Esta será una serie de publicaciones cortas para explicar que es una APT (Advanced Persistant Threat) donde explicaremos que son y como actuan.
Los profesionales de seguridad de la información comúnmente indican que las organizaciones no pueden evitar el 100% de todos los ciberataques. Por esta razón, se invita a las organizaciones a practicar la defensa y lo que ahora está muy de moda, un “blue team”, de modo que, si cualquier medida de seguridad falla, otra reducirá la exposición y mitigará el impacto. Sin embargo, a pesar de invertir innumerables sumas de dinero, mano de obra y tiempo para desarrollar y mantener una sólida infraestructura de seguridad, se tienen dificultades para identificar y responder a las intrusiones de ciberseguridad de manera oportuna.
Los equipos de Cyber Threat Hunt han surgido recientemente como un activo de defensa proactivo capaz de detectar y responder metódicamente a las amenazas persistentes avanzadas que evaden las soluciones de seguridad basadas en firmas o reglas tradicionales. Esto nos lleva a tener una serie de prácticas para planificar y llevar a cabo operaciones de búsqueda de ciberamenazas en toda la empresa y/o dependencia de gobierno que requiera, sin importar a que se dedique, proteger y salvaguardar la información que posee junto con los servicios provistos ya sean internos o externos.
Hay tres hechos absolutos con respecto a la seguridad de la información:
- Una organización no puede prevenir todos los ataques
- La red de una organización se verá comprometida
- No existe la seguridad 100%
Esta declaración refleja, que, a pesar de invertir grandes cantidades de dinero y recursos tanto físicos y humanos para desarrollar, mantener y mejorar la seguridad de la información de nuestra organización, inevitablemente podríamos ser víctimas de ataques e intrusiones de ciberseguridad. No se trata de quitar peso a la importancia de mantener una arquitectura robusta de seguridad de la información, sino de resaltar que las soluciones de seguridad tradicionales basadas en firmas no son suficientes para identificar y responder a las intrusiones realizadas por amenazas persistentes avanzadas.
“En promedio, se requieren cerca de 205 días para que una organización encuentre un intruso en sus sistemas” (Sqrrl Whitepaper, 2016).
La realidad es que las organizaciones no pueden permitirse esperar tanto tiempo y esto es en un escenario practico, ya que en ocasiones pueden pasar años sin ser detectadas las afectaciones / intrusiones dentro de las organizaciones dando pie a la utilización de recursos de forma indebida y para funciones diferentes a las que les fueron asignados. En una era donde las intrusiones de ciberseguridad ocurren en minutos, la seguridad de una organización depende de una rápida identificación y acciones de respuesta. Por ello, ¿cómo puede una organización con procesos sólidos de seguridad de la información mejorar las capacidades para identificar “adversarios avanzados” en sus sistemas y redes? La respuesta la encontramos en que, recientemente, las organizaciones han comenzado a buscar proactivamente usuarios avanzados en las redes a través de un proceso conocido como Cyber Threat Hunting.
Cyber Threat Hunting es “enfocado e iterativo para buscar, identificar y comprender a los adversarios internos (Lee & Lee, 2016).
Si bien las soluciones de seguridad tradicionales dependen de reglas y algoritmos preestablecidos, Threat Hunting “enfrenta a los defensores humanos contra los adversarios humanos”. La búsqueda de amenazas se basa en la premisa de que las organizaciones no tienen que esperar una alerta automática antes de responder a una amenaza. La caza de amenazas reconoce que las intrusiones giran en torno a las amenazas humanas, y por esa razón, se necesita un ser humano para comprender y responder dinámicamente a indicadores y alertas sutiles de compromiso.