¿Los ataques de objetivo APT realmente dan miedo?

Los ataques APT dirigidos en los medios a menudo se describen como un ataque avanzado que parece imposible de prevenir o detectar. Además, con el apoyo de los medios, tiene mucho que ver con el dibujo, lo que hace que APT sea más terrorífico de lo que realmente es.

Cualquier artículo que describa un ataque cibernético que involucre una vulnerabilidad de día cero es inmediatamente señalado por los medios como "ataque extendido" o "ataque dirigido". Goles APT".

Sin embargo, para aquellos que realmente trabajan y estudian en el campo de la seguridad de la información, las vulnerabilidades de día cero no son un secreto, ni tampoco las vulnerabilidades de "corte final". Vulnerabilidades de día cero en software y plataformas populares como Windows, Android, iOS y otros. son negociados abierta o privadamente todos los días por investigadores de seguridad. Obtener exploits con día cero tampoco es difícil. La pregunta es cuánto está dispuesto a pagar el público objetivo.

Figura 1 ¿Los ataques APT son realmente aterradores?

Las técnicas de ataque utilizadas por la mayoría de los grupos APT en la actualidad no son nuevas y las vulnerabilidades utilizadas ya han sido parcheadas (no son días cero). Además, las tecnologías y soluciones de seguridad actuales pueden detectar y reducir el riesgo de instalar spyware.

En la mayoría de los casos, al ataque de ciberseguridad de hoy en día se le suele llamar perseverancia, ya que implica un plan de ataque muy coordinado y coordinado, así como paciencia a la hora de elegir un ataque. objetivos importantes. Solo unos pocos ataques pueden llamarse avanzados o un gran avance en la tecnología de ataque.

Las APT no dan tanto miedo como uno podría pensar si uno comprende los métodos de ataque utilizados, las vulnerabilidades y las técnicas de explotación. Hay muchos procesos, técnicas y medidas de seguridad para mitigar los riesgos que plantean los ataques APT, ya sea que tengan vulnerabilidades de día cero o no.

¿El diseño de seguridad actual ayuda a reducir el riesgo de ataques dirigidos a APT?

Durante demasiado tiempo, las organizaciones han invertido en mecanismos de seguridad preventiva, a pesar de que estos mecanismos fallan año tras año. A pesar del uso de cientos de mecanismos de seguridad diferentes, los ataques de ciberseguridad aún ocurren todos los días en todo el mundo.

Esto demuestra que la forma en que pensamos sobre el ataque y la defensa debe cambiar. Seamos realistas, eludir las medidas de seguridad comunes, como los firewalls, los programas antivirus o las soluciones IDS/IPS, es muy simple y requiere poco esfuerzo por parte del atacante. .

Sin embargo, los proveedores de soluciones de seguridad mencionados anteriormente exageran las capacidades de este producto, dando la impresión de que los sistemas de la organización no pueden sobrevivir un día en Internet sin un producto de seguridad. Ahí.

Según la consultora de seguridad E-CQURITY (ECQ), la protección contra cualquier APT o ataque complejo requiere una planificación cuidadosa y la construcción de una arquitectura de seguridad basada en una estrategia de protección en profundidad. La protección multicapa requiere la creación de mecanismos de seguridad apropiados para todas las capas importantes del sistema de información: red (red), sistema/sistema operativo (host/sistema operativo), aplicaciones y datos.

Figura 2 ¿Son realmente aterradores los ataques APT?

El objetivo de cada atacante es obtener acceso a la capa de datos. La capa de datos a menudo contiene información importante que debe protegerse. Desafortunadamente, si bien la capa de datos es importante, generalmente recibe menos atención y no tiene tantas medidas de seguridad en comparación con la red y los sistemas operativos.

Cuando una arquitectura de seguridad de red tiene un diseño de seguridad desequilibrado y una implementación desequilibrada, es solo cuestión de tiempo antes de que un atacante inteligente encuentre el punto más débil en la correlación. La interconexión entre capas puede penetrar fácilmente en la red interna y llegar a importantes capas de datos.

La protección profunda y en capas es una estrategia de seguridad que requiere todas las funciones de seguridad necesarias para cada capa del sistema de información. La idea detrás del diseño de seguridad de red multicapa es garantizar que si la solución de seguridad no funciona o se pasa por alto, se reemplazará otro mecanismo de seguridad para ralentizar o detener el ataque y evitar que siga desarrollándose. El diseño de la arquitectura de seguridad de una organización suele estar tan obsesionado con la "prevención" o la "prevención" que se olvidan otros elementos de seguridad importantes como el "descubrimiento" y la "respuesta". ".

La "detección" es un mecanismo de seguridad que ayuda a identificar inmediatamente un ataque tan pronto como se produce y "responder" lo antes posible para lograr los mejores resultados y evitar pérdidas innecesarias. valor del sistema.

De hecho, cuando se realizan correctamente, los mecanismos de seguridad para "detección" y "respuesta" son los métodos de seguridad más valiosos para detectar y mitigar los riesgos que plantean los ataques dirigidos o complejos.

Por lo tanto, cabe señalar que los mecanismos de seguridad de "prevención", "detección" y "prevención" deben existir en las cuatro capas del sistema de información. Esto es para garantizar que si el atacante elude todas las medidas de seguridad instaladas en la capa de red, aún debe encontrar una manera de eludir todas las medidas de seguridad instaladas en el sistema/capa de capa. El sistema operativo, la capa de aplicación y finalmente la capa de datos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!