En otro artículo definimos lo que son las APT (Advance Persisten Threats). En él explicábamos que no son muy diferentes a otros tipos de malware. Ahora nos toca conocer cómo defendernos de estos ataques.

Muchas de estas APTs son detectadas por nuestros laboratorios, es cierto que no podemos contar con el mismo número de muestras que si fuera una amenaza de propósito general, pero las técnicas utilizadas para infectar los equipos no difieren mucho de las del malware habitual por lo que no las hacen 100% eficaces.

Como cualquier pieza de malware, la estrategia de Seguridad Completa de Sophos nos permite bloquear estas amenazas. Esta estrategia se basa en cuatro puntos clave, pondré algunos ejemplos en cada uno de ellos:

–          Reducir el área de ataque: Las APTs , como cualquier malware, explotan vulnerabilidades de aplicaciones o sistemas, debo mantener estos actualizados y con sus parches de seguridad al día. Bloqueo tanto a nivel de puesto como de red de puertos de comunicación no necesarios, para evitar que se comuniquen con el exterior. Nuestra tecnología permite controlar a nivel de aplicación las comunicaciones, realizando un identificador de cada aplicación permitida de manera que cualquier variación en la misma impediría la comunicación, de esta forma evitamos que usen puertos habituales cómo el 80 ó el  443.

Bloqueo de URLs, dominios, servidores, nuestros laboratorios son muy reactivos en la localización de sitios peligrosos y nuestra tecnología filtra tanto las peticiones entrantes como las saliente, algunas de estas APTs utilizan servidores puente, para evitar su rastreo y muchos de esos servidores son compartidos por otras piezas de malware.

Chequeo de seguridad antes de permitir el acceso a la red, nuestra tecnología NAC evita poner en riesgo el resto de equipos cuando alguno llega un nuevo equipo a la misma.

Cifrado de la información, la mayoría de las APTs buscan extraer información si un malware envía un fichero fuera de la organización y este fichero está cifrado, el ataque no ha sido efectivo.

–          Protección en cualquier lugar: La tecnología de Sophos garantiza el mismo nivel de seguridad independientemente de la localización, evitando que equipos que se conectan fuera de la red  puedan infectarse y propagarlos posteriormente o que puedan producirse robo de información en estos equipos que están fuera de la red. 

–          Bloqueo de amenazas: Las APTs utilizan técnicas complejas para evitar ser detectados, como por ejemplo: ofuscación, polimorfismo… En realidad todo el malware hoy en día utiliza estas técnicas en mayor o menor medida, esto hace ineficaz tecnología basa en firmas. Hace falta un análisis del comportamiento de cada pieza y en esto las APTs no son distintas al resto de malware su comportamiento incluye técnicas de auto-replicado, elevación de permisos,  modificación de registro, comunicación con servidores externos… Nuestros laboratorios no basan la detección sólo en una pieza de código, examina su comportamiento y tecnología como nuestro HIPs, ayuda a detectar cualquier tipo de malware antes de que tenga constancia nuestro laboratorio.

–          Permitir que los usuarios sigan trabajando. Una estrategia de seguridad unificada, te dará visión común sobre todos los puntos de la organización haciendo más sencillo para el personal de seguridad rastrear cualquier tipo de ataque. Las APTs utilizan técnicas de ataque multivector, basadas en Web, Email, red, ficheros, aplicaciones, etc. Si tratamos de forma independiente cada uno de estos puntos hace más complicada su detección.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestra newsletter en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *