A lighthouse on a rocky coast, with an overcast sky
Security Operations

Desde la primera línea: la opinión de nuestro CISO sobre Pacific Rim

Más allá de Detectar y Responder y de la Seguridad por Diseño
Escrito por
6 noviembre 2024
Security Operations Pacific Rim

Sophos no es el primer proveedor de ciberseguridad que descubre que sus productos perimetrales son el objetivo de un ataque sostenido por parte de un estado nación. Si hay algo especial en la serie de acontecimientos que revelamos en «Pacific Rim: Inside the Counter-Offensive-The TTPs Used to Neutralise China-Based Threats», es que informamos sobre esta actividad de caza/contracaza de la forma más exhaustiva posible, para ilustrar con precisión a qué se enfrenta el sector de la ciberseguridad en cuanto a la determinación y agresividad de ciertos atacantes. A través de ella, aprendemos mucho sobre las contramedidas. Este ensayo presenta tres conjuntos de observaciones que otros defensores pueden aplicar.

Para aumentar los costes del adversario, es necesario reducir sus capacidades. Sophos es lo suficientemente grande como para poder recurrir a recursos importantes en caso de emergencia, pero también lo suficientemente ágil como para responder con rapidez y creatividad para desafiar al atacante. En esta situación, la ventaja era disponer de un entorno relativamente predecible, como los firewalls. En comparación con la actividad en endpoints genéricos, los atacantes tienen que esforzarse más para ser silenciosos y discretos en los firewalls. Si comparas esto con el alto valor general de los firewalls (dispositivos Linux potentes, siempre encendidos, con buena conectividad, situados por su naturaleza en lugares de confianza de la red), puedes ver por qué un atacante querría estar allí y por qué hemos podido hacerles frente con eficacia en ese ámbito.

Ciertamente, ha habido algunos episodios extraordinarios (y llenos de tensión) en los que hemos observado a los atacantes desarrollar sus propias capacidades creativas; me viene a la mente el bootkit UEFI, que creemos que es el primer caso observado de un bootkit utilizado para la persistencia en firewall. Sin embargo, este tipo de creatividad tiene un alto coste. Un mundo en el que los atacantes se ven obligados a encontrar formas de permanecer en la memoria y utilizar bootkits UEFI para la persistencia es un mundo en el que la mayoría de los defensores dirían, una vez más, que tienen ventaja de campo. Y pueden seguir desarrollando procesos para detectar y responder a estas tácticas tan específicas.

Lee el artículo completo (en inglés).

Acerca del autor

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his 17 years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Leer artículos similares

Dejar un comentario

Your email address will not be published. Required fields are marked *