Un gran número de enfermedades digitales que afectaron a las empresas en 2014, dejó claro que la seguridad básica no es suficiente para proteger a las empresas. Pero la naturaleza de las amenazas avanzadas persistentes (APT por sus siglas en inglés) y de otras formas de malware dificulta encontrar una herramienta capaz de impedir que la próxima amenaza se convierta en la siguiente intrusión.
Al igual que cualquier situación de seguridad, reducir el tiempo entre la detección y contar con la correcta protección es fundamental para sobrevivir a una tentativa de ataque. Utilizando una solución de Gestión de Seguridad y Eventos de Información (SIEM) y buscando Indicadores de Ataque (IoA, Indicators of Attack), las empresas pueden ahorrar minutos en su proceso de detección y bloquear las amenazas antes que se conviertan en una intrusión completa.
Los IoA son precisamente lo que parecen ser: comportamientos comunes que pueden indicar el riesgo de un ataque. El objetivo de identificar y enfrentar correctamente un IoA, es impedir que se convierta en un Indicador de Compromiso (IoC, Indicator of Compromise). Si no se detecta un IoA, después se convertirá en un IoC y la empresa en cuestión estará en un alto riesgo de aparecer en los titulares de los diarios por haber sido víctima de un ataque cibernético.
¿Cómo pueden las empresas saber qué indicadores de ataques deberán de tomar en cuenta para prevenir una intrusión digital? McAfee, parte de Intel Security, ha recopilado una lista de los ocho IoA más comunes y de las señales de alerta de cada uno de ellos para ayudar a que las empresas tomen las medidas necesarias.
Con estos IoA, se puede descubrir quién, qué, cuándo, dónde y cómo desactivar cualquier amenaza antes de que se convierta en un IoC y, después, inevitablemente, una intrusión:
- Computadores internos que se comunican con destinos definidos como nocivos o con un país extranjero donde su empresa no realiza negocios.
Cuando un computador u otro aparato se conecta a una red, se convierte en un gran indicador de ataque. El motivo es que algunos programas malintencionados necesitan conectarse con sus servidores de mando y control, a menudo ubicados en países diferentes, para transmitir información y recibir órdenes.
- Computadores internos que se comunican con computadores externos a través de puertos que no sean estándar o de incompatibilidad de protocolo.
El envío de shells de mando (SSH) en vez de tráfico de HTTP a través del puerto 80, el puerto predefinido de la Web, pueden indicar que una máquina infectada está intentando comunicarse con un servidor de mando y control o un atacante que está intentando extraer datos.
- Equipos en la zona de acceso público que se comunican con equipos internos.
Comunicación de equipos externos con su red interna pueden indicar un ataque. Dicha acción puede permitir que agentes externos ingresen a su red, permitiendo la pérdida de datos y el acceso remoto a sus recursos.
- Detección de malware fuera de las horas de acceso.
La actividad de la red fuera de las horas de acceso no siempre indican un ataque, pero las comunicaciones de dispositivos específicos en horas inusuales pueden ser un indicio. Configurar tu SIEM para detectar dichas comunicaciones sospechosas puede señalar una máquina comprometida.
- Exploraciones de red por equipos internos que se comunican con varios equipos en un corto período de tiempo.
Comunicaciones y exploraciones de red desde equipos internos hacia otros equipos pueden indicar que un atacante está intentando ingresar dentro de una red.
- Varios eventos de alarma desde un solo equipo o eventos duplicados en varias máquinas en la misma subred en un período de 24 horas.
Esta señal puede indicar que un atacante está intentando comprometer una red o computador.
- Un sistema infectado otra vez por malware cinco minutos tras su mantenimiento.
Aunque una infección sea claramente un ataque, una nueva infección a unos cuantos minutos después del mantenimiento de un equipo comprometido, puede indicar la presencia de una ATP, un problema mucho más grave que un simple malware.
- Una cuenta de un usuario intenta iniciar sesión en varios equipos desde o hacia regiones diferentes.
Esto indica que un atacante activo está intentando extraer datos.
A través de estos análisis críticos, las soluciones SIEM pueden ayudar a impedir que los diferentes tipos de IoA se conviertan en IoC o intrusiones abiertas, un ataque puede suceder en unos cuantos minutos y convertirse rápidamente en una situación decisiva. Por ello, es esencial contar con una solución de seguridad de acción rápida. Por ello, también, un 78 % de las empresas capaces de detectar ataques en cuestión de minutos tienen una solución SIEM proactiva y de tiempo real implementada.