Ante nuevas amenazas son necesarias nuevas protecciones. Las tecnologías de protección perimetral, como firewalls, IPS o Web Application Firewalls no son capaces de proteger la organización frente ataques dirigidos.
Estas nuevas técnicas, utilizando la información personal de los usuarios objetivo y fallos de seguridad desconocidos, permiten controlar los PCs y dispositivos internos. A través de los equipos controlados, los atacantes intentarán acceder a información confidencial o equipamiento clave para la continuidad del negocio.
Dos ejemplos claros son los ataques a los sistemas SCADA o, en el sector aeronáutico, a los aviones no tripulados UAV-Drones.
La seguridad de los sistemas SCADA
(The SCADA Patch Problem – Dark Reading) era algo olvidado hasta el descubrimiento de Stuxnet. Hasta el 2010, el CERT sólo había publicado 5 avisos en 10 años; después de esto, ya ha publicado al menos 104 sobre 215 fallos que afectaban a 39 fabricantes. Y es que, únicamente entre un 10% y un 20% de las empresas mantienen actualizados sus sistemas. Es cierto que el motivo principal es la continuidad del negocio en equipos con vidas útiles largas pero no hay que olvidar que muchos de estos sistemas estan basados en SO vulnerables.
Operation Beebus – TechWorld
En el caso de los drones (Operation Beebus – TechWorld) los atacantes hasta reutilizaron la red de Command&Control que emplearon para el ataque a RSA. Su objetivo eran empresas relacionadas con Defensa y Aeroespacial que pertenecían a la parte de supply chain de UAV y otros robots aéreos.
Se puede observar que se están repitiendo ataques a aplicaciones a través de fallos de Adobe Flash (Lady Boyle comes to town), donde se reciben aquellos vía archivos de Microsoft Office por email, o bien forzando al usuario a descargar un archivo cuando visita webs con los navegadores Firefox y Safari para MacOSX; o fallos de Java (YAJ0: Yet Another Java Zero-Day), que afectan a la última versión de este software, y cuyo objetivo continúa siendo el acceso a información confidencial y de negocio.
Y contra estas amenazas (ataques Zero-Day y ataques dirigidos) las tradicionales herramientas basadas en firmas no sirven, y a día de hoy la mejor opción son herramientas que analizan el comportamiento en tiempo real, y FireEye es claramente pionero y el líder en este sector.
