El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Amenazas Persistentes Avanzadas (APTs)

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Estudiaremos qué es una APT, qué características hacen que una amenaza sea categorizada como tal y la importancia y consecuencias de clasificar así una amenaza que esté afectando a nuestra organización.

Transcripción

Al hablar de APTs o Amenazas Persistentes Avanzadas, nos estamos refiriendo a sistemas de ataques muy profesionalizados. Esto quiere decir que los llevan a cabo organizaciones con grandes recursos y sus objetivos suelen ser personas y organizaciones de alto valor estratégico, ya sean de tipo político o industrial. Desglosemos los términos de APT. Amenaza: posible causa de riesgo o perjuicio para algo o alguien. Persistente: que se mantiene a lo largo del tiempo. Avanzada: que se distingue por su audacia o novedad. Es decir, una APT es un método de ataque que tiene como objetivo causar un problema al objetivo, cuyo atacante no cesa en el empeño de conseguir su meta que puede ser un sabotaje inmediato o una operación de espionaje muy larga en el tiempo. Y que para ello utiliza los recursos más avanzados de que dispone, incluso llega a desarrollar nuevas herramientas específicas para la operación que lleva a cabo. El alto nivel de estas operaciones y el concepto de avanzadas lleva parejo un alto nivel de profesionalización de cada ataque en base al objetivo. Es decir, que no se tiende a usar herramientas genéricas o malware fácilmente identificable, sino que se utilizan las herramientas más avanzadas o las que se desarrollen específicamente para la ocasión. Otra característica importante es que aunque la amenaza es una, es decir, un atacante con una meta, y una potencial víctima muy concreta, las vías de ataque pueden ser múltiples. El atacante no tienen por qué ceñirse a un único método, sino que puede usar múltiples, algunos incluso como señuelo. La alta especialización y personalización de cada ataque reduce las posibilidades de automatización. Y dado que son objetivos de alto valor siempre es más aconsejable que personas concretas dirijan las acciones en lugar de automatismos. Los objetivos principales de las APTs suelen ser el espionaje o sabotaje entre estados o entre industrias, generalmente enfocado a industrias de infraestructuras críticas como suministro eléctrico o de agua, o control de aviación. Desde el punto de vista político, los individuos del cuerpo diplomático y los miembros del gobierno y cámaras legislativas, así como el personal que les rodea serían los objetivos de mayor valor. Dado que hablamos de operaciones cuidadosamente preparadas, con una meta muy concreta, y con grandes recursos humanos, económicos y técnicos, podemos estudiar las APTs según el modelo Cyber Kill Chain, que Lockheed Martin desarrolló como equivalente cibernético del Kill Chain definido para operaciones militares. A la hora de desarrollar una APT, según esta Cyber Kill Chain, podemos identificar hasta siete etapas en el plan, desde su concepción hasta su finalización. Reconocimiento, preparación, distribución, explotación, instalación, comando y control y acciones sobre el objetivo. El reconocimiento y preparación son las fases previas donde se estudia al objetivo, persona o institución y los medios técnicos con los que se opera a nivel personal y profesional. De esta forma se pueden seleccionar o desarrollar las herramientas de ataque apropiadas. La segunda fase sería la preparación, cuyo objetivo es abrir la primera brecha en la infraestructura del enemigo. Para ello se utilizan tanto herramientas técnicas que explotan vulnerabilidades sin necesidad de intervención del personal del objetivo cómo de ingeniería social que obtienen información que facilita el trabajo o que directamente genere la vulnerabilidad necesaria para acometer la explotación e instalación del malware inicial. Una vez que el atacante dispone de malware en la infraestructura del objetivo, mediante Rootkits se camufla generalmente inyectándose en procesos del propio sistema y escala privilegios para poder pasar a la fase de comando y control, es decir, para establecer contacto con el administrador del malware o para permitir que éste establezca contacto con el malware ya que las conexiones entre malware y centro de control pueden ser entrantes o salientes según el caso. Estas comunicaciones, obviamente, deben ser encubiertas, por lo que se recurre a todas las técnicas de cloaking y cifrado necesarias para sortear los sistemas de detección de intrusión. Por ello, en lugar de utilizar protocolos diseñados para la ocasión, se utilizan los más comunes como SSH, HTTPS o DNS, dado que difícilmente generarán sospechas y en la mayor parte de los casos permiten cifrar la información. Cuando el operador del ataque controla el malware que ha instalado puede operar con este para moverse entre cuentas de usuario o desplazarse lateralmente a otras computadoras o servidores de la infraestructura del objetivo, haciéndose fuerte en tantos equipos como sea necesario para cumplir su misión. Estas acciones se realizan con perfil bajo, es decir, sin llamar la atención. En inglés, se suele denominar a menudo como Low and slow, es decir, "bajo y despacio", para no disparar alarmas. La APT más popularmente conocida hoy en día es Stuxnet. Los Estados Unidos admitieron en 2012 haber desarrollado este sistema, dos años después de haber sido descubierto por una empresa de seguridad bielorrusa. El método empleado para la distribución de Stuxnet fueron memorias USB que llegaron a la industria nuclear iraní para que fuesen empleadas en su infraestructura. Una vez conectadas a las computadoras del objetivo, el usuario las podía usar con normalidad, pero estás ejecutaban un código que explotaba cierta vulnerabilidad de Windows por entonces desconocida, es decir, de día 0. A partir de ese momento, Stuxnet infectaba la computadora y mediante Rootkit se camuflada y escalaba privilegios. Luego se comportaba como un gusano infectando distintas computadoras de red en busca de aquellas que controlaran los sistemas SCADA de SIEMENS asociados a los PLCs de control de centrifugadoras. Debido a un fallo de diseño, estos sistemas usaban contraseñas por defecto de SIEMENS, y así Stuxnet podía acceder y modificar las configuraciones para que las centrifugadoras empleadas para la fabricación de combustible nuclear no funcionaran tal y como las programaban los ingenieros a cargo de las mismas.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.