Respuestas 
Crónica
La 26ª edición de Respuestas SIC arroja luz sobre la creciente problemática de las APTs
Inteligencia, visibilidad y concienciación, la receta contra las amenazas persistentes y avanzadas
Celebrada los pasados días 7 y 9 de octubre en Barcelona y Madrid, respectivamente, la vigesimosexta edición de Respuestas SIC desmenuzó uno de los riesgos graves identificados en los últimos años: las denominadas amenazas persistentes avanzadas). En sendas jornadas, que reunieron aproximadamente a 330 profesionales, se debatió sobre las medidas que se han de tomar frente a unos ataques que actúan de forma sigilosa y continua en el corazón de las organizaciones robando información. El evento contó con el patrocinio de las compañías punteras Check Point, Cisco, Deloitte, FireEye, Fortinet, Panda Security y Trend Micro.
Sesión de Madrid
Al más puro estilo de los ladrones de guante blanco, que marcan su objetivo y se hacen con él sin que la víctima se percate, los perpetradores de ataques avanzados y persistentes llevan tiempo colándose en las organizaciones en busca de activos de valor sin que éstas sepan que están siendo expoliadas. La evolución tecnológica ha provocado que estos robos sean cometidos cada vez con mayor profusión, aumentando tanto su relevancia como su peligrosidad, aunque no todos muestren ser técnica y operativamente avanzados. Ante estos hechos, la 26ª edición de Respuestas SIC se marcó como objetivo arrojar luz sobre una situación que lleva a las organizaciones a “dormir con sus enemigos”, exponiendo sus activos más valiosos a criminales que campan a sus anchas por el sistema.
Durante las jornadas, se debatió sobre cuál es el mejor modo de afrontar estas amenazas y sobre la necesidad de concienciar al usuario (principal puerta de entrada para los ciberdelincuentes), poniendo de manifiesto la necesidad de un cambio en los paradigmas de la seguridad.
Javier Candau Romero
El primer bloque lo abrió Javier Candau, Jefe del Área de Seguridad del Centro Criptológico Nacional – CCN, que empleó su probada y amplia experiencia en esta materia para analizar la incidencia y evolución de las APTs, a las que tildó de “ataques proporcionalmente baratos en los que hay que invertir poco dinero para lograr un gran retorno de inversión en un corto espacio de tiempo”.
Candau mencionó los diferentes niveles de complejidad tanto de ataques como de atacantes, y se detuvo en el segmento más sofisticado: los propios estados –desde China (se calcula que cuenta con unos 50.000 atacantes con ocho objetivos al día) y Rusia (con un nivel de conocimientos espectacular), hasta los países aliados de España–. Eso sí, apuntó que el crecimiento de APTs se vería en parte frenado porque los gobiernos se están percatando de los peligros que conciernen y, en consecuencia, aplicarán más seguridad.
Sesión de Barcelona
Durante su exposición, Candau también delimitó las tendencias respecto al uso de infraestructuras, malware, vectores de infección, comunicaciones y persistencia (planes de ataque), para concluir dejando claro que “hay que vigilar y monitorizar, pues no valen medidas preventivas”. Asimismo, añadió lo esencial que resulta “intercambiar información técnica de ataques” al tiempo que recomendó “contar con un equipo de seguridad de al menos cuatro personas y una política de seguridad definida, trabajando siempre como si se estuviera comprometido”.
Carlos Fragoso Mariscal
Tras esta exposición, Carlos Fragoso, Instructor Community de SANS Institute y CTO y Consultor en Respuestas a Incidentes y Análisis Forense de One eSecurity, coincidió en la necesidad de compartir inteligencia para luchar contra estos ataques, así como de invertir en detección y respuesta, dado que los atacantes tardan minutos en comprometer a una empresa o en exfiltrar su información, mientras que a las organizaciones les lleva semanas e incluso meses contrarrestar las APTs.
Fragoso construyó su exposición a partir de la premisa ya expuesta por Candau de que debemos “asumir que hemos sido y vamos a ser comprometidos”. Por lo tanto apuntó que hay que “abordar el problema de manera seria en todas las capas para cambiar una tendencia creciente en la que los delincuentes están ganando por goleada”.
Sesión de Madrid
A continuación, entró de lleno en aspectos de forensía digital, que le llevaron a analizar los principales retos que suponen las APTs: desde su naturaleza transversal, hasta el peligro de que la información clave de una organización se vea involucrada por periodos de tiempo que rondan habitualmente el año. “Se tiene que montar un equipo ganador, con talento y multidisciplinar”, apuntó para añadir que “hay que formalizar muy bien el proceso de investigación, los puntos clave, el análisis forense, el análisis de información y el de atribución –aunque es muy complicado saber quién es el atacante– “.
A fin de cuentas, Fragoso señaló lo que realmente resulta vital en el caso de sufrir una APT: una detección temprana que limite el tiempo de maniobra de los atacantes.
Cambios en el modelo de seguridad
Tras esta intervención tomaron la palabra los diferentes expertos de las firmas copatrocinadoras. Por parte de Check Point, su Director General para España y Portugal, Mario García, reiteró la conveniencia de saber qué es lo que realmente se quiere proteger: “hay que llevar a cabo una segmentación de la red y buscar el nivel adecuado de seguridad para cada segmento”, expuso.
Además, incidió en que la oferta de Check Point se basa en ofrecer a los clientes lo que su estrategia de defensa les requiera. “Es necesaria una capa que sea capaz de controlar todo y de gestionar políticas, así como una automatización total con otras tecnologías”. A esto se añade otra capa de buenas prácticas que permita cumplir con las normativas.
De izquierda a derecha: Vesku Turtia, Mario García y Eutimio Fernández.
El cambio en la estrategia defensiva que mencionó García también lo trataron Román Vargas, Consulting System Engineer (en Barcelona) y Eutimio Fernández, Director Regional de Ventas de Seguridad para Iberia (en Madrid), ambos pertenecientes al equipo de Cisco, quienes coincidieron en dejar muy claro que “necesitamos pensar y trabajar de una forma diferente, que implique el hecho de asumir que los malos ya están dentro”.
Concretamente Fernández expuso el modelo que propugna su compañía, en el que se analiza el antes, el durante y el después de un ataque. “Como no existe una ‘bala de plata’, hay que monitorizar. Para ello proponemos grabar toda la actividad de cada uno de los ficheros. De ese modo, rápidamente sabremos que hay un intruso, quién es el paciente cero, qué sistemas están afectados, la extensión de la brecha…”. Para ello, Cisco cuenta, entre otras herramientas, con SIO, su nube global de seguridad, y con Cisco ASA Firewalling, su primer cortafuegos adaptativo.
De izquierda a derecha: Tomás Lara, Samuel Bonete, Abel González y Alfonso Franch.
El relevo en el uso de la palabra lo tomó Abel González, Senior Manager CyberSOC de CyberRisk Services de Deloitte, quien se centró en la importancia que la inteligencia tiene para hacer frente a las APTs. Ésta es precisamente la razón de ser del eCIC – CERT de esta compañía, que se caracteriza por combinar el conocimiento y la interlocución con los altos directivos de las organizaciones con la capa técnica del CyberSOC.
“La ciberseguridad es un riego real para el negocio, no sólo para el CISO, dado que impacta en la pérdida de ingresos y en la cotización de las acciones. De ahí que nuestro enfoque sea global”, explicó González, antes de detallar a qué se refería con esa globalidad: “Tecnología, red de ciberinteligencia, centro de excelencia y expertos en ciberseguridad 24x7”. En términos parecidos se había expresado en la edición de Barcelona Xavier Gracia, también Senior Manager CyberSOC de CyberRisk Services de Deloitte.
Sesión de Madrid
Precisamente en la parte tecnológica se enfocó Samuel Bonete, Ingeniero de Sistemas Senior de Fortinet, tras repasar la amplia trayectoria de la compañía en el campo de las amenazas persistentes. Así, detalló los principales beneficios de su sandbox, construido sobre un modelo de análisis basado en comportamiento capaz de “bloquear el 99% de las amenazas en menos de 10 minutos”.
“En Fortinet hablamos de un concepto basado en múltiples capas de seguridad”, dijo Bonete, apuntando a continuación que hay que aunar el control de acceso con la prevención y detección de amenazas y la monitorización continua, todo ello respaldado por su equipo de respuesta ante incidencias, FortiGuard, compuesto por más de 250 ingenieros en todo el mundo.
A los logros ya conseguidos también se remitió Vesku Turtia, Director de Ventas para Iberia de FireEye, “compañía que lleva siendo actor principal en este segmento desde que entró en el mercado en 2004”.
Sesión de Madrid
Conocedor de que los ciberdelincuentes cada vez trabajan mejor y están más financiados, Turtia y su técnico colaborador Alvaro García abogaron por reimaginar la seguridad. “Todo lo instalado está bien, pero hay que ir un poco más allá, con tecnologías proactivas capaces de detectar y responder en cuestión de minutos”. En ese espectro se sitúa FireEye MVX, una solución capaz de analizar todos los flujos de información de una empresa, no sólo los ficheros. “Nada es infalible, pero tenemos la capacidad de parar los ataques con un sistema propietario hipervisor de todo el flujo de información”, resumió el directivo, que también recordó la compra de Mandiant para conseguir una mejor visibilidad de la red, así como el éxito de detectar 14 de los 19 últimos Días Cero.
En su turno, Alfonso Franch, Director General para España de Panda Security, bajó hasta el eslabón, en su opinión, más débil de la cadena –“y cada vez más importante en el mundo actual”-: el endpoint, entendido en el contexto como cualquier elemento que ejecuta software.
Auguró que la protección tradicional del endpoint “va a morir” y situó su solución PAPS (Panda Advanced Protection Service) como la propuesta disruptiva para el cambio necesario que se va a producir. “Panda no quiere detectar, sino clasificar todo lo que ocurre en el endpoint. PAPS es un servicio gestionado con un agente muy ligero y tras el cual se halla nuestro laboratorio, que se encarga de dar las alertas y bloquear aquello que es pernicioso”.
Sesión de Madrid
Tomás Lara, director Regional de Ventas para Iberia de Trend Micro, cerró el turno del módulo de copatrocinadores reconociendo que las APTs son “ese enemigo que nos hace mejorar las herramientas que tenemos para hacerle frente”. Tales herramientas, eso sí, han de estar basadas en la ciberinteligencia, sin la cual, según Trend Micro, la ciberseguridad no tiene sentido.
“La defensa necesita un cambio de paradigma: pasar de lo reactivo a lo proactivo”, aseguró Lara, quien aprovechó para detallar las bonanzas de Deep Discovery, tecnología capaz de convertir todos los elementos de red en elementos de seguridad. “Es un director de orquesta que organiza toda la seguridad de la red basándose en cuatro fases: detectar, analizar, adaptar y responder”.
En el turno de debate y ante la cuestión de cómo luchar contra el error humano, Eutimio Fernández reconoció que “es imposible; según una encuesta de Cisco, más del 60% de los usuarios no son conscientes de los problemas de seguridad o piensan que ésta es algo intrínseco”. Por eso, “Fortinet opta por entrenar a usuarios, informándoles de lo que están haciendo mal”, añadió Samuel Bonete, que apostó por educarlos. Claro que, ante esta necesidad, a la que tildó de difícil, Vesku Turtia antepuso la de “entender el riesgo y tener las redes bien montadas”.
La siguiente cuestión se circunscribió al área de la obsolescencia de las tecnologías ya instaladas. En este caso, Mario García aseguró que “es necesaria una estrategia de seguridad, utilizar lo que ya he invertido, maximizar los recursos e invertir en otros nuevos de forma inteligente, pensando en el largo plazo”. De igual modo, Tomás Lara coincidió en que “es muy importante sacar el jugo a lo que tenemos, aunque la nueva estrategia ha de adaptarse en tiempo real y seguir evolucionando”. En cambio, Alfonso Franch insistió en el “deber de encontrar un modelo basado en ejecución y no en detección, y pasar de un modelo de producto a uno de servicio, puesto que las empresas no tienen la inteligencia para protegerse totalmente por sí mismas”. Sobre la necesidad de servicios también se pronunció Abel González, al señalarlos como claves para “ofrecer una solución integral y sacar todo el jugo a lo que se tiene”.
Finalmente, como principales recomendaciones para evitar “dormir con el enemigo”, los ponentes señalaron desde la innovación, hasta la recomendación de probar la tecnología, pasando por lograr una mayor visibilidad de lo que ocurre en las organizaciones a través de la monitorización, la concienciación de los usuarios y la certeza de qué es lo que se desea defender.
Sesión de Madrid
Seguridad proporcional y responsabilidad
La jornada la cerraron dos expertos que trabajan en clientes finales y que mostraron su visión particular. Por un lado, David Matesanz, Responsable de Control de Riesgos y Criptografía del Área de Seguridad de la Información de Correos en esas fechas, consideró que a pesar de las alarmas generadas en torno a las APTs, “creo que hacemos bien las cosas”. “Sé que hay aspectos mejorables en mi organización, y que la seguridad total no existe. Por ello hay que tener una seguridad proporcional. Y es que el único APT es una persona inteligente”, agregó.
David Matesanz y Román Ramírez.
Y por otro, Román Ramírez, Responsable de Seguridad de Arquitecturas, Sistemas y Servicios en el Departamento de Seguridad de la Información de Ferrovial, tras reconocer que “somos target teóricos de APTs”, señaló que la “seguridad no es un tema exclusivamente tecnológico”. “Pagamos por tener un servicio de calidad que nos dejan abiertos huecos. Así que lo que le falta a nuestro sector es que haya más responsabilidad. Si no hay consecuencias y penalizaciones, nadie tiene la culpa de nada”. SIC
Sesión de Madrid
