¿Cómo defender mejor contra ataques dirigidos?

La defensa contra ataques dirigidos obliga a los defensores a mejorar las capacidades de observación.

El fortalecimiento de las brechas defensivas es excelente (por ejemplo, aceleración de la implementación de parches, listas blancas de aplicaciones que pueden ejecutar los usuarios finales, proporcionando máquinas virtuales desechables, mejorando el fortalecimiento de la seguridad de las aplicaciones del lado del cliente), pero se espera que todas las herramientas de prevención fallen. tiempo (más rápido, cuando es atacado por adversarios motivados) es esencial expandir las capacidades de monitoreo que tiene para poder observar todas las vías que un atacante puede utilizar para obtener control, robar información o lo que sea. La detección es el componente clave contra adversarios talentosos.

Puede ser bastante sencillo configurar un portal interno en el que los usuarios finales puedan descargar máquinas virtuales especiales diseñadas con seguridad adicional (lo que otros mencionan aquí), pero especialmente con monitoreo adicional. Digamos, por ejemplo, que Marc el CFO necesita realizar algunas transferencias bancarias y enviar un correo electrónico altamente confidencial. Marc podría hacer doble clic en un enlace en su escritorio para iniciar una aplicación o VM (incluso de manera transparente, como el modo Unity en VMware) que está preconfigurado con un mayor nivel de monitoreo. El navegador está preconfigurado para enrutar el tráfico a través de una configuración interna interna de proxy especial para personas como Marc que requieren capacidades adicionales de monitoreo y detección. El sistema operativo podría ser reforzado, preconfigurado con una configuración HIDS optimizada, las capturas de paquetes completos o el flujo de red se podrían grabar y almacenar durante un período de tiempo, todas las transferencias de archivos de ingreso / egreso (por ejemplo, la visualización de PDF después de la descarga a través de HTTPS) se podrían canalizar a través de malware sin conexión herramientas de identificación. Después de que Marc haya completado sus tareas, puede ejecutar secuencias de comandos que resumirían sus actividades y agruparía todas las alertas generadas por el conjunto de herramientas de seguridad que ha preconfigurado.

Creo que realizar un monitoreo pesado temporal cuando sea apropiado te da la oportunidad de ganar. La realidad de activar el monitoreo completo de todo el tiempo es un fracaso para mí. Pocos poseen los recursos para analizar detalladamente el flujo de alertas generadas por un monitoreo tan intenso a tiempo completo.

¿Crees que podrías seguir el ritmo de Joanna Rutkowska “ Particionando mi vida digital? en los dominios de seguridad "y mantenga cada estación de trabajo " personas de alto valor " como la de ella? ¡Serías increíble entonces!

En mi humilde opinión, está haciendo las cosas desagradables de manera consistente que te proporcionarán las mejores defensas contra ataques incluso dirigidos y "APT's".

Como escribí cuando RSA proporcionó detalles de sus Las buenas lecciones aprendidas de ataque avanzado son:

• El correo electrónico como mecanismo de distribución de malware no está muerto. Descubra las presentaciones de conocimiento del usuario y agregue un poco más de capacitación sobre phishing y confíe un poco más en el filtro de correo no deseado
• El acceso a Internet es un lujo, no un derecho predeterminado. No lo proporcione si no se requiere para un beneficio comercial claro
• Considere la posibilidad de acceder a los sitios web de la lista blanca a los que se debe basar en la función del usuario, ya que las reglas inteligentes que verifican que la URL de referencia sea Google pueden evitar la reacción y la pérdida de productividad al tiempo que mejoran significativamente la seguridad
• Vuelva a evaluar la razón comercial para software como Flash, Adobe reader, Office, extensiones de navegador como parte de la compilación de oro para todos los equipos de escritorio y portátiles. Existen alternativas, los usuarios con un motivo comercial específico pueden solicitarlo: cortar su superficie de ataque
• Use IDS para detectar e idealmente IPS para evitar conexiones desde puntos finales a sitios sospechosos
• Configure un firewall de escritorio y un IDS basado en host para bloquear cualquier nueva conexión de salida sin aprobación
• Supervise las alertas de su IDS / IPS: tenga un equipo capacitado para reaccionar ante estas alertas con procedimientos claros y ensayados
• Implemente la autenticación de dos factores para el acceso del administrador incluso a los sistemas internos.
• Alejarse del acceso privilegiado permanente para sistemas críticos y monitorear los inicios de sesión fuera de los cambios aprobados y los tickets de soporte
• Acerque sus controles de seguridad a sus datos más valiosos con herramientas, personas y procesos para DLP. Su estrategia de monitoreo debe considerar los archivos encriptados, ya sea analizando una versión desencriptada o marcando cualquier nueva transferencia encriptada. Encriptar los datos en el almacenamiento para agregar una capa adicional de protección, incluso si se los roban, también es una buena idea
• Segmentación de la red: cree zonas de red seguras incluso dentro de su red interna para sus joyas de la corona, controle y monitoree el acceso a estas
• Piense en los puntos finales del cliente fino o cero

Sobre todo, haz una evaluación de riesgos, crea un modelo de amenaza y ataca árboles. Involucre a algunas personas inteligentes en una habitación, idealmente no solo de seguridad y al menos una lluvia de ideas:

• Valor: ¿cuál es su información más importante? Solo necesita la seguridad que tenga para proteger
• Amenazas: ¿hay alguien que tenga incentivos y la capacidad de causarle un problema?
• Debilidades: ¿cuáles son las debilidades en sus sistemas, su gente y los procesos que podrían explotarse? ¿Qué tan graves son estos?
• Riesgo: basado en todo esto, ¿cuál es su riesgo real? ¿Cuál es la exposición real?
• Controles: ¿cómo todo lo que ha gastado en seguridad hasta ahora le ayuda a reducir este riesgo? Si se deshacía de un control, ¿aumentaría significativamente el riesgo? ¿Vale la pena invertir en nuevas tecnologías, personas y procesos?

Lo que encontrarás puede que no sea lo más sexy, probablemente sea algo que deberías haber estado haciendo de todos modos, por ejemplo. parche Appache, también conocido como Sony, pero al final del día, probablemente le dará el mejor beneficio de costo por defenderse incluso de las APT.

La mejor manera de defenderse contra ataques dirigidos es igual que la mejor manera de defenderse contra todos los demás ataques; Equilibre la facilidad de uso con la seguridad y actúe en consecuencia.

Me resulta difícil responder a esta pregunta porque si en realidad es un ataque dirigido, el atacante tiene un objetivo. Van a, para la mayoría del proceso de ataque, utilizar los mismos recursos que todos los otros ataques que están en la naturaleza. El único cambio real es que este ataque dirigido tendrá una resistencia mucho mayor y será mucho más dirigido. Si tienen las habilidades y están lo suficientemente determinadas, se están introduciendo en sus sistemas (siempre que haya una conexión para utilizar).

La mayoría de tus preguntas parecen responderte tú mismo.

Desearía que hubiera una mejor manera, pero en la atmósfera, la única respuesta real es seguir agregando capas hasta que tu contenido y el ROI se equilibren.

He leído que en algunas oficinas gubernamentales críticas, ahora es habitual dar a cada empleado dos computadoras, una con acceso a la intranet, sin disco o sockets USB disponibles, y otra computadora de escritorio normal con acceso a Internet regular, que Es donde se lee todo el email. Normalmente, hay poca necesidad de transferir datos de un lado a otro

Lamento escuchar sobre tu situación. Tengo algunas sugerencias que podría considerar, pero no tengo experiencia personal en este tipo de situaciones, por lo que tendrá que evaluarlas usted mismo:

• Ofrezca a sus usuarios de alto valor una computadora portátil especialmente configurada, preconfigurada con actualización automática y otras protecciones previamente habilitadas.

• Dales una Mac. En este momento, muchos ataques dirigidos fallarán si el usuario objetivo utiliza una Mac.

• Si están usando Windows, considere reemplazar su cliente de correo electrónico. Una de las razones principales por las que funcionan los ataques de correo electrónico dirigidos es porque Outlook y otros clientes importantes de correo electrónico están mal diseñados desde la seguridad. (¿Hacer clic en un archivo adjunto puede infectar toda su máquina? Nueces. Eso no es fácil de usar.) Tal vez usted pueda darles un cliente de correo electrónico que se ejecute en una máquina virtual, y abra todos los archivos adjuntos en una máquina virtual desechable aislada que se descarte después cerrando el archivo adjunto.

• Puede considerar mirar Polaris , Sandboxie y sistemas similares.

• Considere buscar herramientas para asegurarse de que todo el software en su computadora esté actualizado. Secunia PSI es bastante agradable para uso personal; No sé si hay un equivalente corporativo.

• Considere el uso de "antivirus en la nube". Considere la posibilidad de configurar su antivirus en el servidor de correo para analizar periódicamente los correos electrónicos más antiguos, de modo que si un ataque llega y no lo detecta de inmediato, aún puede tener la posibilidad de detectarlo un poco más tarde.

• Si todo lo que necesitan los usuarios de alto valor es el correo electrónico y el acceso a la web, puede considerar darles una netbook de Google Chrome OS. Tiene algunas ventajas de seguridad. Sin embargo, no podrán ejecutar Excel u otras herramientas comerciales en él.

• Considere dar a sus usuarios de alto valor un dispositivo de autenticación de segundo factor, y hacer que su acceso a otros sistemas requiera ese dispositivo.

• Considere usar diversidad: usar reemplazos menos populares, para hacer que los ataques comunes tengan más probabilidades de fallar. por ejemplo, considere reemplazar su lector de PDF de Adobe por uno menos conocido, para defenderse de los archivos PDF maliciosos dirigidos al lector de Adobe. (Comprar una Mac es otra versión de esto).

• Por el amor de Dios, si les das una máquina con Windows, ¡no les des IE6! Reemplácelo con una versión reciente de Chrome, Firefox o IE9. Elimine todos los sistemas corporativos internos que requieren IE6 o que son específicos de IE. Si hay otros que son específicos de IE, otorgue a sus usuarios de alto valor acceso a un asistente administrativo para que se encargue de los sistemas corporativos internos que aún quedan en su nombre.