Sophos no es el primer proveedor de ciberseguridad que descubre que sus productos perimetrales son el objetivo de un ataque sostenido por parte de un estado nación. Si hay algo especial en la serie de acontecimientos que revelamos en «Pacific Rim: Inside the Counter-Offensive-The TTPs Used to Neutralise China-Based Threats», es que informamos sobre esta actividad de caza/contracaza de la forma más exhaustiva posible, para ilustrar con precisión a qué se enfrenta el sector de la ciberseguridad en cuanto a la determinación y agresividad de ciertos atacantes. A través de ella, aprendemos mucho sobre las contramedidas. Este ensayo presenta tres conjuntos de observaciones que otros defensores pueden aplicar.
Para aumentar los costes del adversario, es necesario reducir sus capacidades. Sophos es lo suficientemente grande como para poder recurrir a recursos importantes en caso de emergencia, pero también lo suficientemente ágil como para responder con rapidez y creatividad para desafiar al atacante. En esta situación, la ventaja era disponer de un entorno relativamente predecible, como los firewalls. En comparación con la actividad en endpoints genéricos, los atacantes tienen que esforzarse más para ser silenciosos y discretos en los firewalls. Si comparas esto con el alto valor general de los firewalls (dispositivos Linux potentes, siempre encendidos, con buena conectividad, situados por su naturaleza en lugares de confianza de la red), puedes ver por qué un atacante querría estar allí y por qué hemos podido hacerles frente con eficacia en ese ámbito.
Ciertamente, ha habido algunos episodios extraordinarios (y llenos de tensión) en los que hemos observado a los atacantes desarrollar sus propias capacidades creativas; me viene a la mente el bootkit UEFI, que creemos que es el primer caso observado de un bootkit utilizado para la persistencia en firewall. Sin embargo, este tipo de creatividad tiene un alto coste. Un mundo en el que los atacantes se ven obligados a encontrar formas de permanecer en la memoria y utilizar bootkits UEFI para la persistencia es un mundo en el que la mayoría de los defensores dirían, una vez más, que tienen ventaja de campo. Y pueden seguir desarrollando procesos para detectar y responder a estas tácticas tan específicas.
