SG32

CIBERSEGURIDAD 46 mitigar sus impactos conteniéndolo (aislándolo, confinándolo, acotándolo, perimetrándolo, colocándolo en zona de cuarentena, en sandbox, etc.) erradicando las infeccio- nes y recuperándose del ciber-incidente malware (por ejemplo, utilizando los bac- kups redundantes, utilizando canales-enlaces de respaldo, utilizando dispositivos-recursos redundantes-replicados, etc.). Se puede necesitar volver a la fase 2 durante la fase 3, por ejemplo, para comprobar las infecciones adicio- nales que hayan ocurrido desde la realización de la detección original. 4.Actividades después del ciber- incidente. Después de gestionar un ciber-incidente malware se debe emitir un informe detallado de las causas y costos del ciber- incidente malware y las medidas que se deberían tomar para prevenir futuros ciber-incidentes malware y preparase anticipadamente (saltando a la fase 1) y más eficientemente para gestionar lo que hacer en futuros ciber-incidentes malware (aplicando todas las lecciones aprendidas). En todo lo anterior yace la incertidum- bre de no poder detectar malware de la última generación sigiloso, multifuncional y multi-carga útil. ESTRATEGIASYMECANISMOSDE DEFENSACONTRAELMALWARE Algunosmecanismos, técnicas y estrate- gias de defensa contra el malware son: 1. Monitorización. Utilizar la monitori- zación en tiempo real del tráfico de red, de los sistemas y dispositivos finales. Empleo de rastreadores preventivos multinivel. Se deben utilizar herramientas como firewalls, escaners de malware en tiempo real (incluso en RAM buscando modi- ficaciones maliciosas), sistemas de prevención de fuga de datos, inspección profunda de paquetes de red, sistemas de detección y prevención de intrusiones en los puntos de entrada y salida de la red para saber lo que accede o sale de la red. Las conexiones IP entrantes y salientes no usuales son un indi- cador de que algo malo ocurre. Los cambios en los sistemas de ficheros del dispositivo de un usuario que sean los normales de una utiliza- ción usual, son una evidencia que indica una infección. Realizar test de penetración y auditorías estáticas y dinámicas internas y externas. 2.Logging. Se basa en la monitoriza- ción, se trata de recoger logs para registrar y determinar el instante de tiempo, los eventos, la metodolo- gía de la infección inicial, etc. que permite realizar trazabilidad de las etapas de la infección malware. El logging de red en firewalls, sistemas de ficheros, el logging de eventos en servidores y clientes, los logs de los resultados del escaneo antimalware, los logs que indican las actividades de login y logout del usuario local o remoto, etc. son algunos de los repositorios de información más útiles desde la perspectiva de un equipo de remedio que deberían utilizar herramientas SIEM. Los logs proporcionan una base para la inves- tigación de infecciones y pueden reducir el tiempo necesario para evaluar la trayectoria del malware y sus métodos de persistencia. Los ficheros de log son datos muy valio- sos y consecuentemente se deben hacer backups redundantes (para tolerancia a fallos) y guardarlos durante largos períodos de tiempo para analizar tipos de malware de funcionamiento extremadamente lento. El uso de tecnologías como Big-Data ayuda cuando se mani- pulan elevados volúmenes de datos. 3. Exploración y reparación de vulnerabilidades. Existen infinitas vulnerabilidades. Las vulnerabilidades 0-day aún no se saben. Las vulnerabilida- des son deficiencias, bugs (en implementación), flaws (en diseño y código), debilidades, confianzas, negligencias, fallos (en diseño, con- figuración, implementación, etc.), errores de política, organización, gobernanza, etc., fallos de soft- ware, firmware y hardware, etc. Se suelen cometer fallos casi siempre en sistemas y aplicaciones/APPs, frecuentemente en ingeniería e implementación y a veces en algorit- mos y protocolos (por ejemplo, SMB v.1.0). Existen numerosos organismos que se encargan de registrar las vul- nerabilidades conocidas como CVE, CWE, NVD, OSVDB. Existen nume- rosas herramientas para el escaneo de vulnerabilidades como Nessus, W3af, Nikto, Metasploit (adquirido por Rapid7 en el 2009), OpenVAS. Herramientas del tipo analizadores estáticos (sin ejecución del código) son Coverity, Fortify, Veracode, Grep, Lint (JSLint es Lint para JavaScript). Herramienta del tipo analizadores dinámicos (con ejecución del código) es Valgrind. Las vulnerabilidades son explotadas por exploits. Algunas herramientas que previenen la ejecución de scripts son NoScript, Privoxy. La funcionalidad plugin 'click-to-play' en los navegadores Web permite prevenir intentos de explotación de scripts en sitio Web. Otras defensas son los IDS/IPS/AV/ FW con inspección profunda de paquetes, la monitorización del tráfico de red en busca de signos anómalos, los sistemas de preven- ción de pérdida de datos (DLP), el escaneo continuado del sistema de ficheros y la RAM, la monitorización