Advanced Persistent Threat

Hay un refrán que dice “el que la sigue la consigue”, es decir, hay personas que hacen todo lo que esté a su alcance para lograr un objetivo y hasta que no alcanzan el objetivo, no se detienen. Existe cierta similitud entre el refrán y la técnica de ataque APT, ya que los ataques persistentes avanzados (APT) consisten en marcarse un objetivo concreto y esperar a que la víctima tenga un descuido para poder adentrarse en sus sistemas de manera sigilosa, obteniendo la información deseada o realizando las acciones oportunas marcadas en el objetivo inicial.

Por tanto un APT es una amenaza persistente avanzada. Amenaza porque hay un conjunto de personas entrenadas para cumplir un objetivo específico, con amplios conocimientos sobre la infraestructura a atacar y con una gran motivación, posiblemente por una recompensa monetaria. Persistente porque los atacantes tienen un objetivo específico que consiste en monitorizar la infraestructura de la víctima, aprovechar un descuido para vulnerar la seguridad de la víctima y permanecer dentro de su infraestructura el mayor tiempo posible con sigilo y cautela. Y Avanzada porque los atacantes tienen los conocimientos y las herramientas necesarias para desarrollar sus propio malware y dirigirlo contra la infraestructura de la víctima, independientemente de si la infraestructura es de propósito general o específico, como sistemas SCADA.

El uso habitual de los ataques APT es robar información sensible a grandes corporaciones, es decir, nada de gastar recursos en infectar PCs de usuarios para crear botnets, normalmente se infectan PCs pero de directivos y presidentes de la compañía a la que se va a atacar. Algunos ejemplos de ataques APT, bastante destacados, son los siguientes:

• Stuxnet: Con un objetivo bastante claro, que era el programa nuclear Iraní, concretamente los sistemas SCADA de la central nuclear. Los atacantes consiguieron modificar los sensores de las turbinas de la central nuclear retrasando su puesta en marcha. Como posibles sospechosos están los servicios secretos estadounidenses e israelíes.
• Flame: El objetivo era el ciber espionaje en el Medio Oriente ya que es capaz de grabar conversaciones de Skype, controlar el audio y micrófonos, realizar capturas de pantalla y de teclado e incluso controlar el bluetooth. Como posibles sospechosos están el gobierno de EEUU, China e Israel.
• Gauss: Al igual que los dos anteriores, su objetivo eran los países de Medio Oriente, y concretamente las instituciones financieras y las cuentas bancarias de sus ciudadanos. Su desarrollo es muy similar al malware Flame, por lo que los autores podrían ser los mismos que los desarrolladores de Flame.

Estos ataques al ser desarrollados con un objetivo específico son difíciles de detectar. Las herramientas de defensa, los procedimientos y los controles de seguridad comunes, no son suficientes para detectar y defenderse de un APT. Así que la mejor manera de descubrirlos es estableciendo líneas base del comportamiento de los equipos, monitorizando el comportamiento de los sistemas mediante herramientas SIEM que nos permitan conocer en todo momento el estado de los equipos, además de medir la reputación de cada uno de los sistemas.

Como habréis intuido, estos ataques no se desarrollan y realizan por una sola persona desde su casa, sino que se necesita mucho conocimiento y dinero para realizar un ataque APT, porque no todo el mundo tiene acceso a sistemas PLC y sistemas SCADA para realizar las pruebas de desarrollo malware, así que ya podréis imaginaros quienes están detrás de estos ataques causando una posible CiberGuerra.

CCNP Tshoot

Hace ya algo más de un año que comencé mi andadura hacia la certificación CCNP y por fin puedo decir que la semana pasada finalicé con el aprobado del último examen, concretamente CCNP Tshoot. Al igual que hice con las entradas CCNP Route y CCNP Switch, donde comenté los materiales utilizados y los conocimientos adquiridos en cada uno de los módulos, voy a explicar mis impresiones y conocimientos que he adquirido con este último examen de la certificación de Cisco.

El material utilizado ha sido exactamente el mismo que en los dos anteriores exámenes, en cuanto a mis impresiones me ha gustado mucho este último módulo ya que te obliga a repasar los dos anteriores, el módulo está orientado a realizar troubleshooting en routing y switching, es decir, aprenderás a monitorizar, analizar, diagnosticar y resolver problemas de redes, por lo que el examen está compuesto por dos escenarios y 13 problemas de red, en el primer escenario, basado en IPv4, encontramos problemas en EIGRP, OSPF BGP, HSRP, Port-Security, Port Channel, etc, mientras que el segundo escenario está basado en IPv6 y se encuentran problemas en OSPFv3.

Según Cisco las habilidades obtenidas al aprobar el examen CCNP Tshoot son las siguientes:

• Desarrollo de planes de monitorización y gestión sobre routers y switches.
• Realización de rutinas de mantenimiento sobre routers y switches.
• Utilización de las mejores prácticas de ITIL para realizar troubleshooting.
• Analizar, diagnosticar y resolver problemas en redes multiprotocolos.

Profundizando en el temario, ¿qué podemos encontrar en el módulo de Troubleshooting?

• Comenzaremos estudiando metodologías y procedimientos para el mantenimiento de las redes, la comentada en una anterior entrada FCAPS, además de la metodología ITIL, TMN y PPDIOO.
• Aprenderemos la importancia de tener una documentación actualizada, crear lineas base y a gestionar los cambios de la red.
• Utilizaremos herramientas y aplicaciones incorporadas en los dispositivos para comprobar el estado de CPU, memoria, tarjetas de red, etc. Además de utilizar SPAN, RSPAN, SNMP y Netflow para obtener información de la red.
• Estudiaremos técnicas de troubleshooting sobre switches para diagnosticar y solucionar problemas sobre VLAN, STP, Inter-VLAN, VRRP, HSRP y GLBP.
• Estudiaremos técnicas de troubleshooting sobre routers para diagnosticar y solucionar problemas sobre EIGRP, OSPF, Redistribución de rutas y BGP.
• Manejaremos herramientas para diagnosticar DHCP, NAT, PAT, ACLs, además de identificar problemas de routing en IPv6 sobre OSPFv3 y redistribución de rutas.
• Aprenderemos a detectar y solucionar problemas de rendimiento mediante IP SLA y NBAR, además de realizar troubleshooting sobre el Control Plane, Data Plane y Management Plane de los dispositivos.
• Diagnosticaremos problemas en redes convergentes de voz y vídeo sobre IP, además de analizar y resolver problemas sobre redes inalámbricas.
• Por último, existe un tema interesante sobre los problemas que nos podemos encontrar en las VPN y en los cortafuegos basados en ZPF y Stateful Inspection.

Personalmente el módulo de tshoot me ha parecido interesante desde el punto de vista que se repasa todos los conceptos de routing y switching, además de conocer qué metodologías, procedimientos, herramientas y aplicaciones existen para analizar y solucionar problemas en redes complejas. Una vez más, recomiendo esta certificación a todo aquel que trabaje diariamente con redes de gran tamaño, ya que te ayudará no sólo a conocer el funcionamiento de los dispositivos Cisco, sino también a conocer de una manera más amplia el funcionamiento y comportamiento de los principales protocolos utilizados actualmente en la mayoría de las redes profesionales.

¿Qué debemos preguntarnos antes de comprar un producto de seguridad?

Cuando queremos proteger una infraestructura, un servicio, una información o unos datos en concreto, no se debe pensar que instalando un antivirus y un cortafuegos está todo hecho. Un SIEM, un cortafuegos o un antivirus son herramientas que nos ayudarán a proteger cierta información con mayor o menor eficacia. Existe multitud de equipos y soluciones de seguridad que dependiendo del presupuesto y del valor del activo a proteger se debería optar por una solución u otra.

Cuando un CISO llega a una organización debe plantearse varias preguntas antes de comenzar a comprar productos de seguridad:

¿Qué vamos a proteger? Realizar el inventario y el análisis de activos es una de las primeras tareas que se debe llevar a cabo, hay que identificar qué activos se están protegiendo actualmente y si es necesario seguir aplicando seguridad sobre ellos.

¿Por qué protegerlo? Una vez tengamos el listado de activos que hay realizar el análisis y evaluación de riesgos para conocer qué activos son imprescindible proteger para no tener pérdidas monetarias, de imagen o de credibilidad. En definitiva, debemos identificar aquellos activos que sean críticos para el negocio y que sin ellos sería imposible mantener el negocio y seguir adelante.

¿De quién? Cada activo debe tener un responsable a quién pedir explicaciones cuando suceda algo, pero ¿de quién protegeremos los activos? ¿quién no queremos que tenga acceso a nuestros activos? Obviamente a muchos se nos ocurre decir “que nadie acceda a mis activos”, pero sabemos que la seguridad 100% no existe y es una guerra de poder, el que más presupuesto tenga para atacarte más probabilidades tendrá para entrar en tus sistemas y robarte la información, ¿seguimos pensando lo mismo? No es lo mismo proteger la información para que el gobierno Chino no pueda acceder a tus datos que para que no acceda el de la tienda de la esquina.

¿Cómo protegernos? Ahora ya estamos en condiciones de elegir la solución de seguridad a implantar en la organización, en este punto decidiremos si debemos comprar sólo productos españoles, desconectar los equipos de Internet, si necesitamos un CPD de respaldo en otro continente o tan solo necesitamos una cámara de videovigilancia.

¿Cuándo lo protegeremos? No olvidemos este último punto, debemos conocer cuándo es necesario aplicar protección y en qué medida, como toda la información tiene un principio y un fin, debemos conocer el ciclo de vida de la información a proteger para dejar de consumir recursos de seguridad innecesariamente.

Como vemos estamos ante un enfoque basado en la defensa de los activos con una estrategia claramente dirigida hacia el negocio. Estas preguntas, fácil de hacer y difícil de responder, son las que nos ayudarán a definir la política de seguridad de la organización para garantizar en la mayor medida posible la confidencialidad, integridad y disponibilidad de la información.

HSRP, VRRP o GLBP

Las organizaciones con un gran número de usuarios o servicios no pueden permitirse el lujo de dejar a los usuarios durante varias horas sin acceso a los servicios de la Intranet o Internet, estas organizaciones intentan controlar y redundar todos los dispositivos de red de la forma más precisa posible, por lo que la mayoría de las veces es necesario realizar tareas de consultoría para diseñar la arquitectura de red, en estas consultorías es necesario comprender la finalidad de la red, para qué se utiliza la red, qué servicios corren por ella o incluso qué perdidas tiene la compañía por hora de no disponibilidad de los servicios. Para diseñar la red correctamente es necesario conocer tecnologías y protocolos de redes, en este caso explicaré brevemente tres protocolos que incorporan los dispositivos Cisco que nos permite configurar la puerta de enlace de la red en alta disponibilidad.

Hot Standby Router Protocol (HSRP): Es un protocolo propietario de Cisco, la redundancia de la puerta de enlace la proporciona mediante un router virtual, compuesto por una IP y una dirección MAC virtual. El router maestro se encargará de las funciones de routing mientras que existe un router en modo standby hasta que el router maestro falle, si hay más de dos routers, los demás estarán en modo listening. El tiempo de no disponibilidad por defecto en HSRP es de 30 segundos, por lo que pasará 30 segundos hasta que el backup router se de cuenta que el master router no responde a los Hello Messages.

Virtual Router Redundancy Protocol (VRRP): Es un protocolo definido por el estándar IEEE, muy parecido al protocolo HSRP, de hecho hay polémica entre Cisco e IEEE porque Cisco dice que le han copiado la patente. En este caso la IP del router virtual puede ser una IP real, por lo que si lo configuramos en el perímetro de la red con IPs públicas nos ahorramos una IP pública. Ante un fallo, el tiempo de no disponibilidad es mucho menor, aproximadamente 3 segundos.

Gateway Load Balancing Protocol (GLBP): Es un protocolo propietario de Cisco que permite balancear la carga asignando varias direcciones MAC a una misma IP virtual, esto es posible debido a que existe un router con el rol de AVG (Active Virtual Gateway) que es el encargado de responder a las solicitudes ARP de los usuarios, AVG responderá con la dirección MAC de un router AVF (Active Virtual Forwarder) según el algoritmo de balanceo selecctionado.

HSRP y VRRP son protocolos ampliamente utilizados, pero GLBP lo he conocido al estudiar la certificación CCNP. Dependiendo del escenario que nos encontremos es recomendable implantar un protocolo u otro, por ejemplo para entornos de fabricantes heterogéneos habrá que configurar VRRP y para escenarios donde exista mucha carga de red es aconsejable implantar GLBP para balancear la carga de red, mientras que HSRP lo configuraremos cuando sólo dispongamos de equipamiento Cisco, aunque es aconsejable modificar los tiempos de Hello Messages para bajar el tiempo de no disponibilidad en caso de fallo.