Llegamos a ustedes gracias a:



Noticias

CIO: Su red ya ha sido comprometida

[05/06/2009] Los CIO deberían dejar de enfocarse en la detección de intrusiones y los sistemas de prevención y comenzar a ver que las computadoras en sus redes ya están comprometidas por cibercriminales. Ese es el consejo de un profesor de Ciencias de la Computación de la Universidad de Nueva York, quien está utilizando un enfoque novedoso para descubrir computadoras infectadas en las redes empresariales.

Nasir Memon, profesor de Ciencias de la Computación e Ingeniería del Instituto Politécnico de la Universidad de Nueva York, ha desarrollado un sistema de detección de infecciones basado en red, para identificar computadoras host comprometidas en grandes redes. En lugar de concentrarme en bloquear la infección para que no entre, asumimos que hay una infección y nos concentramos en detectarla, señaló Memon. La prevención de intrusiones no es suficiente. Uno tiene que ver dentro de su red muy cuidadosamente y buscar infecciones.
Memon describió su sistema, llamado INFER, en la Conferencia de Protección de Ciber Infraestructuras desarrollada en el City College de Nueva York el jueves. INFER está diseñado para detectar el tipo de ataques dirigidos y cautelosos, que el crimen organizado y los países extranjeros tienden a lanzar contra las redes corporativas y gubernamentales. Estos ataques de movimientos lentos son difíciles de detectar para los administradores de redes con sistemas de firewalls, antivirus, prevención de intrusiones o detección de intrusiones que se concentran en malwares conocidos que intentan penetrar las redes.
INFER, por otro lado, se concentra en el malware que se ya se encuentra dentro de las redes. INFER utiliza sensores desplegados al lado de los ruteadores y switches para monitorear pasivamente el tráfico de la red y resumirlo. INFER tiene un motor de minería de datos que analiza los resúmenes y busca las máquinas infectadas.
La consola de INFER proporciona a los administradores de redes una lista de las 10 computadoras host que parecen encontrarse infectadas. También tiene un componente forense que permite al administrador de la red, hacer un seguimiento de los patrones del tráfico histórico de hosts específicos.
INFER no busca malwares o ataques conocidos, ni tampoco busca firmas o patrones de comportamiento asociados a ellos. En su lugar, INFER busca hosts que muestran los síntomas que mostraría una máquina infectada, sin importar el tipo de infección. INFER revisa en las PC una docena de síntomas tales como caídas, reboots frecuentes, reconexiones de DNS y hosts que actúan como relays o proxies.
El momento en que el atacante comienza a hacer cosas con la máquina comprometida, comenzará a dejar huellas en la red. Eso es en lo que queremos concentrarnos, señaló Memon. Es como una cámara de vigilancia que graba todo lo que está pasando en la red.
INFER crea una sinopsis del tráfico de la red, más que almacenar todo el tráfico de la red para su análisis. Utilizando una sinopsis del tráfico de la red, INFER hace que sea más fácil para los usuarios almacenar hasta tres meses de datos y transferir los datos por una red para una revisión centralizada.
El Instituto Politécnico de la Universidad de Nueva York ha estado corriendo INFER por dos años para registrar el comportamiento de tres mil PC en su red. Descubrimos botnets todos los días, y reportamos a TI que ahí están, señaló Memon.
Memon y sus estudiantes han creado una compañía llamada Vivic para comercializar INFER. Hasta el momento, Vivic ha atraído a un cliente pago: el Laboratorio de Investigación del Ejército de Estados Unidos, que planea usar el sistema para su programa de monitoreo de red Interrogator.
INFER también ha atraído a varios clientes piloto entre los que se encuentran el condado de Westchester, el gobierno de Nueva York, que está usando INFER para monitorear tres mil hosts, y el Departamento de TI de la ciudad de Nueva York está usando el sistema para monitorear 43 mil hosts.
Aún con perfil bajo, Vivic planea sostener su crecimiento, más que intentar atraer capital de riesgo. En la actualidad, la compañía está desarrollando una estrategia de márketing para INFER.
INFER representa una diferencia de pensamiento, señala Memon. Los administradores de red despiertan y piensan cómo mantengo alejados a los chicos malos, pero ellos ignoran que los chicos malos ya se encuentran dentro.
Carolyn Duffy Marsan, Network World (USA)