Falsa sensación de seguridad

Los desarrolladores de malware han mejorado sustancialmente las técnicas de ocultación de estos para pasar desapercibidos durante meses o incluso años, de esta manera consiguen información confidencial muy valiosa como el espionaje industrial o documentación gubernamental. La efectividad de este tipo de malware se basa en tan solo unos pocos Kbytes que explotan vulnerabilidades aún no conocidas por los fabricantes, lo que les permite buscar, analizar y transferir documentos confidenciales por canales cifrados, realizar escuchas ilegales o modificar parámetros de sistemas industriales, todo ello con mucho sigilo y sin disparar ninguna alarma.

Una vez que este tipo de malware es detectado, los desarrolladores de antivirus crean la firma y la incorporan en sus bases de datos de firmas de antivirus. La próxima vez que nuestro software antivirus sea actualizado, incorporará en su base de datos de virus la nueva firma del nuevo malware, y a partir de ahora nuestro antivirus podrá detectar ese malware en concreto. ¿pero qué ha pasado hasta entonces? ¿y ahora qué? La respuesta es fácil, aunque los sistemas antivirus son capaces de detectar y bloquear la mayoría del malware, aún estamos expuestos al riesgo de ser infectados, ya que nuestro sistema de protección se basa en firmas de virus conocidos. Aquí es donde entra en juego la falsa sensación de seguridad, ya que hay usuarios que piensan que con instalar un antivirus en el equipo están protegidos, y si además te dicen que utilizan Apple porque no hay virus es donde se demuestra realmente la concienciación en seguridad que posee la organización.

Depender solamente de un sistema basado en firmas como medida de protección en una organización es una técnica que ya no tiene mucha efectividad si la comparamos con soluciones SIEM que realizan correlación de eventos, y que además analizan cada flujo de conexión para conocer la reputación del servidor de destino, indicándonos si la IP o URL solicitada aloja algún tipo de malware o es utilizada para realizar ataques, para ello será necesario que el SIEM tenga acceso a servidores CIF o Collective Intelligence Framework. Desde Ariadnex damos un plus a nuestros clientes desplegando sondas SIEM que monitorizan el comportamiento de la infraestructura disparando alarmas cada vez que se detecta algún comportamiento anómalo o que está fuera de la política de seguridad.

Pero una vez más podemos caer bajo la falsa sensación de seguridad aunque tengamos este tipo de sistemas implantado en nuestra organización, ya que podemos llegar a un punto en el que recibimos tantas alarmas que si no las tratamos y filtramos correctamente comenzaremos a ignorarlas, y al igual que pasó en el accidente de vuelo Air France 447 donde los sensores tubo de Pitot dispararon alarmas que los pilotos ignoraron pensando que eran falsos positivos y a las que nadie le hizo caso, puede desencadenar una tragedia o, llevándolo a nuestro campo, el acceso o robo de información confidencial sin percatarnos lo más mínimo.