Un nuevo informe de McAfee, una división de Intel Security, examina la controversia y la confusión en torno a las técnicas de evasión avanzadas (AET), y el rol que juegan en las amenazas persistentes avanzadas (APT). Un estudio de Vanson Bourne, solicitado por McAfee, encuestó a 800 directores de informática y gerentes de seguridad de Estados Unidos, Reino Unido, Alemania, Francia, Australia, Brasil y Sudáfrica, y demostró que los expertos de seguridad encargados de proteger datos sensibles sufren malentendidos y malas interpretaciones, y que usan medidas de seguridad ineficaces.
Los incidentes de seguridad de alto perfil recientes han demostrado que la actividad delictiva aún puede evadir la detección durante largos períodos de tiempo. Quienes respondieron a la encuesta reconocieron este hecho y más de uno de cada cinco profesionales de seguridad admiten que sus redes sufrieron incidentes (22 por ciento). Casi el 40 por ciento de quienes sufrieron incidentes creen que las AET jugaron un rol esencial. En promedio, quienes experimentaron un incidente en los últimos 12 meses, reportaron un gasto en su organización superior a 1 millón de dólares.
“Ya no estamos hablando de una búsqueda aleatoria que intenta detectar entradas obvias en su red. En el mundo interconectado de hoy en día, estamos tratando con adversarios que invierten semanas o meses estudiando su huella dejada en la red pública, buscando un pequeño haz de luz que les permita ingresar a su red”, comentó John Masserini, Vicepresidente y Jefe de Seguridad de MIAX Options. “Las técnicas de evasión avanzadas son ese haz de luz. Con su desarrollo, la tecnología del Next Generation Firewall de McAfee agrega una capa extra de profundidad para protegerse de dichas amenazas, haciendo más difícil que se encuentre ese haz de luz.”
¿Por qué las pruebas de firewalls actuales ocultan la existencia de AET?
Casi el 40 por ciento de quienes toman decisiones en TI no creen que existan métodos para detectar y monitorear las AET dentro de su organización, y casi dos tercios de ellos admitieron que el mayor desafío al intentar implementar tecnologías contra las AET es convencer a la junta que estas son amenazas reales y serias.
“Muchas organizaciones están tan concentradas en identificar malware nuevo que no prestan atención al avance de las técnicas de evasión avanzadas que pueden permitirle al malware traspasar las defensas de seguridad”, mencionó Jon Oltsik, Analista Principal de Enterprise Strategy Group. “Las AET representan una amenaza seria ya que la mayoría de las soluciones de seguridad no las pueden detectar ni detener. Los profesionales de seguridad y los gerentes ejecutivos necesitan despertar, ya que esta es una amenaza real y en desarrollo”.
De las 800 millones de AET que se estima que existen, menos del uno por ciento es detectado por los firewalls de otros proveedores. La prevalencia de estas técnicas ha aumentado de forma significativa desde 2010 y se han identificado hasta la fecha millones de combinaciones y modificaciones de AET basadas en la red.
El profesor Andrew Blyth de la Universidad de Gales del Sur ha estudiado el predominio e impacto de las AET por muchos años. “La simple verdad es que las técnicas de evasión avanzadas (AET) son un hecho. Es alarmante que la mayoría de los directores de informática y profesionales de seguridad subestimaran demasiado el hecho de que existen 329 246 de AET, cuando de hecho el total de AET conocidas es 2500 veces ese número o más de 800 millones de AET, y siguen creciendo”, dijo Blyth.
Las AET son métodos de ocultamiento que se usan al penetrar redes, evitando la detección e ingresando cargas maliciosas. Se descubrieron por primera vez en 2010 por el especialista de seguridad de redes Stonesoft, que fue adquirido por McAfee en mayo de 2013. Mediante las AET, un atacante divide el ataque en partes, traspasa los firewalls o dispositivo IPS, y una vez que ingresa a la red, se rearma el código para liberar el malware, y continúa con un ataque APT.
La razón por la cual estás técnicas no son notificadas y no se las entiende bien, es que en algunas pruebas pagadas, los proveedores tienen la oportunidad de corregirlas. De tal forma, solo las técnicas específicas que se identifican se corrigen, y no es así con las técnicas generales que las organizaciones criminales actualizan y adaptan constantemente.
“Los hackers ya conocen las técnicas de evasión avanzadas y las están usando a diario”, comentó Pat Calhoun, Gerente General de Seguridad de Redes de McAfee. “Lo que pretendemos hacer es educar a las empresas para que sepan qué buscar y entiendan qué hace falta para defenderse de ellas”.