Octubre, Mes Europeo de la Ciberseguridad (II)

¿Cuál es el tipo de ataque más común? ¿Cómo detectar ataques a tiempo?
¿Qué controles se deben implementar basándonos en esos ataques?

Estas son algunas de las dudas que vamos a despejar con el 2º post sobre Ciberseguridad.

Para poder detectar un ataque es necesario saber cómo pararlo. Conocer los tipos de ataques a los que podemos vernos afectados y las medidas que podemos aplicar es fundamental para minimizar riesgos.

 

¿Cuál es el tipo de ataque más común? 

Primero de todo debemos diferenciar que hay dos tipos de ataques: los dirigidos y los masivos. En los primeros, los atacantes saben a por quién van, y qué es lo que quieren obtener. En cambio los ataques masivos, se aprovechan de las vulnerabilidades existentes para lanzar intrusiones, con el objetivo de encontrar un hueco dónde colarse para explotar la información contenida en los sistemas.

La forma más extendida de llevar a cabo este tipo de ataques son  los intentos de intrusión. Cualquier departamento de Sistemas está acostumbrado a lidiar con ello a diario. Estos tipos de ataques, suelen depender del tipo de infraestructura que tenga una organización, aunque siempre que tengas un site en internet, estarás expuesto, porque la gran mayoría son automáticos e indiscriminados. En esta clase de intrusiones, intentan introducir ransomware con herramientas automatizadas. Cuando consiguen acceder, cifran y secuestran los archivos con el objetivo de obtener un beneficio económico. 

Lógicamente, las infraestructuras o las aplicaciones más vulnerables, son las más atacadas. Un ejemplo común suelen ser los sitios webs hechos con CMS  de código abierto, y por tanto,  todo el mundo puede visualizar sus fallos y puntos débiles. De la misma manera que hay desarrolladores que examinan los fallos para corregirlos, también hay gente que los analiza para atacarlos.

Otro tipo de ataque, más común pero menos preocupante, es el phishing o suplantación de identidad. Están basados en el poco conocimiento que tienen los usuarios en cuanto a ataques. Afecta al aspecto de autenticidad, que comentamos en el 1º post sobre Ciberseguridad. Generalmente, la cultura de los usuarios de una empresa suele ser una técnica bastante útil para detectar ataques de phishing, aunque siempre es más sencillo atacar a un usuario, que a un sistema informático.

 

¿Cómo detectar ataques a tiempo?

Si son ataques muy generales, como los de de phishing, las herramientas del propio email en Cloud, por ejemplo las técnicas de “Este email se ha enviado a varios destinatarios”, para que veas que no es una fuente fiable, suelen servir como una barrera.  Cuando tu tienes ese servidor de correo fuera de esas plataformas que no manejan tantos millones de correos, es muy difícil detectar ese tipo de ataque.  Es estas ocasiones, ya es una cuestión de la cultura del usuario. La formación dentro de una empresa es fundamental para detener cualquier ataque, porque un antivirus no te lo asegura, aunque haya una creencia generalizada de que sí puede. Alguno puede consultar una base de datos de este tipo de correos, pero no es lo más frecuente.

 

¿Qué controles se deben implementar basándonos en esos ataques?

El principal control es tener un buen sistema de copias de seguridad. Muchas veces lo que buscas no es ser no atacado, sino que si te atacan no te hagan daño, o  causen el menor perjuicio posible.
Otras limitaciones pueden ser sistemas de detección de intrusiones, que no bloquean como tal, sino que detectan actividades sospechosas dentro de la red. Estas herramientas las hay de distintos niveles dependiendo del sector de la actividad, por ejemplo un banco necesita instrumentos más poderosos para detectar una actividad maliciosa camuflada entre actividades que pueden ser perfectamente legales. Si alguien empieza a abrir y cerrar las cuentas de un cliente o movimientos sospechosos, eso lo detectan este tipo de controles más avanzados.

Otras herramientas que son más de contención, pueden ser seguridad perimetral, elementos que bloquean el acceso a determinados puertos y/o reglas de antivirus  que detecten cuando te inoculan un código dañino.

Es importante priorizar las medidas y herramientas en cada organización,  dibujando sistemas de detección de intrusiones propio para al  menos mitigar los posibles daños. La forma de minimizar los riesgos son en primer lugar bloqueando accesos y en segundo lugar, recuperando información, en caso de que esta se vea comprometida.

 
Posted By: LuceTeam