Categories: Seguridad

Punto de persistencia

Varios de los recientes ataques cibernéticos han sido excelentes recordatorios para que no perdamos de vista nuestros mecanismos de seguridad, constantemente debemos seguir reevaluando cómo proteger nuestras redes y no suponer siempre que todos los dispositivos están seguros en la red.

Un ejemplo de estas nuevas amenazas es el SYNFul Knock, un tipo de malware persistente que le permite a un atacante obtener el control del dispositivo de Cisco afectado y comprometer su integridad con una imagen de software de Cisco IOS modificada.  Dicho ataque no toma ventaja de ninguna vulnerabilidad del producto, pudo demostrarse que se solicitaron credenciales administrativas válidas o acceso físico al dispositivo de la víctima.

Entonces, podríamos pensar: “Hey, ellos solo necesitarán acceso a la consola y credenciales válidas para cargar exitosamente un nuevo firmware”. Hace unos años, cuando las consolas no estaban conectadas a las terminales de servidores, donde era posible cualquier acceso físico a la red, la respuesta hubiese sido: “El dueño de la consola, es el dueño del sistema”. Sin embargo,  actualmente para que alguien pueda subir el firmware a un router, tiene que tener un “Punto de Persistencia.”

En otro reciente ataque de alto perfil ―aunque no pudieron conocerse los detalles de cómo ocurrió el hecho― los atacantes lograron la firma del “Punto de Persistencia” en la red y comprometieron una impresora. Cuando digo persistencia, en este caso, me refiero a la magnitud, la duración, tal como lo indica la gran cantidad de información que fue filtrada.

  • Intencionalmente, estoy dejando muchas referencias aquí e invito a los lectores a hacer su propia investigación para confirmar esta información considerada en términos generales.

En nuestra industria, estamos concientes del riesgo que representan las impresoras, que comprometen también la seguridad de nuestras redes. Antes nadie consideraba esta vulnerabilidad, pero hoy sabemos que pueden ser utilizadas como una puerta de ingreso para los ataques cibernéticos.

En los dos casos antes descritos, los atacantes cibernéticos fueron capaces de crear un “Punto de Presencia” que evade las capacidades más defensivas. De esta forma, el atacante tiene amplia libertad y tiempo para cumplir sus objetivos. Entonces ¿cómo hace uno para protegerse de este tipo de ataques, especialmente cuando los dispositivos no cuentan con las capacidades de defensa cibernética?

  • Recordemos que cualquier dispositivo puede ser un participante activo en la brecha de seguridad, porque establece un flujo de comunicación con otros dispositivos.

Cisco’s Cyber Threat Defense Solution integra tanto FirePOWER NGIPS y Lancope SteathWatch para proporcionar amplias capacidades de análisis de flujos de comunicación en la red. La solución proporciona la habilidad para detectar rápidamente y remediar flujos inadecuados de comunicación, host de bloqueo de violaciones de políticas, malware transferido a través de la red, comando y control del tráfico y una larga lista de otras actividades maliciosas relevantes.  Ambas, tanto la Administración de FirePOWER como la Administración de la Consola de Lancope’s Stealthwatch se integran al Motor de Servicios de Identidad de Cisco para proporcionar una remediación dinámica que acelera el tiempo de mitigación. Los asistentes al Cisco Live Cancún 2015 podrán ver una demostración en vivo de Cyber Threat Defense.

Lamentablemente, aunque los clientes ya implementan tecnologías de defensa cibernética más avanzadas, continuaremos viendo dispositivos de punto final no tradicionales comprometidos al nivel de firmware. Por esta razón, será aún más crítica la necesidad de contar con análisis de los flujos de comunicación.

No lo dude más, examine sus redes, identifique todos los “Puntos de Persistencia” potenciales y asegúrese de que cuenta con la capacidad para analizar sus flujos de comunicación.

Además, no se pierda la demostración en vivo de Cyber Threat Defense en Cisco Live Cancún 2015, el evento de educación y capacitación para profesionales de IT más importante en el mundo, que se desarrollará desde el 2 al 5 de noviembre.

Share
Cisco Latam

Cisco es el líder mundial en redes que transforman la forma en que las personas se conectan, comunican y colaboran.

View Comments