Hay alguien allá afuera que busca cómo ingresar a los equipos y las redes de las empresas y que intenta aprovecharse de esta intrusión. Todo el tiempo, con todos los recursos posibles, mediante formas cada vez más innovadoras. Internet es un entorno habitado permanentemente por individuos que intentan incesantemente ingresar a las áreas sensibles de los sistemas de las empresas y por trampas que pacientemente esperan la imprudencia de los desapercibidos. Éste debe ser el punto de partida de la planeación y la política de seguridad informática de cualquier organización.
¿Es posible crear un entorno seguro?
Los esfuerzos por crear un ambiente que no pueda ser vulnerado por las amenazas informáticas han dado origen al enfoque tradicional del sistema de prevención de intrusos (conocido como IPS): la detección de amenazas y su destrucción. El principio de los IPS consiste en interponer entre la esfera de la organización y el exterior un agente protector activo.
La primera línea de defensa de los IPS tradicionales consiste en la identificación de puertos y protocolos; después, la decodificación de los protocolos permite una protección más amplia mediante las siguientes tareas:
- Decodifica los protocolos de los datos entrantes.
- Utiliza la información de los protocolos para inspeccionar con eficiencia las porciones pertinentes de los datos entrantes en busca de las firmas de las amenazas.
- Identifica las firmas de las amenazas.
- Impide los accesos de riesgo
- Destruye el contenido de los ataques.
¿Y es suficiente?
Con el tiempo, los desarrolladores de amenazas y los cibercriminales han encontrado estrategias de intrusión que les permiten sortear estos sistemas de defensa; al mismo tiempo, al tratar de mantener el nivel de protección dentro del mismo esquema, los IPS convencionales han reducido su eficiencia y se han vuelto poco prácticos. Para compensar las insuficiencias de este enfoque de seguridad, han surgido nuevas técnicas de IPS, que pueden describirse en los seis apartados siguientes.
- Control de aplicaciones
En lugar de basar la inspección en la identificación de los protocolos, las nuevas versiones de IPS organizan su inspección y la búsqueda de firmas de amenazas a partir del control de las aplicaciones que participan en el tráfico de información.
- Escaneo de tráfico contra virus y malware
Uno de los problemas más importantes del IPS convencional es que la inspección de un archivo requiere que se hayan recibido todos los paquetes que lo componen, un proceso que el tráfico se ralentiza. Las técnicas más recientes permiten a los firewall de nueva generación (next generation firewalls, NGFW) comenzar a inspeccionar desde que reciben el primer paquete. Los beneficios son notorios en la agilidad del tráfico y en el consumo de recursos.
- Las firmas del malware
Las empresas dedicadas a la seguridad informática han dedicado años al estudio de los virus y el malware que circula en internet; este análisis les ha permitido reconocer elementos del código de la amenaza que la identifican de manera inequívoca. A veces es un algoritmo, a veces es una secuencia en su código; esta firma (como se le conoce en el mundo de los antivirus) facilita considerablemente la inspección de datos. Con sólo una porción ínfima de información, el IPS puede detectar una amenaza en pleno ataque antes siquiera de que todos sus paquetes hayan sido recibidos; por otra parte, las firmas se caracterizan por su estabilidad, de modo que, aunque aparezca bajo alguna mutación, el agente perjudicial será detectado por el sistema de protección incluso.
- Protección contra el ataque a las vulnerabilidades
Las amenazas electrónicas se desarrollan mediante el análisis de las aplicaciones y los sistemas más comunes: los desarrolladores estudian las posibles debilidades en estos servicios y codifican malware específicamente diseñado para aprovechar determinados resquicios. Por otra parte, las actualizaciones de seguridad buscan cubrir las debilidades que han sido identificadas, así como presentarle cara a las amenazas de más reciente aparición. ¿Pero no existe siempre el riesgo de que algún equipo se haya quedado sin una actualización? ¿O hay alguna garantía de que la actualización se instale antes de la aparición de la amenaza? Las técnicas de análisis de los NGFW que les permiten ofrecer una protección contra estos ataques son muy diversas, van desde la detección de anomalías estadísticas y los análisis heurísticos hasta la integración de grandes bibliotecas de firmas de malware.
- Firewall para aplicaciones web (WAF)
El WAF es un sistema diseñado específicamente para proteger las aplicaciones web: inspecciona cada paquete HTML, HTTPS, SOAP y XML-RPC. Estas defensas permiten detener ataques que los firewalls de la red (hay diferencias importantes) no son capaces de identificar. El análisis del WAF permite identificar y detener amenazas como el secuestro de sesión, la inyección de SQL o las secuencias de órdenes en sitios cruzados, mediante las cuales un intruso inyecta código (JavaScript, por ejemplo) en las páginas web visitadas por el usuario.
- Control de ATP
¿Y qué pasa cuando el enemigo ya está en casa? El malware avanzado no ataca a la empresa como si fuera un cañón, sino como un ladrón que ya tiene la llave de la puerta: ingresa y busca su objetivo tratando de pasar inadvertido. De este modo, una amenaza persistente avanzada (ATP, en inglés) podría estar presente en la red de la empresa y, durante meses, ejecutar las acciones para las que fue programada (robo de información o secuestro de recursos de cómputo entre otros) sin despertar ninguna sospecha. La protección contra ATP examina el comportamiento de la red en busca de patrones anómalos o no justificados, de modo que las operaciones del malware avanzado puedan ser detectadas.
¿Por dónde empezar?
Para evaluar tu actual sistema de defensa, puedes plantear las siguientes preguntas a tu equipo de informática o a tu proveedor:
- ¿Cuál es la información crítica de tu empresa?
- ¿Has sufrido ataques en la red de tu empresa?
- ¿Cuentas con un firewall de nueva generación?
- ¿De qué forma proteges tus aplicaciones web?
- ¿Se realizan en tu empresa búsquedas de amenazas avanzadas?