Cómo prevenir ataques sigilosos en Internet

Para empezar, no soy un experto en el tema. Me encontré con un informe de McAfee que explicaba qué es un ataque furtivo y cómo contrarrestarlos. Este post se basa en lo que he podido captar del libro blanco y les invita a discutir el tema para que todos nos beneficiemos.

Qué es un ataque sigiloso

En una línea, definiría un ataque sigiloso como uno que permanece sin ser detectado por la computadora cliente. Hay algunas técnicas utilizadas por ciertos sitios web y hackers para consultar el ordenador que está utilizando. Mientras que los sitios web utilizan navegadores y JavaScript para obtener información de usted, los ataques de ocultación son en su mayoría de personas reales. La utilización de los navegadores para recopilar información se denomina toma de huellas dactilares del navegador, y lo cubriré en un post separado para que podamos centrarnos sólo en los ataques sigilosos aquí.

Cómo prevenir ataques sigilosos en Internet 1

Un ataque sigiloso podría ser una persona activa que consulta los paquetes de datos desde y hacia su red para encontrar un método que comprometa la seguridad. Una vez que la seguridad está comprometida o en otras palabras, una vez que el hacker tiene acceso a su red, la persona la utiliza por un corto período de tiempo para sus ganancias y luego, elimina todos los rastros de la red que está siendo comprometida. En este caso, parece que el objetivo es eliminar los rastros del ataque para que no se detecte durante mucho tiempo.

El siguiente ejemplo citado en el whitepaper de McAfee explicará con más detalle los ataques sigilosos:

«Un ataque sigiloso opera silenciosamente, escondiendo evidencia de las acciones de un atacante. En la operación High Roller, los scripts de malware ajustaban los extractos bancarios que una víctima podía ver, presentando un saldo falso y eliminando las indicaciones de la transacción fraudulenta del delincuente. Al ocultar la prueba de la transacción, el criminal tuvo tiempo de cobrar»

Métodos usados en ataques sigilosos

En el mismo whitepaper, McAfee habla de cinco métodos que un atacante sigiloso puede utilizar para comprometer y obtener acceso a sus datos. He enumerado estos cinco métodos aquí con un resumen:

  1. Evasión: Esta parece ser la forma más común de ataques sigilosos. El proceso implica la evasión del sistema de seguridad que está utilizando en su red. El atacante se mueve más allá del sistema operativo sin el conocimiento del software antimalware y otro software de seguridad de su red.
  2. Orientación: Como se desprende del nombre, este tipo de ataque está dirigido a la red de una organización en particular. Un ejemplo es AntiCNN.exe. El whitepaper sólo menciona su nombre y por lo que pude buscar en Internet, parecía más bien un ataque voluntario de DDoS (Denegación de Servicio). AntiCNNN fue una herramienta desarrollada por hackers chinos para obtener el apoyo del público en el lanzamiento del sitio web de CNN (Referencia: El Visitante Oscuro).
  3. Dormancia: El atacante planta un malware y espera un tiempo rentable
  4. Determinación: El atacante sigue intentando hasta que obtiene acceso a la red
  5. Complejo: El método implica la creación de ruido como una cubierta para que el malware entre en la red

Como los hackers siempre están un paso por delante de los sistemas de seguridad disponibles en el mercado para el público en general, tienen éxito en los ataques sigilosos. El Libro Blanco afirma que los responsables de la seguridad de las redes no están muy preocupados por los ataques furtivos, ya que la tendencia general de la mayoría de las personas es solucionar problemas en lugar de prevenirlos o contrarrestarlos.

Cómo contrarrestar o prevenir ataques sigilosos

Una de las mejores soluciones sugeridas en el whitepaper de McAfee sobre ataques sigilosos es crear sistemas de seguridad en tiempo real o de próxima generación que no respondan a mensajes no deseados. Esto significa vigilar cada punto de entrada de la red y evaluar la transferencia de datos para ver si la red se está comunicando sólo con los servidores/nodos que debería. En los entornos actuales, con BYOD y todo, los puntos de entrada son muchos más en comparación con las redes cerradas del pasado que dependían únicamente de las conexiones por cable. Por lo tanto, los sistemas de seguridad deben ser capaces de comprobar tanto los puntos de entrada de la red inalámbrica como los cableados.

Otro método que se debe utilizar junto con el anterior es asegurarse de que su sistema de seguridad contiene elementos que pueden analizar los rootkits en busca de malware. A medida que se cargan antes de su sistema de seguridad, representan una buena amenaza. Además, como están inactivos hasta » el momento es propicio para un ataque «, son difíciles de detectar. Usted tiene que arreglar sus sistemas de seguridad que le ayuden en la detección de tales scripts maliciosos.

Finalmente, se requiere una buena cantidad de análisis de tráfico de red. La recopilación de datos a lo largo del tiempo y la comprobación de las comunicaciones (salientes) a direcciones desconocidas o no deseadas puede ayudar a contrarrestar o prevenir en gran medida los ataques sigilosos.

Esto es lo que aprendí del whitepaper de McAfee, cuyo enlace se muestra a continuación. Si tiene más información sobre lo que es un ataque sigiloso y cómo prevenirlo, por favor compártala con nosotros.

Referencias:

Contenido Relacionado

Deja un comentario