Está en la página 1de 6

INFORME ESPECIAL

INFORME ESPECIAL INFORME DE INTELIGENCIA SOBRE SEGURIDAD CIBERNÉTICA DE LEVEL 3 w w w . l
INFORME ESPECIAL INFORME DE INTELIGENCIA SOBRE SEGURIDAD CIBERNÉTICA DE LEVEL 3 w w w . l

INFORME DE INTELIGENCIA SOBRE SEGURIDAD CIBERNÉTICA DE LEVEL 3

INFORME ESPECIAL INFORME DE INTELIGENCIA SOBRE SEGURIDAD CIBERNÉTICA DE LEVEL 3 w w w . l

w w w . l e v e l 3 . c o m

INFORME ESPECIAL

INFORME ESPECIAL Resumen Ejecutivo Se requiere de una gran inteligencia para ganar las guerras, inclusive las
INFORME ESPECIAL Resumen Ejecutivo Se requiere de una gran inteligencia para ganar las guerras, inclusive las

Resumen Ejecutivo

Se requiere de una gran inteligencia para ganar las guerras, inclusive las ciberguerras. La visibilidad de la actividad global de red de Level 3, desde la tierra a la Nube, nos permite compilar la ciberinteligencia necesaria para ayudarlo a proteger su red y su negocio.

¿Y por qué es importante? La respuesta tiene varias aristas: con tantos procesos de negocio que dependen plenamente de las redes; la productividad y el comercio virtualmente dejan de operar cuando son ineficientes o se encuentran interrumpidos. La comoditización crea, en la mayoría de los mercados verticales, un entorno donde la lealtad a la marca se construye sobre la base de la reputación. Cuando sus clientes no pueden confiarle sus datos o su dinero, o cuando sus productos y servicios no están disponibles cuando ellos los necesitan, solo es cuestión de hacer clic una o dos veces con el mouse para que se contacten con sus competidores. La Ciberseguridad está evolucionando rápidamente hacia una tecnología compleja que requiere de recursos dedicados con habilidades altamente especializadas. La mayoría de las organizaciones (ya sean empresas privadas o entidades públicas como los organismos gubernamentales) carecen del volumen de recursos necesarios, y dichos recursos no pueden desviarse de las responsabilidades centrales para focalizarlos en la seguridad o para mantenerse actualizado con las más recientes estrategias de ataque y medidas para contrarrestarlas.

En el presente informe, hemos identificado las amenazas de red más activas que hemos visto en una “snapshot” de tiempo, extraídas de los datos que hemos correlacionado mientras monitoreamos las redes que tanto nosotros como nuestros clientes utilizamos diariamente. Lo ayudaremos a entender más cabalmente su rol en el “ecosistema de la Ciberseguridad” y cómo, trabajando juntos, podremos aprovechar ese mayor conocimiento sobre las amenazas para identificar dichas amenazas como así también a los servicios de seguridad necesarios para defendernos de los ataques potencialmente devastadores, cada vez más frecuentes. Asimismo distinguiremos las amenazas de red de los tipos de ataques que ocurren en su parte del ecosistema de Ciberseguridad, como así también aquellos encontrados en sistemas externos, que son responsabilidad de sus socios. Finalmente, le ofreceremos sugerencias para abordar sus necesidades de seguridad ahora y a futuro, al contratar un proveedor de servicios de red (NSP –por su sigla en inglés-) que también le ofrezca un abordaje consolidado a la seguridad de red.

Introducción

Es muy posible que Internet sea la última gran frontera. Una vasta extensión de oportunidades prometedoras para el crecimiento comercial y la comunicación global. Asimismo presenta en este momento un paisaje cibernético donde los criminales pueden operar casi con absoluta impunidad. En esta frontera la velocidad del desarrollo tecnológico ha sobrepasado ampliamente la rapidez con la que pueden sancionarse leyes de cumplimiento efectivo. Sin embargo, lo distintivo de esta frontera en particular es que la actividad de la red se puede monitorear y analizar de manera integral, y pueden tomarse acciones basándonos en las observaciones realizadas, para mejorar la seguridad de su red y de sus aplicaciones. Los Proveedores de Servicio de Internet (ISP -–por su sigla en inglés-) y las organizaciones que utilizan Internet y confían en los proveedores de red para mantener el flujo de sus comunicaciones, deben trabajar de manera conjunta — en un ecosistema de Ciberseguridad — para protegerse de los ataques.

w w w . l e v e l 3 . c o m

INFORME ESPECIAL

Los elementos del ecosistema de Ciberseguridad son:

• Su oficina, donde se crean los datos

Ciberseguridad son: • Su oficina, donde se crean los datos • Las redes, tanto públicas como

• Las redes, tanto públicas como privadas, que transportan la información

• Sistemas externos, incluidos los firewalls, los servidores y demás dispositivos donde se almacenan y manipulan las aplicaciones, la información y los activos.

Además de la visibilidad de red, una de las mayores armas defensivas con las que cuenta el ecosistema de Ciberseguridad es la inteligencia. Aún cuando los tipos y las estrategias de ataque estén evolucionando continuamente, la posición de un ISP en las primeras filas de la ciberguerra posibilita compilar datos de red en tiempo real: la inteligencia que en definitiva puede utilizarse para detener los ataques, mitigar el daño inmediato y las actualizaciones directas para los esquemas de gestión de amenazas.

El ecosistema de Ciberseguridad y las amenazas a cada elemento

Cada miembro del Ecosistema de Ciberseguridad desempeña un rol en la seguridad. Los usuarios finales, quienes de un modo u otro crean datos en forma de conocimiento y de activos, son responsables de garantizar que sus computadoras estén libres de malware — virus, Troyanos, y demás “infecciones” que pueden diseminarse de usuario a usuario dentro del firewall de la empresa. Las redes robóticas (Botnets) están incluidas en el ecosistema del usuario final y constituyen una amenaza importante para identificar y eliminar, pues posibilitan que los hackers tengan el mando y el control (C2) y el arma principal en los ataques de denegación distribuida de servicio (DDoS). Dichos ataques están aumentando en cuanto a su frecuencia y foco. Por ejemplo, en 2012 el número total de ataques de DDoS se incrementó en un 50 por ciento, y los ataques de DDoS contra empresas del sector financiero prácticamente se triplicaron en el primer trimestre de 2012, comparados con el primer trimestre de 2011.1

Estas estadísticas son reveladoras pero probablemente no sean exhaustivas. A menudo las Organizaciones “sufren en silencio” toda vez que dar a conocer que su sitio web o su base de datos se ha visto comprometida podría socavar la confianza sobre la que se basa la relación con sus clientes. Cuando se rompe dicha confianza, sucede lo mismo con el negocio.

Los sistemas externos de su socio se encuentran en el otro extremo del ecosistema de Ciberseguridad, en la Nube. Mientras que a la Nube se la está presentando como a una especie de nirvana de la computación donde los procesos de negocio reflejan los ideales de la eficiencia y de la economía, los hackers saben que también es otro lugar donde el malware puede explotar las vulnerabilidades a nivel del servidor y de la aplicación.

Los expertos en Ciberseguridad han identificado un nuevo tipo de ataque, “inspirado” en la Nube, denominado “economic denial of sustainability” (EDoS – por su sigla en inglés – ataque de denegación de sustentabilidad económica). Los ataques EDoS “no apuntan a sobrecargar y colapsar un servidor del modo en que lo haría un típico ataque DDoS. En cambio el objetivo de un ataque EDoS consiste en utilizar los recursos de la Nube de manera tal de causar que los costos de alojamiento del servidor sobrecarguen el presupuesto de la victima2 . Las aplicaciones de empresa basadas en la Nube, particularmente aquéllas diseñadas para dar soporte a la movilidad, brindan otro camino para el robo de datos (phishing) y para la inyección de malware. Según un artículo de CSO online de agosto de 2012, “las aplicaciones móviles han emergido como un nuevo vector de ataque por parte de los cibercriminales para perpetrar phishing y malware” 3 . Level 3, en su carácter de proveedor central de servicios de red y de ISP, tiene visibilidad desde el extremo de su parte del ecosistema hasta el extremo de los ecosistemas de sus socios. Nuestra visibilidad abarca la red desde la tierra hasta la Nube. Nuestras principales operaciones de negocio incluyen monitoreo permanente, en tiempo real del tráfico global de Internet, correlación e informes de eventos y foco en análisis de red específicos en seguridad, a través de nuestros Centros de Operaciones de Seguridad (SOC).

w w w . l e v e l 3 . c o m

INFORME ESPECIAL

INFORME ESPECIAL Como ya mencionáramos, cada uno de nosotros juega un rol específico en el ecosistema

Como ya mencionáramos, cada uno de nosotros juega un rol específico en el ecosistema de la Ciberse- guridad; Level 3 posee una ventaja sin igual para visualizar el tráfico global de Internet, cuenta con gente que ha sido capacitada en plataformas de seguridad y con años de datos históricos que pueden aprovecharse para determinar “buenos” picos de tráfico (como sucede con el lanzamiento de un nuevo juego para múltiples jugadores o cuando un desastre natural obliga a las personas a procurar información del sitio de un organismo de gobierno) de actividad de malware, por ejemplo un ataque de DDoS diseñado con el objetivo de expoliar dinero, lanzar spam o el ataque EDoS antes mencionado. Otros tipos de ataques que los proveedores de red presencian regularmente incluyen ataques de envenenamiento de Servidores de Nombre de Dominio (DNS) o ataques de amplificaciones, spoofing, spear phishing, port listening y otros tipos de ataques botnet (de redes robóticas), tales como inyec- ción de SQL. En el núcleo de estos ataques se encuentran los bots C2 que han establecido una red robótica con sus conspiradores y desarrollador, y que ya están funcionando o esperando para el día cero para empezar a trabajar.

Ciberseguridad de Red: focalizada en las botnets

En su Informe de Amenazas del segundo trimestre de 2012, McAfee publicó que “determinar el origen y la atribución es un negocio complejo.”4 No podríamos coincidir más con este informe, y al mismo tiempo también sabemos a través de nuestra propia experiencia que la actividad de las redes robóticas (botnets) puede identificarse en la red, y que las víctimas incautas a ambos lados de la red pueden beneficia- rse de la inteligencia que esta visibilidad posibilita.

Level 3 monitorea la actividad de 3.000 fuentes C2. La Figura 1 muestra la cantidad de actividad C2 basada en la dirección IP (hemos omitido las direcciones IP para proteger la confi- dencialidad de las mismas) para los 25 nodos principales de C2 que vimos en Septiembre de 2012. Vemos la actividad de C2 y de botnet adjunta a las direcciones IP específicas. Al correlacionar la actividad actual de red en una dirección IP contra los datos de actividad histórica para dicha dirección IP, podemos concluir razonablemente si esa actividad es maliciosa.

Más allá de eso, Level 3 puede identificar el origen y el destino de las actividades botnet, lo que nos permite alertar a nuestros clientes cuando advertimos que forman parte de una botnet.

Muchas C2 operan más de una botnet, como podrán advertir del cuadro de la Figura 2. Una vez más las cinco C2 más activas constituyen cerca del 50 por ciento del tráfico general que vimos ese mes.

¿De qué manera pueden sernos de utilidad estos datos? La capacidad para identificar la actividad C2 en una sola direc- ción IP permite que las víctimas del/los ataque(s) bloqueen esa dirección; y que el ISP ponga fin a las comunicaciones con la misma. Lamentablemente, dicha medida reviste poco valor como solución a largo plazo; pues los hackers sencilla- mente establecen otra dirección IP y vuelven a la carga como de costumbre.

Actividad C2 por Dirección IP

Figura 1. Actividad C2 por IP en Septiembre de
Figura 1. Actividad C2 por IP en Septiembre de

2012. De las 3.000 fuentes C2 que Level 3 monitorea, las primeras cinco direcciones más

activas representan el 45% de la actividad.

Actividad Botnet por Dirección IP

el 45% de la actividad. Actividad Botnet por Dirección IP Figura 2. Actividad Botnet por IP

Figura 2. Actividad Botnet por IP en Septiembre de 2012. 48% de la actividad Botnet lo generan las 5 fuentes C2 más activas que Level 3 monitorea.

Esta inteligencia se puede utilizar para ayudar a investigar a los “chicos malos.” La clave para una solución a largo plazo consiste en arrestar y encarcelar a los responsables del ataque. Hemos visto ejemplos de este tipo de fallos judiciales recientemente, cuando miembros del grupo de hacking LulzSec fueron detenidos.

w w w . l e v e l 3 . c o m

INFORME ESPECIAL

INFORME ESPECIAL Ciberseguridad de Red: foco en los puertos Como parte de la investigación del presente

Ciberseguridad de Red: foco en los puertos

Como parte de la investigación del presente informe, analizamos los vectores de ataque, los puertos, los que además de habilitar la conectividad de Internet, el intercambio de emails, y la transferencia de datos pueden representar vulnerabilidades. Lo valioso de esta información es que si comprendemos hacia dónde apuntan los hackers los ataques a nuestra red, esto nos ayudará a priorizar las actualizaciones de seguridad y focalizar nuestros recursos.

La Tabla 1 muestra los puertos TCP más frecuentemente utilizados por los hackers de actividad C2. La Tabla 2 muestra los puertos más frecuentemente utilizados por las botnets. Ambas Tablas fueron diseñadas a partir de datos compilados por Level 3 durante el mismo período que los indicados en los gráficos que figuran arriba.

Tabla 1. Puertos principales usados para C2

Tabla 2. Puertos principales usados para BotNets

Port #

Función

Port #

Función

80

HTTP: Internet

80

HTTP: Internet

443

HTTPS: Internet segura

53

DNS: servidor de nombre de dominio

2048

NFS: cliente/servidor

771

RTIP: intercambio de datos/servidor

25

SMTP: email

443

HTTPS: Internet segura

53

DNS: nombre de dominio

520

RIP: router

Dado que el Puerto 80 es el más utilizado, hecho que a nadie sorprende, queda claro que la actualización de los navegadores es una medida de importancia crucial y al mismo tiempo sencilla, que los usuarios finales pueden adoptar para ayudar a asegurar su parte del ecosistema de Ciberseguridad. Los equipos de IT que mantienen sistemas de oficina, y los sistemas externos necesitan asegurarse que los programas antivirus estén actualizados y que los sistemas operativos también estén al corriente de los últimos cambios. La popularidad de utilizar el Puerto 520 como punto de ingreso para asegurarse que los ruteadores estén monitoreados y sean seguros. ¿Su organización se encuentra plagada con cuestiones relacionadas con los emails? Tal vez el Puerto 25 no sea lo adecuadamente seguro. El hecho de que el Puerto 443 sea el segundo puerto más utilizado debería abrirnos los ojos; se supone que ésa es la avenida segura hacia Internet!

Conclusión

Internet es una frontera que probablemente pueda ser dominada, pero para que se convierta en un

lugar seguro para las comunicaciones y los negocios se requerirá de un esfuerzo conjunto. Level 3 posee una ventaja exclusiva, como NSP e ISP principal (Proveedor de Servicios de Red y de Internet), desde donde puede monitorear la actividad de Internet. En dicho carácter, estamos en condiciones de ayudar a nuestros clientes a comprender mejor en qué lugares suceden los ataques y en dónde se originan los mismos. Vemos lo que usted y sus socios no pueden visualizar. De hecho hemos advertido

a nuestros clientes la detección de que sus redes estaban siendo atacadas, y la reacción inicial que tuvieron fue señalar que habían invertido grandes sumas de dinero en sistemas de seguridad y que actualmente no veían ningún problema. Luego de una investigación, se dieron cuenta de que estábamos en lo cierto. Esto es una situación en la que todos ganan (win-win).

Todos los que forman parte del Ecosistema de Ciberseguridad serán atacados, aunque ello no significa que no pueda escaparse de los ataques o que los mismos sean imprevisibles. Cada uno de nosotros — desde la persona que efectúa compras o transacciones bancarias online, hasta las pequeñas, medianas

y grandes empresas, hasta los organismos gubernamentales e inclusive países enteros — tiene una participación para suprimir el ciberdelito.

w w w . l e v e l 3 . c o m

INFORME ESPECIAL

INFORME ESPECIAL Conozca más A los fines de tomar las medidas necesarias para una mejor protección

Conozca más

A los fines de tomar las medidas necesarias para una mejor protección de sus colaboradores, redes y negocios, visite www.level3.com.

1 Informe de Ataque de Prolexic Q2 2012, Prolexic

2 Protéjase de los “Nubarrones” y de los Ataques de EDoS cuando aloje Servidores en La Nube, Paul Rudo, 07.21.2011

http://xurl.es/58jgj

3 Las aplicaciones móviles son el nuevo vector de ataque del ciberdelito, Anuradha Shukla, 6 de agosto de 2012,

www.csoonline.com/article/713033/mobile-apps-are-new-cyber-crime-attack-vector

4 http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2012.pdf

5 Hacker de LulzSec arrestado con motivo de su ataque a Sony

www.guardian.co.uk/technology/2012/aug/29/lulzsec-hacker-arrest-sony-attack

© 2013 Level 3. Todos los derechos reservados. Level 3, los paréntesis colorados en 3D y el logo de Level 3 son marcas de servicio registradas de Level en los Estados Unidos y/u otros países. Los servicios de Level 3 son ofrecidos por subsidiarias de propiedad absoluta de Level 3 Communications, Inc. Los demás nombres de servicios, productos o de empresas mencionados en el presente pueden ser marcas registradas o marcas de servicios de sus respectivos propietarios.

w w w . l e v e l 3 . c o m