Detección de APTs

Cuando hablamos de ataques de APT nos referimos a organización, premeditación, persistencia, sofisticación y novedad. No hay que olvidar que este tipo de amenazas están suficientemente financiadas cómo para mantener su campaña de ataques durante un periodo largo de tiempo, y disponer de los recursos necesarios para conseguir su fin. Es posible incluso que, en caso de ser detectados, los cibercriminales tengan un plan de contingencia que les permita reorganizarse y atacar de nuevo.

La detección de estos ataques presenta una extrema dificultad. Muchos utilizan firmas de ataque único y novedoso, capaces de evadir los sistemas de defensa tradicionales, usando canales encubiertos y utilizando técnicas de ocultación durante largos periodos de tiempo. En definitiva, las APT, a día de hoy, constituyen uno de los peligros mas importantes y de mayor expansión a los que se enfrentan los profesionales de seguridad, y son difícilmente evitables para la mayoría de las organizaciones. Por esta razón, la principal cuestión que se ha de plantear en el panorama actual frente a este tipo de amenazas es cómo detectarlas.

Es fundamental proporcionar a los profesionales de seguridad y administradores de sistemas y redes el conocimiento necesario sobre cómo detectar una APT en sus infraestructuras tecnológicas. Con objeto de concienciar sobre la importancia de una detección precoz ante una amenaza de este tipo, CSIRT-CV e INCIBE han colaborado en la elaboración de un informe titulado “Detección de APTs” que tiene, entre otros, los siguientes objetivos:

• Constatar la importancia e implicación que tienen las APT en la seguridad nacional.
• Evidenciar el funcionamiento detallado de algunos casos conocidos de este tipo de ataques.
• Detallar cuales son las vías de infección más utilizadas para llevar a cabo un ataque de estas características.
• Establecer una serie de pasos básicos a seguir y consideraciones que se deben tener en cuenta a la hora de detectar en nuestra organización una intrusión de estas características.