INFORME OFICIAL

Ataques a blancos especficos | julio de 2012

amenazas
persistentes
avanzadas:
la defensa desde
adentro hacia
afuera
Russell Miller
CATechnologies, Administracin de seguridad

agility
made possible
Ataques a blancos especficos

tabla de contenido

resumen ejecutivo 3

SECCIN 1: Desafo 4

Amenazas persistentes avanzadas:

No es el negocio de siempre

SECCIN 2: Oportunidad 7

Proteccin exhaustiva

SECCIN 3: Beneficios 14

Reduzca sus riesgos.

SECCIN 4: Conclusiones 14

SECCIN 5: Referencias 15

SECCIN 6: Informacin sobre el autor 16

Ataques a blancos especficos

resumen ejecutivo
Desafo
Proteger una organizacin constituye un desafo cada vez ms arduo. Los ataques son cada vez ms
complejos, y el avance de las amenazas persistentes avanzadas (APT), un tipo de ataque dirigido a
blancos especficos, ha hecho que las organizaciones tomen conciencia de su vulnerabilidad ante los
ataques. Empresas como RSA Security, Google o Northrup Grumman se han encontrado siendo blancos
de APT. El hecho de no haber sido vctima de una violacin importante en el pasado no garantiza un
avance seguro, ya que las organizaciones que son blanco de las APT enfrentan dificultades que no
suelen ver los administradores de seguridad, como el distanciamiento de las acciones en el transcurso
de meses o aos, a los fines de evitar la deteccin. El dao causado por la violacin tambin est en
aumento, lo que hace este desafo completamente real para los ejecutivos de alto nivel.

Oportunidad
No existe una solucin fcil cuando se trata de defenderse contra las APT. Se deben emplear mltiples
capas de proteccin que se combinen para reducir el potencial de una violacin y mitigar el dao en
caso de que ocurra una.
El enfoque inicial para defenderse contra los ataques a blancos especficos consiste en proteger
el permetro mediante cortafuegos y sistemas de deteccin de intrusin para detectar y bloquear
conductas anmalas. Este enfoque puede ser eficaz en la defensa contra determinados tipos de
ataques; no obstante, no protegen contra todos los vectores de ataque, como el spear phishing
y la ingeniera social.
En tanto que ningn otro producto de seguridad de punto (basado en tecnologa o de otro modo) puede
proteger completamente una organizacin de las APT, la disponibilidad actual de las soluciones de
seguridad multidominios puede ayudar a que las organizaciones se protejan del mejor modo posible.
La administracin de identidades con privilegios, la proteccin y control de la informacin y la seguridad
de la infraestructura interna son reas que tradicionalmente se analizan en silos, pero que ahora es
posible combinar para permitir que las organizaciones protejan sus infraestructuras de TI y centros de
datos en formas complementarias. CATechnologies lo denomina inteligencia de identidades y datos.

Beneficios
Al comprender y protegerse contra las amenazas persistentes avanzadas, las organizaciones reducen el
riesgo en el caso de que se conviertan en el blanco especfico de un ataque. El riesgo que se reduce no
es nicamente financiero, sino tambin operativo, legal, normativo y de reputacin.
Al adoptar una vista holstica de la seguridad que se puede emplear contra las APT, una organizacin se
protege igualmente de ataques menos avanzados, automatizados e incluso internos. Un enfoque integral
de la seguridad posee varias otras ventajas, como el mejoramiento del cumplimiento, la habilitacin
de servicios basados en la nube, el mejoramiento de la seguridad de la virtualizacin y la generacin
de ahorros en costo.

3
Ataques a blancos especficos

Seccin 1: Desafo
Amenazas persistentes avanzadas: no es el negocio
de siempre
Las amenazas persistentes avanzadas plantean desafos distintos a los de los riesgos de seguridad
tradicionales. El Instituto Ponemon estim el costo promedio en $5,5millones en 2011,1 lo que
convirti a las violaciones de seguridad en una preocupacin fundamental aun para los ejecutivos
de alto rango.
Definicin
Las amenazas persistentes avanzadas se refieren a un ataque a largo plazo y sofisticado dirigido a una
entidad especfica. El atacante suele tener el patrocinio estatal y busca obtener inteligencia altamente
valiosa de otros gobiernos, aunque tambin pueden realizarlos organizaciones privadas y dirigirlos a
otras organizaciones privadas. Esta denominacin fue utilizada por primera vez por la Fuerza Area de
los Estados Unidos en 2006.2
El Instituto Nacional de Normas y Tecnologa de los Estados Unidos (NIST) define a las amenazas
persistentes avanzadas (APT) de la siguiente forma:3
La amenaza persistente avanzada es un adversario con niveles sofisticados de pericia/recursos
significativos que le permiten, por medio del uso de mltiples vectores de ataque (por ej., ciberntico,
fsico y el engao), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer
y extender su posicionamiento dentro de la infraestructura de tecnologa de la informacin de las
organizaciones con fines de filtrar informacin hacia el exterior continuamente o socavar o impedir
aspectos importantes de una misin, un programa o una organizacin, o ubicarse en una posicin
que le permita hacerlo en el futuro. Adems, la amenaza persistente avanzada persigue sus objetivos
repetidamente durante un lapso extenso de tiempo, adaptndose a las medidas de defensa del atacado,
y con la determinacin de mantener el nivel de interaccin necesario para ejecutar sus objetivos.
En tanto que otras definiciones varan, las tres palabras ayudan a clarificar en qu consiste una
amenaza persistente avanzada:4
Avanzada: el atacante posee capacidades tcnicas significativas para ser capaz de explotar las
vulnerabilidades del blanco de ataque. Ello puede incluir el acceso a grandes bases de datos de
vulnerabilidades y habilidades de explotacin y codificacin, pero tambin la capacidad de revelar
y aprovechar las vulnerabilidades previamente desconocidas.
Persistente: las APT suelen producirse durante un perodo de tiempo extendido. A diferencia de los
ataques de corto plazo que aprovechan las oportunidades temporales, las APT pueden tener lugar en
el transcurso de varios aos. Se pueden utilizar mltiples vectores de ataque, desde los basados en
Internet hasta la ingeniera social. Es posible que se combinen violaciones de seguridad de menor
importancia durante un cierto tiempo para obtener acceso a datos ms significativos.
Amenaza: para que exista una amenaza debe haber un atacante con la motivacin y la capacidad
para realizar un ataque exitoso.
Las herramientas puramente automatizadas no se consideran una APT por s mismas, aunque pueden
ser utilizadas por un grupo coordinado y organizado como parte de un ataque de mayores dimensiones.

En el caso de las organizaciones ms importantes, el 50% de los ataques se produjeron

en 2011, lo que representa el 64% de todos los registros robados.5

4
Ataques a blancos especficos

Etapas
Una amenaza persistente avanzada tpica puede componerse de las cuatro etapas siguientes:

Ilustracin A.
Cuatro etapas de una
amenaza persistente
avanzada

1. Reconocimiento: la investigacin de las vulnerabilidades de una organizacin. Esto puede incluir la

investigacin bsica, incluidas consultas de dominio hasta anlisis de puertos y vulnerabilidades.
2. Entrada inicial: explotacin de las debilidades para conseguir una posicin en la red del blanco
de ataque. Esto se puede realizar mediante mtodos tcnicos sofisticados o con tcnicas como el
spear phishing (ataques de suplantacin de identidad dirigidos), lo que provoca que se obtenga
el acceso de un usuario normal a un sistema individual. Ingeniera social, o la explotacin de
personas, tambin constituye un mtodo comn para obtener acceso.
3. Aumento de los privilegios y la expansin del control: una vez que un atacante penetra en el
permetro de la red, intenta obtener ms privilegios y control sobre sistemas importantes. Este
paso puede involucrar la instalacin de herramientas de acceso indirecto destinadas a simplificar
el acceso futuro a la red.
4. Explotacin continua: una vez que se establece el control, el atacante puede exportar
continuamente datos confidenciales.

Las etapas tercera y cuarta pueden tener lugar a lo largo de aos, a los fines de reducir el riesgo de
deteccin.

Qu hace que las APT sean diferentes?

La diferencia principal entre las APT y las amenazas normales es que tienen una organizacin como
blanco especfico. Si bien la defensa del permetro y el uso de controles de seguridad estndar
pueden proteger a una organizacin contra los ataques estndares, es posible que estas tcnicas no
sean suficientes al momento de enfrentar las APT. Los pacientes atacantes pueden esperar hasta que
nuevas vulnerabilidades revelen una debilidad o pueden combinar vulnerabilidades aparentemente
menores en un ataque a gran escala y perjudicial.
Cuando se enfrenta una amenaza semejante, las reglas habituales no rigen. En el pasado, numerosas
organizaciones sencillamente necesitaban contar con una mejor seguridad que otras organizaciones y
negocios conectados a Internet, ya que varios atacantes elegiran los blancos ms fciles. No obstante,
en vista de las APT, las organizaciones deben ser capaces de vencer a un enemigo motivado que se
tomar el tiempo de buscar debilidades en lugar de dirigirse a otro blanco.
El espacio de tiempo de las APT tambin contribuye a que la deteccin sea especialmente difcil.
En una violacin de seguridad estndar, es posible que se exporten cantidades significativas de datos
en un perodo corto, lo que hace posible la deteccin de la violacin por medio de los cortafuegos y los
dispositivos de deteccin de intrusiones. Un atacante en una APT puede exportar datos especficos a lo
largo de meses o incluso aos, venciendo incluso sistemas con funciones completas y bien configurados.

5
Ataques a blancos especficos

Objetivos Blancos
Debido a su naturaleza dirigida, los perpetradores de Tipos especficos de organizaciones corren ms riesgos
las APT poseen a menudo objetivos diferentes a los de sufrir las APT debido a la frecuente naturaleza
de los hackers de Internet comunes, y en lugar de un poltica y favorecida por el estado de la amenaza:
robo simple y daos recreativos, se enfocan ms en los Organismos gubernamentales
siguientes puntos:
Organizaciones de defensa y contratistas
Manipulacin poltica
Sistemas de infraestructura importantes
Espionaje militar (por ej., sistemas de servicios pblicos,
Espionaje econmico comunicaciones y transporte)
Espionaje tcnico Organizaciones polticas
Extorsin financiera Instituciones financieras
Empresas de tecnologa

Ejemplos
RSA
En 2011, RSA Security anunci que haba sido vctima de lo que se define como una APT6. Los atacantes
obtuvieron la entrada inicial al engaar a un usuario interno para abrir un correo electrnico que inclua
un archivo adjunto con una hoja de clculo que explot una vulnerabilidad flamante en Adobe Flash.
A partir de all, los atacantes fueron aumentando sus privilegios, instalaron accesos indirectos y
obtuvieron el control de sistemas adicionales.
Los atacantes pudieron obtener acceso a los sistemas de RSA que guardaban informacin relacionada
con sus tokens de autenticacin de dos factores, conocidos como SecurID. Esta informacin inclua
potencialmente valores semilla que RSA utiliza con sus tokens para generar las contraseas de nica
vez que cambian cada 60 segundos. Si se robara el cdigo fuente, los atacantes podran buscar
vulnerabilidades en la implementacin de SecurID o incluso en el mismo cifrado.
Operacin Aurora
Operacin Aurora fue una APT que apunt a numerosas empresas de gran magnitud, como Google,
Adobe, Rackspace y Juniper Networks. Los reportes de los medios sugieren que dirigieron tambin a
muchas otras empresas, como Yahoo, Northrup Grumman, Morgan Stanley, Symantec y Dow Chemical.7
Se cree que el Bur Poltico de China dirigi los ataques como parte de una campaa coordinada y de
gran escala contra los Estados Unidos y otros pases occidentales.8

Las APT son muy difciles de detectar. Segn un informe de investigaciones de

violaciones de datos de Verizon de 2012, el 92% de todas las organizaciones y
el 49% de las grandes organizaciones tuvieron conocimiento de una violacin de
seguridad gracias a la notificacin de un tercero.9

6
Ataques a blancos especficos

Seccin 2: Oportunidad
Proteccin exhaustiva
Para protegerse de amenazas persistentes avanzadas, la clave es la proteccin exhaustiva. Si cuenta
con el tiempo suficiente, un atacante determinado ser capaz de generar una violacin en la mayora
de los permetros de red. Una defensa exitosa tendr las siguientes caractersticas:
1. Hacer que la penetracin inicial sea difcil
2. Reducir el potencial para aumentar privilegios en el caso de que una cuenta est comprometida
3. Limitar el dao que se pueda realizar por una cuenta comprometida, aun si tiene privilegios
4. Detectar las cuentas comprometidas y las actividades sospechosas en las etapas iniciales del
proceso
5. Reunir informacin til para una investigacin forense, para poder determinar qu dao se produjo,
cundo, y quin lo realiz
La proteccin del permetro con cortafuegos y sistemas de deteccin de intrusin en la frontera de la
red slo puede ayudar con la primera y cuarta defensa. Se requiere una estrategia de proteccin ms
activa.
Deteccin temprana
Las violaciones se suelen detectar despus de que el atacante obtuvo acceso a una red interna y caus
daos o rob grandes cantidades de datos. En este punto, la defensa contra APT implica un proceso
costoso de control de daos, limpieza y monitoreo constantes. La clave para una proteccin accesible y
posible de administrar contra las APT yace en la deteccin de las amenazas con la mayor anticipacin
posible. En la fase inicial de un ataque, cuando el atacante puede dar el primer paso dentro de la red,
una organizacin puede valerse de distintas tcnicas para detectar una violacin, como la separacin y
externalizacin de la seguridad del sistema de la administracin del sistema, la prevencin y deteccin
de intentos de aumento de privilegios y el uso no autorizado de privilegios, adems de la auditora y el
registro de las actividades de usuarios fuera de registros del sistema operativo (ese tipo de auditora y
registro puede ser desconocido para el atacante).
La administracin de identidades con privilegios y la proteccin y control de la informacin y de la
infraestructura interna conforman el ncleo de una proteccin exhaustiva contra las APT, conjuntamente
con la deteccin temprana. Estas tcnicas se detallan en las secciones a continuacin.
Administracin de identidades con privilegios
Las herramientas de Administracin de identidades con privilegios (PIM) administran y monitorean las
cuentas administrativas como Administrador en Windows y raz en UNIX y Linux. Sistemas de PIM:
Implementan el principio de privilegios mnimos aun para cuentas administrativas.
Administran el acceso a cuentas compartidas a travs de las capacidades de administracin de
contraseas de usuarios con privilegios
Realizan el seguimiento de las actividades de usuarios para ayudar a garantizar su responsabilidad
y tambin para prestar colaboracin en una investigacin de violaciones de seguridad

7
Ataques a blancos especficos

Acceso con privilegios mnimos

Todo el personal debera poseer los privilegios mnimos necesarios para realizar sus tareas. Si bien
numerosas organizaciones comprenden este concepto, con frecuencia fallan al momento de ponerlo en
prctica, especialmente en el caso de las cuentas administrativas. Las personas que requieren de cierto
nivel de acceso con privilegios habitualmente reciben la contrasea para la cuenta administrativa
correspondiente, que es compartida por varias personas.
Lo que las organizaciones deben comprender respecto de la prevalencia de las APT es que el acceso con
privilegios no necesita ser una decisin a todo o nada. Se pueden otorgar privilegios importantes a
personas para permitir que lleven a cabo nicamente una tarea muy especfica. En el pasado, los sistemas
UNIX y Linux lo realizaban utilizando la herramienta sudo, pero las herramientas modernas de control
de acceso pueden otorgar o denegar el acceso de forma centralizada tanto para sistemas UNIX como
para Windows.
Modelo de seguridad: desvinculacin de la seguridad de la administracin del sistema
Un sistema operativo tpico cuenta con un modelo de seguridad de dos capas: usuarios con privilegios y
usuarios comunes. No obstante, a los fines de la proteccin contra las APT, se necesita un modelo ms
sofisticado. Este modelo est basado en los principios de seguridad estndares de privilegios mnimos
y divisin de obligaciones. Como mnimo, se deben definir tres roles administrativos primarios:
Administrador del sistema: el administrador del sistema en s debe tener los privilegios requeridos
para realizar las actualizaciones del software del servidor y los cambios de configuracin necesarios,
e instalar el software. Los administradores del sistema no deben poder cambiar la configuracin de
seguridad importante ni visualizar registros relacionados con la seguridad.
Administrador de seguridad: estos administradores deben poder actualizar y cambiar las configuraciones
de seguridad y visualizar registros relacionados con la seguridad. Los administradores de seguridad
no deben poder instalar software ni tener acceso a datos confidenciales de un sistema.
Auditor: los auditores deben poder comprobar la configuracin de seguridad y visualizar archivos de
registro, pero no deberan tener la capacidad de realizar ningn cambio en el sistema. Si bien es
posible que requieran tener acceso a archivos confidenciales, todos los accesos deberan ser de slo
lectura.
Se deben crear tipos de administradores adicionales donde sea apropiado, como administradores de
bases de datos o para otras aplicaciones especialmente delicadas.
Por medio de un modelo de seguridad de mltiples niveles se logran dos metas simultneamente:
proteger contra las amenazas internas de administradores propios al limitar lo que cada persona puede
hacer, y tambin hacer que sea mucho ms difcil que los atacantes externos perpetren las ATP. En lugar
de necesitar comprometer una cuenta de superusuario, los atacantes ahora necesitarn obtener
acceso a mltiples cuentas para poder tener acceso pleno a un sistema.
Controles especficos
Los controles especficos, aparte de ser una buena prctica de seguridad, son especialmente tiles
en la mitigacin de los daos causados por una APT. Una vez que los atacantes obtienen privilegios
administrativos, suelen instalar rootkits de acceso indirecto y comienzan a exportar datos confidenciales.
Con controles de acceso apropiados, un atacante aun con acceso con privilegios se ve limitado en lo que
puede hacer, y es posible que se le impida tener acceso a archivos confidenciales, ejecutar comandos
maliciosos, instalar programas, detener o iniciar servicios o cambiar archivos de registro. En un sistema
donde se implementan controles especficos, es posible que un atacante se vea forzado a comprometer
mltiples cuentas para poder realizar lo que antes era posible con una nica cuenta.

8
Ataques a blancos especficos

La implementacin de controles de acceso especficos tambin puede mitigar el riesgo que presenta la
mayor debilidad de seguridad en una organizacin: su personal. Valindose de lo que se conoce como
tcnicas de ingeniera social, los atacantes suelen engaar a empleados y otros agentes internos para
que proporcionen informacin que puede utilizarse para obtener acceso a sus cuentas o revelar otras
debilidades de la seguridad. Al limitar el acceso a sistemas y datos importantes de empleados, es posible
disminuir el dao que puede realizar un atacante que obtenga acceso a las cuentas mediante la ingeniera
social.
Administracin de cuentas compartidas
La administracin de cuentas compartidas (o administracin de contraseas de usuarios con privilegios)
constituye una defensa clave contra las APT. La obtencin del acceso a las identidades con privilegios
(frecuentemente con el aumento de privilegios) es el paso intermedio clave en casi todos los ataques
que logran su objetivo. Las herramientas de administracin de contraseas de usuarios con privilegios
deberan servir para lo siguiente:
Almacenar contraseas cifradas de forma segura
Administrar la complejidad de las contraseas y los cambios automatizados regulares de acuerdo con
la poltica
Restringir el acceso a las cuentas administrativas al obligar que todos los accesos atraviesen un
portal centralizado
Usar la funcionalidad de inicio de sesin automtico para prevenir que aun los usuarios autorizados
conozcan las contraseas de las cuentas con privilegios
Proporcionar acceso de emergencia a las cuentas, que posee controles adicionales y exige aprobaciones
Eliminar el uso de contraseas integradas como parte del cdigo en scripts (que suelen estar
almacenadas en texto inteligible y pueden ser robadas por un usuario malicioso)
Estas capacidades no slo evitan que se compartan estas contraseas; tambin previenen el robo de
contraseas desde archivos de contraseas personales o mediante el registro de pulsaciones de teclas.
Al obligar a que todos los inicios de sesin de cuentas con privilegios atraviesen un proxy central,
una organizacin puede hacer el seguimiento de todos los inicios de sesin y actividades en el evento
de una violacin, lo que ayuda a las medidas de investigacin y potencialmente a mitigar el dao.
Generacin de reportes de las actividades del usuario
Comprender cules acciones realizan las cuentas con privilegios resulta un componente clave para
detectar las APT y mitigar el dao en un evento de un ataque inicial exitoso. Por su naturaleza, las APT
suelen implicar la exportacin de cantidades significativas de datos, lo que puede detectarse con las
herramientas correctas. Los registros de actividades de usuarios prueban qu sistema y qu actividades
de usuario estn ocurriendo en un sistema o dispositivo de red y pueden servir para identificar violaciones
de las polticas e investigar violaciones de seguridad.
Normas como HIPAA, CA SB 1386 y numerosas leyes estatales de notificacin de violaciones exigen que
una organizacin revele la violacin de seguridad a la persona u organizacin afectada. Los registros de
las actividades de usuarios se pueden utilizar para investigar la violacin de seguridad a los fines de
descubrir no slo quin la cometi sino tambin cmo sucedi, de modo que se puedan corregir los
controles internos y mejorar los procesos.

9
Ataques a blancos especficos

Las herramientas de generacin de reportes de actividades de usuarios deberan servir para lo siguiente:
Realizar el seguimiento de:
todos los inicios de sesin, especialmente los de las cuentas compartidas y con privilegios,
incluido el IP de origen, el Id. del usuario original que tiene acceso a una cuenta compartida
y la fecha y hora tanto del inicio como del cierre de sesin;
todas las actividades de las cuentas compartidas hasta llegar a la Id. del usuario original;
todos los comandos, ingresados por la lnea de comandos o escritos en la GUI.

Detectar comportamientos anmalos:

Identificar actividades sospechosas y generar alertas.
Proporcionar la capacidad de correlacin de registros, con el foco en la conexin entre la
actividad del usuario y la persona que lo llev a cabo, por medio de un anlisis de patrones
complejos de registros de auditora.

Investigar violaciones:
Comprobar quin hizo qu en un entorno de cuenta compartida.
Aportar herramientas visuales de anlisis de registro con capacidades de obtencin de detalles
que puedan acelerar la investigacin de actividades de usuarios y recursos, adems de la
identificacin de violaciones a polticas.
En el evento de una violacin, estas capacidades ayudarn a que una organizacin comprenda lo siguiente:
El modo en que el atacante pudo obtener acceso a una cuenta.
Lo que pudo llevar a cabo mientras utiliz esa cuenta y el dao que produjo.
Cmo prevenir futuros ataques por medio del mismo mtodo o mtodos similares.
Quin fue el o la atacante, potencialmente, y de dnde provino.
Qu informacin se debe reportar a los organismos regulatorios.
Resulta fundamental recordar que los registros deben estar protegidos de los administradores.
Los usuarios con privilegios pueden determinar dnde estn almacenados localmente los registros en
los sistemas y pueden detectar cules polticas de auditora se utilizan en la organizacin. Pueden cubrir
su propio rastro por medio de la eliminacin de registros dentro de los archivos de registro locales,
gracias a que poseen acceso completo a los sistemas (si es que no estn implementados controles
especficos apropiados). Las organizaciones deberan almacenar los registros en una ubicacin remota
a la que puedan tener acceso esos usuarios con privilegios, y adems monitorear si se realizan intentos
de eliminar los archivos de registro local en los sistemas.
Control y proteccin de la informacin
En una APT, la meta final del ataque es robar informacin confidencial, de modo que tener control sobre
los datos resulta un componente esencial en una defensa exitosa. Para proteger datos confidenciales
contra una APT, una organizacin debera proteger y controlar los datos en cuatro estados:
Datos en el acceso. Intento de tener acceso a informacin confidencial por parte de un rol que no
corresponde.
Datos en uso. Informacin confidencial que se maneja en la estacin de trabajo local o en un equipo
porttil.
Datos en movimiento. Informacin confidencial que se transmite a travs de la red.
Datos en reposo. Informacin confidencial almacenada en repositorios como bases de datos,
servidores de archivos o sistemas de colaboracin.

10
Ataques a blancos especficos

Para lograrlo, las organizaciones deben definir polticas que apliquen el control si se detecta un acceso
o uso inadecuado de los datos. Una vez que se produce la violacin de poltica (como intentar el acceso
a propiedad intelectual, copiar la informacin a una unidad USB o intentar enviarla por correo electrnico),
la solucin debe mitigar el compromiso y al mismo tiempo generar una alarma.
El ncleo de cualquier iniciativa de seguridad de los datos es la clasificacin de la informacin.
Sin comprender qu es la informacin y dnde est ubicada, es imposible implementar un programa de
proteccin de datos integral. Una organizacin debe detectar y clasificar con precisin la informacin
confidencial basndose en su nivel de confidencialidad para la organizacin. Esto incluye la propiedad
intelectual y tambin la informacin de identificacin personal, la informacin privada de salud y otra
informacin no pblica.
Una vez que se clasific adecuadamente la informacin, se definieron polticas y se implementaron
controles, una organizacin puede proceder a monitorear y controlar el acceso y manejo de toda la
informacin confidencial. Esto abarca acciones de usuarios como el simple intento de acceso y lectura
de datos confidenciales, la copia de datos a un dispositivo extrable o su impresin, su envo fuera de la
red por correo electrnico, hasta la deteccin de datos almacenados en un repositorio como SharePoint.
Seguridad de la infraestructura interna
En tanto que la proteccin del permetro de la red, las identidades con privilegios y los datos son
componentes fundamentales de una defensa exhaustiva contra las APT, tambin resulta importante
proteger la infraestructura de TI interna. Adems de una apropiada arquitectura y segmentacin de red,
ello implica configurar y proteger adecuadamente los servidores y dispositivos individuales, as como
sus entornos.
Seguridad imprevista y externalizada
Los atacantes elaboran estrategias y emplean tcticas contra las defensas de seguridad conocidas.
Igualmente, utilizan comandos, funciones y utilidades comunes del sistema operativo para reunir
informacin, monitorear el sistema y tomar medidas para expandir su control. Los profesionales
de la seguridad pueden utilizar las suposiciones bsicas de los atacantes en su contra, incorporando
elementos inesperados a un sistema. Por ejemplo, archivos y comandos que en apariencia no estn
protegidos ni monitoreados por los registros del sistema pueden estar, efectivamente, protegidos y
monitoreados por una herramienta externa. De hecho, los permisos que un atacante visualiza no son
necesariamente los permisos que estn siendo aplicados. Esto hace posible que una organizacin
detecte a un atacante verificando los permisos del sistema operativo y violando polticas externas
al momento de probar los lmites de los permisos.
Este es el motivo fundamental por el cual la administracin de seguridad debe externalizarse y separarse
de la administracin del sistema operativo. Luego de obtener el acceso inicial a un sistema, el atacante
tpico intentar aumentar sus privilegios a los fines de eludir los controles del sistema operativo.
Con este acceso, asumen que podrn anular los mecanismos de seguridad y ocultar sus huellas
eficazmente. Con una funcin de seguridad externa, suele ser posible detectar y contener a los atacantes
mucho ms temprano en el proceso de la APT: cuando un atacante intenta aumentar sus privilegios,
cambiar los controles de seguridad de los sistemas o ejercer privilegios que no se han otorgado. Si bien
un atacante puede eludir exitosamente los controles y registros de nivel de SO tradicionales, los procesos
de deteccin externa pueden tomarlos por sorpresa. Bsicamente, una organizacin puede implementar
una poltica de control de acceso en la trastienda, de un modo potente e inesperado.
Adems, se pueden cambiar y modificar los comandos estndares del sistema. Si los administradores
vuelven a nombrar las funciones como sudo, todos los intentos de utilizar el comando sudo original
puede activar un alerta y conducir a la deteccin temprana de una violacin.

11
Ataques a blancos especficos

Refuerzo del servidor

Todos los servidores que alojan informacin confidencial se deben configurar de modo que se minimice
el potencial de compromiso y difusin de datos en el evento de que efectivamente se produzca un
compromiso. Ello incluye lo siguiente:
Utilizar un software cortafuegos para controlar las comunicaciones entrantes y salientes, restringir
los paquetes mediante IP de origen, protocolo (por ej., SSH, TELNET, etc.) y puerto TCP; bloquear los
protocolos inseguros (por ej., servicios no cifrados, como los FTP)
Bloquear todas las ejecuciones e instalaciones de aplicaciones salvo que estn especificadas
explcitamente (lista blanca de aplicaciones), lo que previene las explotaciones de la ejecucin del
cdigo y la instalacin de software backdoor
Confinamiento de aplicaciones. Definir y permitir acciones aceptadas para aplicaciones de alto
riesgo y restringir cualquier conducta que exceda estos lmites. Por ejemplo, se puede construir una
ACL basada en una Id. lgica que posee procesos y servicios de Oracle, de forma que su conducta
confinada le prohbe realizar cualquier accin aparte de iniciar los servicios DBMS de Oracle.
Prevenir cambios en los archivos de registro
Habilitar el monitoreo de integridad de los archivos para detectar cambios en archivos clave, como
los que realizan los root kits
Controlar el acceso a los archivos de directorio de aplicaciones confidenciales (por ej., nicamente la
aplicacin de nmina de pago puede abrir archivos de nmina de pago)
Detectar cambios a archivos confidenciales en tiempo real
Uniformar la seguridad
Un problema comn en la computacin distribuida es la variacin de capacidades y disponibilidad de
controles de seguridad entre plataformas (por ej., los controles de archivo/directorio de UNIX difieren
significativamente de los de Windows). Esto puede provocar una serie de problemas susceptibles de
explotacin:
Las polticas de seguridad que sirven a un modelo de sistema en lugar de a un modelo de seguridad
del negocio
Las polticas de seguridad deben adaptarse a las limitaciones de los sistemas
Los errores y las omisiones causados por la complejidad adicional de la administracin de seguridad
A los fines de proveer una defensa integral contra APT, las configuraciones de seguridad deben aplicarse
con la mayor equidad posible en todas las plataformas. Se deben comprender y seguir todas las
limitaciones y contradicciones.
Esta es otra razn por la que las organizaciones no deberan confiar exclusivamente en la seguridad de
su sistema operativo. Las herramientas externas pueden ofrecer una plataforma universal para aplicar
un paradigma de seguridad en todos los entornos, permitiendo as un enfoque de seguridad centralizado,
dinamizado y especfico del negocio.
Seguridad de la virtualizacin
La cantidad de sistemas virtualizados aument explosivamente, lo que convierte a los entornos virtuales
en un blanco clave de APT para los atacantes. De acuerdo con Gartner, A partir de mediados de 2011,
al menos un 40% de las cargas de trabajo de arquitectura de x86 se han virtualizado en servidores.
Adems, se espera que la base instalada se quintuplique de 2010 a 2015 (debido a que aument la
cantidad de cargas de trabajo en el mercado y que la penetracin aument ms del 75%).10

12
Ataques a blancos especficos

El hipervisor tambin constituye un blanco importante debido al nivel de acceso que puede representar.
Si un atacante compromete el hipervisor, puede obtener prcticamente acceso completo a todas las
mquinas virtuales que se ejecutan en ese hipervisor. En tanto que la seguridad del sistema operativo
puede evitar inicios de sesin directos y el cifrado puede proteger los datos confidenciales, estas medidas
no resisten a un atacante insistente. Alguien con el control administrativo de un hipervisor puede copiar
mquinas virtuales completas a un entorno externo, como as tambin eludir la seguridad basada en
host utilizando mtodos de fuerza bruta o bien sobrescribiendo archivos clave.
A los fines de proteger los entornos virtuales, las organizaciones deben concentrar su atencin, una vez
ms, en los administradores, y aplicar el principio de privilegios mnimos. En primer lugar, se debe
controlar estrictamente el acceso a las cuentas con privilegios del hipervisor con el monitoreo y registro
de todas las acciones. En segundo lugar, del mismo modo que los entornos fsicos, se debe restringir a
las identidades con privilegios del hipervisor para que lleven a cabo nicamente las acciones requeridas.
Por ejemplo, un administrador de finanzas debe poder tener acceso slo a las mquinas virtuales que
pertenezcan al departamento de finanzas y no a los sistemas de Recursos Humanos.
Sntesis general
Ninguna herramienta de seguridad proteger una organizacin de una APT perpetrada por un atacante
determinado, capaz, persistente y con abundantes recursos. La meta de cualquier estrategia de defensa
contra una APT yace en dificultar al mximo posible la penetracin en la red, limitando la cantidad de
dao que se puede realizar y la cantidad de informacin que se puede robar en el caso de una violacin
que logre su objetivo, y detectar una violacin con la mayor celeridad posible.
En tanto que la seguridad perimetral es un componente obligatorio en la prevencin de la violacin
inicial, de ningn modo resulta suficiente y tampoco sirve para reducir el dao una vez que se produjo
la violacin. La clave para la mitigacin yace en la combinacin inteligente de administracin de
identidades con privilegios, clasificacin y control de datos y la seguridad de la infraestructura.
Las herramientas estndar de administracin de identidades con privilegios pueden restringir u otorgar
el acceso basadas en un conjunto de reglas. Si bien esta capacidad puede proporcionar una divisin de
obligaciones adecuada, no es una solucin rgida por naturaleza. Los privilegios se pueden modificar con
el tiempo a medida que cambian los roles, pero se trata de una solucin esencialmente pasiva.
Se necesita de una funcin basada en el contenido para incorporar una nueva generacin de defensa
activa contra las APT. Esto quiere decir integrar la inteligencia de datos en cada decisin que se tome al
momento de determinar si aprobar o no una solicitud. Esa integracin se debe realizar por medio del
reconocimiento y la comprensin de patrones de accesos y usos de datos. Por ejemplo, se deberan
tener en cuenta los siguientes puntos:
Cambios en el acceso a tipos de datos. Un administrador que de modo continuo tiene acceso a datos
de un tipo especfico (por ej., registros operativos) luego solicita el acceso a informacin financiera
confidencial o datos de clientes.
Cambios en el uso de los datos. Un administrador habitualmente tiene acceso a datos confidenciales
por medio de una aplicacin especfica con solicitudes de acceso de slo de lectura para exportar
datos a un disco duro externo, unidad USB o enviarlos por correo electrnico.
Cambios en la cantidad de los datos. Un administrador tiene acceso a 100MB de datos
confidenciales por semana, y solicita acceso a 500GB en un perodo similar.
Cambios en la frecuencia de acceso a los datos. Un administrador tiene acceso a datos altamente
confidenciales una vez por mes, y repentinamente tiene acceso a esos mismos datos, diariamente.

13
Ataques a blancos especficos

Ninguno de estos cambios indica por su mera aparicin que se ha producido una violacin; no obstante,
s representan un cambio en la conducta. Un sistema que controle de forma inteligente el acceso de
usuarios con privilegios debera tomar en cuenta todos estos factores al momento de revisar una
solicitud de acceso. Esta inteligencia de datos puede utilizarse para denegar el acceso a recursos en
tiempo real o bien para permitir el acceso, pero crear tambin un alerta que seala actividad sospechosa.

Seccin 3: Beneficios
Reduzca sus riesgos.
Las organizaciones que son blancos de una amenaza persistente avanzada enfrentan mltiples tipos de
daos. Es posible que los atacantes roben propiedad intelectual y documentos estratgicos, y as afectar
posiblemente la competitividad. El robo de datos de clientes puede provocar la reaccin negativa de
clientes, dao a la reputacin y el inicio de acciones legales. El robo de informacin privada de salud
o registros financieros puede generar problemas de cumplimiento normativo.
Un beneficio secundario de un programa holstico de defensa contra las amenazas persistentes
avanzadas es que ayuda a proteger una organizacin de otras amenazas, como los ataques externos
automatizados o las amenazas internas. Muchas de las tcnicas empleadas para mitigar el dao de las
APT limitan tambin el acceso que se otorga a las cuentas internas, incluso las de administradores.
Al limitar el acceso y dividir las obligaciones aun para los usuarios con privilegios, una organizacin se
protege a s misma contra un administrador no autorizado u otro usuario interno malintencionado.
Otro aspecto nico de este enfoque es que no requiere de conocimiento especfico de vulnerabilidades
y nuevas explotaciones, y que no depende de la defensa perimetral. Con el uso de estas tcnicas,
las organizaciones pueden aplicar un modelo de seguridad y permitir o denegar acciones basndose
en reglas del negocio, confidencialidad de los datos o conducta anmala. Como este modelo se puede
aplicar uniformemente en todas las plataformas y se puede separar de la seguridad del sistema
operativo, puede brindar un medio eficaz para defender contra las APT y detectar los ataques en las
etapas iniciales del proceso.

Seccin 4:
Conclusiones
La preponderancia de los ataques a blancos especficos es cada vez mayor. Las violaciones a empresas
como RSA han recibido gran difusin en los medios y tendrn consecuencias a largo plazo, tanto para
la reputacin como para las ganancias.
La idea de proteccin exhaustiva no es nueva. Se trata de un aspecto fundamental de cualquier programa
de seguridad. Lo que s es nuevo es el foco en la proteccin de las identidades internas con privilegios
a los fines de prevenir el dao realizado por agentes externos. Dado que el permetro de la red ya no
es el bastin de la seguridad que sola ser, la identidad se torna un aspecto todava ms importante.
Bsicamente la identidad es el nuevo permetro.

14
Ataques a blancos especficos

Cuando se utiliza la identidad para protegerse contra amenazas internas y externas, como las APT,
el conocimiento de contenido debera ser un requisito clave. Por medio del uso de inteligencia de
datos como parte de cada decisin de acceso, las organizaciones actuales pueden comprender mejor
los riesgos asociados con cada una de las acciones que realiza un usuario. Las solicitudes de acceso
a datos confidenciales se pueden analizar y comprender en un contexto muchsimo ms amplio que en
el pasado. En lugar de depender de reglas fijas para permitir o bloquear ciertas acciones, los datos se
pueden usar para generar un panorama ms claro de las actividades de usuarios.
Para ayudar a que su organizacin se anticipe a la jugada en lo que respecta a la defensa contra ataques
a blancos especficos, adopte la administracin de identidades con privilegios y el conocimiento de
contenido como las piedras angulares de su programa de seguridad.

Seccin 5:
Referencias
1 Instituto Ponemon. 2011 Cost of Data Breach Study: United States (2011 Estudio del costo de las
violaciones de datos, Estados Unidos): http://www.symantec.com/content/en/us/about/media/pdfs/
b-ponemon-2011-cost-of-data-breach-us.en-us.pdf
2 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html
3 NIST Special Publication 800-30 Revision 1, Guide for Conducting Risk Assessments, (Publicacin
especial de NIST, Gua para realizar evaluaciones de riesgo) http://csrc.nist.gov/publications/
drafts/800-30-rev1/SP800-30-Rev1-ipd.pdf
4 Advanced Persistent Threat (Amenaza persistente avanzada), Wikipedia, http://en.wikipedia.org/
wiki/Advanced_persistent_threat
5 Verizon, 2012 Data Breach Investigations Report (Informe de investigacin sobre violaciones de datos):
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_
xg.pdf
6 http://www.rsa.com/node.aspx?id=3872
7 http://en.wikipedia.org/wiki/Operation_Aurora
8 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp
9 Verizon, 2012 Data Breach Investigations Report (Informe de investigacin sobre violaciones de datos):
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_
xg.pdf
10 Gartner Inc., Magic Quadrant for x86 Server Virtualization Infrastructure (Magic Quadrant para
Infraestructura de virtualizacin de servidores x86), Thomas Bittman, George J. Weiss, Mark A.
Margevicius and Philip Dawson, 30 de junio de 2011
Gartner no apoya a ningn proveedor, producto o servicio mostrado en sus publicaciones de
investigaciones y no aconseja a los usuarios de tecnologa seleccionar nicamente aquellos
proveedores con las clasificaciones ms altas. Las publicaciones de investigacin de Gartner se
componen de opiniones de la organizacin de investigacin de Gartner y no deben considerarse
como declaraciones de hechos. Gartner rechaza todas las garantas, expresas o implcitas, relacionadas
con esta investigacin, entre las que se incluyen las garantas de comerciabilidad o adecuacin para
un fin determinado.

15
Ataques a blancos especficos

Seccin 6:
Informacin sobre el autor
Russell Miller trabaja desde hace ms de cinco aos en el rea de seguridad de red, en distintos roles
que comprenden desde el ataque informtico tico al marketing de productos. Actualmente administra
el rea de marketing de los productos de CAControlMinderTM para administracin de identidades con
privilegios y seguridad de virtualizacin. Russell se gradu en Ciencias de Computacin en el Middlebury
College y obtuvo una maestra en la Escuela de Administracin y Direccin de Empresas del Instituto
Tecnolgico de Massachusetts (MIT).

CATechnologies es una empresa de software y soluciones de administracin

de TI con experiencia en todos los entornos de TI, desde entornos mainframe
y distribuidos, hasta entornos virtuales y de nube. CATechnologies administra
y asegura los entornos de TI, y permite que los clientes entreguen servicios
de TI ms flexibles. Los innovadores productos y servicios de CATechnologies
proporcionan la perspectiva y el control esencial para que las organizaciones
de TI mejoren la agilidad del negocio. La mayor parte de las empresas
de Global Fortune 500 confa en CATechnologies para administrar sus
ecosistemas de TI en evolucin. Si desea obtener ms informacin,
visite CATechnologies en ca.com/ar.

Copyright 2012 CA. Todos los derechos reservados. Microsoft, SharePoint y Windows son marcas registradas o marcas comerciales de Microsoft
Corporation en los Estados Unidos o en otros pases. Linux es la marca registrada de Linus Torvalds en los EE.UU. y en otros pases. UNIX es una
marca registrada de The Open Group. Todas las marcas registradas y nombres comerciales, logotipos y marcas de servicios a los que se hace referencia
en este documento pertenecen a sus respectivas empresas. El propsito de este documento es meramente informativo. CA no se responsabiliza de
la exactitud e integridad de la informacin. En la medida de lo permitido por la ley vigente, CA proporciona esta documentacin en las condiciones
de entrega, sin garanta de ningn tipo, incluidas, a ttulo enunciativo y no taxativo, las garantas implcitas de comercialidad, adecuacin a un fin
especfico o no incumplimiento. CA no responder en ningn caso en los supuestos de demandas por prdidas o daos, directos o indirectos,
que se deriven del uso de esta documentacin, incluidas, a ttulo enunciativo y no taxativo, la prdida de beneficios, la interrupcin de la actividad
empresarial, la prdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelacin y expresamente de
la posibilidad de dichos daos.  CS2548_0712