Ataques dirigidos
El ataque dirigido se refiere a un tipo de ataque en el que los adversarios buscan comprometer de forma activa, silenciosa, pero no necesariamente rápida, la seguridad, la confidencialidad y la integridad de la información del objetivo. Los atacantes que realizan este tipo de acciones suelen ser expertos (tienen el conocimiento, la experiencia y la financiación necesaria para seguir adelante) hasta contrarrestar por completo las defensas y conseguir sus objetivos.
Orientado a campañas
Los ataques dirigidos suelen ser campañas continuas; muchos de ellos no tendrán éxito, pero los atacantes continuarán hasta encontrar un método que garantice un punto de entrada.
En constante mejora
Con el tiempo, los adversarios mejorarían sus herramientas, tácticas y técnicas. En la mayoría de los escenarios, los usuarios (o empleados) son los atacados, no los dispositivos.
Industrias enteras están bajo el radar
Por lo general, no se trata sólo de una empresa o negocio, sino de una industria entera a la que se dirige el objetivo. Los atacantes tienen objetivos a largo plazo y, por lo general, tienen motivaciones financieras o políticas.
Las etapas
-
1. Recopilación de inteligencia (investigación)
También conocida como fase de reconocimiento. Los atacantes estudiarían el entorno de TI (software utilizado), la estructura organizativa y la gestión. En algunos casos, pueden controlar los intereses de los empleados en las redes sociales. Compartir en exceso con frecuencia permite a los actores de amenazas obtener conocimientos sobre temas candentes, eventos recientes, problemas e inquietudes relacionados con el trabajo y más. Esta información es útil para personalizar los ataques.Lista de elementos 1 -
2. Acceso inicialLista de elementos 2El compromiso inicial varía, pero normalmente incluirá phishing, exploits de día cero y otras formas de ingeniería social en las que se engañará a los empleados para que ejecuten código malicioso. Es este código el que permitirá a los atacantes avanzar a las otras etapas. Por lo general, una RAT (herramienta de acceso remoto) es más útil para la etapa 3 que se describe a continuación y se puede combinar con privilegios a nivel de kernel porque esto permitirá a los actores maliciosos eliminar completamente las defensas.
-
3. Mando y control (c&c)Lista de elementos 3Los atacantes procederán a establecer una comunicación permanente con las herramientas que hayan logrado plantar y harán todo lo posible por ocultar esta comunicación. Llevarán a cabo una investigación en profundidad del host comprometido y esta información será útil para la etapa 4 que se describe a continuación.
-
4. Movimiento lateralLista de elementos 4Al utilizar diversas técnicas para el descubrimiento y el volcado de credenciales, los atacantes comprometerían más hosts. Las rutinas maliciosas descritas en etapas anteriores se repiten para cada host. Esto les permitirá pasar a la etapa 5 que se describe a continuación.
-
5. Descubrimiento y exfiltración de activosEsto generalmente se hace mediante la exploración de archivos y carpetas. Los atacantes identifican máquinas que contienen información que podría ser valiosa; normalmente se trata de inteligencia de clientes y proyectos internos. La información se descarga en las máquinas de los atacantes y el negocio ahora está totalmente comprometido, quedando a merced de los atacantes.
¿Qué pueden hacer los propietarios de empresas para garantizar que su información permanezca a salvo de ataques dirigidos?
Entrenar, entrenar, entrenar de nuevo
Asegúrese de que los empleados estén capacitados para reconocer el phishing y otras formas de ingeniería social.
guarda las puertas
Invierta en seguridad que proteja las puertas (web y correo electrónico). Por lo general, es mejor utilizar soluciones de un solo proveedor, perfectamente integradas y fáciles de administrar.
Invierta en seguridad integral de la red
La seguridad de red integral que cubre el bloqueo de C&C y la prevención de intrusiones limita en gran medida el riesgo de un ataque exitoso.
Más mejores prácticas
- Mantenga el sistema operativo y el software actualizados. Asegúrese de que los empleados no reciban más privilegios de los que necesitan para trabajar. Evite la reutilización de contraseñas corporativas. Utilice siempre contraseñas seguras y autenticación de dos factores. Asegúrese de que los empleados no participen en actividades no relacionadas con el trabajo en los dispositivos de la empresa. Asegúrese de contar con un plan de recuperación de ataques, en caso de que todas las defensas hayan fallado.
Recursos adicionales
Para comprender los ataques en profundidad, siempre se recomienda visitar el sitio web de Mitre. El marco ATT&CK, si no el ABC, ciertamente es la D de la ciberseguridad. Describe las diferentes tácticas y técnicas, así como los grupos APT (Amenaza persistente avanzada).