seguridad debe basarse en la filosofía de que la tecnología ayuda a proteger los datos de sus organizaciones, pero que nada puede darse por sentado. Solo practicando la vigilancia continua de la actividad del sistema puede mantener estrictamente la seguridad de los datos, en gran medida la esencia del Arte de la Seguridad por Capas.

Dejar respuesta

Please enter your comment!
Please enter your name here