Kernel Security ofrece soluciones activas para redes, estaciones de trabajo, dispositivos móviles y servidores de su organización, con el objetivo prioritario de reducir notablemente el riesgo de sufrir una intrusión, que se traduzca en pérdida de información, productividad o estabilidad de la granja de servidores de su empresa.
Para ello se describen a continuación las etapas que conlleva un ataque externo a una organización y que tiene como objetivo el control total de las máquinas de la misma y la extracción de información sensible de sus servidores.
Un atacante realizaría un reconocimiento para seleccionar un usuario de bajo perfil técnico dentro de la organización y enviaría un correo electrónico con un malware ‘vestido’ para no ser detectado o un link a una web que pudiera aprovecharse de una vulnerabilidad del explorador y descargar algún fichero remoto sin ninguna interacción por parte del usuario.
Hoy en día la selección de este usuario es trivial gracias a las redes sociales como Facebook o Twitter.
Una vez que el usuario visita el link o ejecuta el fichero adjunto, normalmente ‘escondido’ entre ficheros PDF o relativos a Microsoft Office, como Word, Excel,Power Point, etc, se consigue control y acceso a la máquina víctima y se utiliza algún mecanismo que, una vez dentro, permita establecer vías de comunicación atacante-víctima en cualquier momento. El atacante ya tiene acceso a toda la información que la víctima pudiera obtener desde su puesto de trabajo.
El atacante se movería accediendo a los recursos de red de otras estaciones de trabajo y servidores, consiguiendo acceso a documentos, información de bases de datos, etc. Así mismo investigará acerca de la configuración de red establecida y detalles de la jerarquía de usuarios y contraseñas en entornos de Active Directory que le permitan pivotar hacia otros objetivos con información más centralizada por la organización.
Aunque diferentes contraseñas pudieran no encontrarse en texto plano sino en hashes criptográficos, el cracking de las mismas podría resultar trivial y rápido sino se toman las medidas oportunas y no se endurece la configuración por defecto de los sistemas implantados.
Una vez consiga la información que desea procederá a extraerla hacia otra ubicación cualquiera utilizando protocolos de red habilitados por la propia organización como HTTP o HTTPS, DNS o email y establecerá medidas para una futura intrusión.
Para evitar que nuestra organización resulte ser víctima de un ataque dirigido o aleatorio que cumpla con este tipo de directrices o similares, Kernel Security provee a sus clientes de hasta 35 detalladas medidas que comienzan con un Top4 y que aplicadas correctamente y bien monitorizadas conseguirían reducir el impacto de este tipo de vulnerabilidades descritas anteriormente en un 85 % aproximadamente.
Las aplicaciones no parcheadas se han convertido en el principal vector de explotación principalmente a causa del número significativo de vulnerabilidades descubiertas en versiones de Microsoft Office, Adobe Acrobat, Oracle, Java, Firefox, Internet Explorer o Google Chrome.
Frecuentemente, las vulnerabilidades explotadas por los atacantes suelen hacerse públicas por los fabricantes pero los parches o bien aún no han sido desarrollados o no han sido implementados en las organizaciones.
Este tiempo que transcurre entre la disponiblidad de una actualización y su implementación en el entorno corporativo debe ser minimizado, especialmente para actualizaciones críticas.
Un completo hardening ( endurecimiento de medidas ) comienza con la implementación de un actual y totalmente parcheado Sistema Operativo, ya sea de la familia Microsoft Windows o GNU\Linux en cualquiera de sus variantes, y es importante remarcar que los modernos sistemas operativos son de lejos mucho más seguros que las antiguas plataformas.
Contra un determinado atacante, un sistema Windows XP totalmente parcheado no proporciona ni mucho menos el equivalente en protecciones de seguridad que Windows 7 totalmente actualizado.
La reducción de riesgos viene dada por las nuevas características que se implementan tales como UAC ( User Access Control ), protecciones de memoria y encriptación nativa de los datos sin agentes de terceros, además de software de ‘whitelisting’ de aplicaciones que nos permite indentificar las aplicaciones instaladas, las que se pueden instalar y dónde, además de mecanismos de control de integridad de las mismas.
Los privilegios administrativos necesitan ser especialmente manipulados y concedidos a un pequeño número de usuarios que deberán acatar unas fuertes políticas de autenticación. Un determinado atacante se esforzará en obtener los credenciales de administrador que le permita extenderse a otros accesos de la red, alcanzar recursos de mayor valor e incluso cubrir sus huellas. Minimizando los privilegios administrativos hará más dificil para el adversario extender su intrusión u ocultar su existencia en un sistema
El denominado ‘ whitelisting ‘ de aplicaciones o Listas Blancas de Aplicaciones pretende identificar los ejecutables y librerias de software que deberian ser permitidos en un sistema, forzando entonces una política en la que sólo los componentes identificados pueden operar correctamente. Un sistema protegido por un ‘whitelisting’ explícito de aplicaciones permitidas bloqueará la mayor parte de malware, virus y troyanos remotos de ejecutarse en el sistema, proporcionando una tarea de mitigación de riesgos contra por ejemplo la mencionada primera etapa » Acceso por ejecución de código «.