Llegamos a ustedes gracias a:



Reportajes y análisis

Las nuevas amenazas a la seguridad

[05/04/2011] En ocasiones las empresas prefieren ser reactivas antes que proactivas. Ese comportamiento en el campo de la seguridad es muy riesgoso, especialmente si sabemos que cada vez se producen amenazas más numerosas y sofisticadas.

Ya no bastan los sistemas de firmas para sentirnos seguros, sino que es necesario que las empresas se preparen contra las amenazas desconocidas -de esas no se tienen firmas-, e incluso contra más de un tipo de amenaza en un mismo ataque.
Ese fue el mensaje que los ejecutivos de la compañía de seguridad Radware dejaron en su más reciente visita a Lima. Miguel Porto, senior channel sales de la empresa, y Carl Herberger, vicepresidente de Soluciones de Seguridad, conversaron un momento con CIO Perú sobre las nuevas amenazas que tienen que enfrentar las empresas peruanas y la manera de defenderse de ellas.
Sentirse cómodos
Lo que se puede apreciar en el Perú y en América Latina es una sensación de comodidad en el uso de herramientas para enfrentar las amenazas clásicas que se pueden identificar con los sistemas de firmas, porque simplemente aún no se han presentado amenazas de otro tipo.
Un gran problema que veo en el territorio es en el enfoque en las firmas y no en el resto de componentes. Y eso es un problema porque hay una vulnerabilidad grande en el mercado ahora mismo, y me refiero a grandes bancos y a grandes instituciones, que están comprando equipos que protegen solo en base a firmas. Estos equipos no tienen la capacidad de proteger a las instituciones contra ataques masivos o ataques desconocidos, sostiene Porto.
De acuerdo a su análisis existen otras formas de ataques que no pueden ser detectados por las actuales herramientas con las que cuentan las empresas latinoamericanas, y que por ello representan un peligro para la seguridad futura de las organizaciones.
¿Qué tipos de ataque? Por ejemplo, los ataques masivos, como los de denegación de servicio, y otros más sofisticados aunque similares que apuntan a procesos legítimos dentro de un sitio web -como el login- pero que por su excesivo número terminan derribando el sitio.
La única forma de protegerse de este tipo de ataques es utilizando el análisis del comportamiento; es decir, creando firmas en tiempo real. Porto señala que mediante este tipo de protección lo primero que se hace es determinar cuál es el tráfico normal de la red, y para ello se utiliza una diversidad de parámetros.
Una vez determinada la normalidad, se puede luego detectar las anomalías en ese tráfico de red y generar la firma para esa anomalía. Se trata pues de un proceso que genera filtros muy granulares pero que permiten bloquear este tipo de tráficos anómalos.
Y de la misma forma el sistema se puede defender contra ataques de denegación de servicios, y por su puesto contra ataques ya conocidos. El resultado es que se puede así limpiar el tráfico en gran medida y lo que resta luego de este filtrado es una porción pequeña y manejable de tráfico que se puede analizar para detectar si se producen fraudes u otro tipo de anomalías conocidas.
¿Son estos los tipos de ataques más frecuentes? Depende, nos contestó Herberger. Depende del tipo de organización que seas. Si eres una organización que maneja tarjetas de crédito, los atacantes se encontrarán interesados en atacar la confidencialidad de tu información. Si eres una empresa que se dedica al wealth management, los atacantes van a encontrarse más interesados en atacar la integridad de los datos. Y si eres una empresa, como las financieras y petroleras, que tienen en contra ciertos grupos ideológicos o políticos, vas a recibir ataques de disponibilidad, es decir, que eviten que sigas con tu actividad normal, señaló el experto.
Por su puesto Herberger sostuvo también que hay instituciones que pueden recibir incluso los tres tipos de ataques combinados, éstas son las empresas muy sofisticadas que guardan información personal o financiera, y que se encuentra en una industria poco querida por la gente. Los gobiernos caen dentro de esta categoría.
El comportamiento
¿Cuál es la clave de la defensa? Como se dijo líneas arriba: el comportamiento. Las actividades en las redes guardan un comportamiento detectable, y es éste el que nos puede dar indicios de que algo extraño pasa.
Para ello, señaló Herberger, hay dos enfoques que se pueden utilizar. Uno de ellos es el estadístico. Las acciones se pueden recolectar de la misma forma en que se recolectan las observaciones en una regresión estadística y conformar con ellas una distribución -recuerde sus nociones de Estadística I- y determinar que todo aquello que no se encuentre dentro o cerca a esa distribución sea considerado comportamiento anómalo.
El otro enfoque se basa en algo bastante simple: si no sucedió antes, es sospechoso. Por ejemplo, si paga siempre su teléfono a través de Internet o la ventanilla del banco y un día decide hacerlo a través de un kiosco, el sistema podría considerar anómalo ese comportamiento y ejecutar las acciones que las políticas determinen para ese caso.
El enfoque de Radware es el estadístico. Herberger señala que esto le permite al sistema, por ejemplo, tratar adecuadamente los picos de uso que podrían considerarse en el otro enfoque como comportamiento anómalo. Si en el sitio web repentinamente muchas personas hace lo usual, el sistema simplemente entiende que se está haciendo más de algo, no algo diferente.
Ya no estamos buscando firmas y si te pones a pensar esto es lo normal, esto es lo que hacemos como personas. Si vemos un anuncio de una persona buscada por crímenes ese es el razonamiento del enfoque de las firmas. Pero si soy un ladrón de tienda y la mayor parte de mis actividades (comportamiento) son extrañas, como sudar o mostrar nerviosismo, entonces estamos usando el enfoque del comportamiento anómalo, sostiene el ejecutivo.
Por su puesto, esto no resta valor al enfoque de las firmas sino que lo complementa. Aún es necesario que ellas existan, pues si con una firma se puede identificar un comportamiento anómalo ya no es necesario que ese comportamiento sea analizado estadísticamente; de forma inmediata es detectado y bloqueado.
Lo que hacen las empresas
Ante estas advertencias las empresas están reaccionando de diversas maneras. Pero ello también depende de la cultura de la firma. De la misma forma en que existen personas que le dan mucha importancia a la seguridad y otras que no, existen empresas que le prestan mucha importancia a la seguridad mientras que otras esperan a ver qué pasa.
Una de las firmas del primer grupo, por ejemplo, es PayPal, de acuerdo a Herberger. Esta empresa no necesitó ningún ejemplo para implementar controles. Ellos sabían que las amenazas existen y querían estar en condiciones de tratar con ellas. Otras compañías no piensan que estas amenazas sean reales y que vayan a llegar rápido, y se convierten en víctimas.
En general, sostuvo el ejecutivo, las empresas más grandes que están orientadas a la seguridad se están moviendo rápidamente hacia el uso del análisis del comportamiento. Pero incluso en aquellas que no tienen esta orientación se puede ver algo que Herberger señala como rearquitectura; es decir, las empresas están pasando de no tener firewalls a tenerlos, de tener firewalls a contar con medidas de detección de intrusos, y de aquí a la prevención de intrusos y filtrados. Se avanza en ocasiones de esta manera.
Otra de las formas en que las empresas se sienten seguras es adhiriéndose a los estándares. De ellos Herberger sostiene que hay dos tipos de estándares, las regulaciones y aquellos que son impuestos por las organizaciones, que en resumen les señalan a las empresas la forma en que deben vivir su vida en seguridad.
Las regulaciones son específicas y son generalmente mínimas. Los gobiernos le dicen a las empresas que tienen que hacer algo y luego señalan los mínimos, es decir, lo que todos deben tener. Ejemplos de estas regulaciones son la Ley Sarbanes- Oxley, y otras similares. De éstas, Herberger sostiene que son fáciles de eludir y muy generales, evolucionan con las amenazas, aunque no son muy específicas.
El segundo grupo son los estándares. Éstos son como las religiones pues se cuenta con un libro o varios libros en donde a uno le dicen cómo tiene que vivir su vida. En seguridad los estándares más conocidos son los ISO, y el ITIL, que son muy grandes y muy voluminosos y describen un mundo perfecto.
Entonces lo que haces es adoptar estos estándares y tratas de vivir de acuerdo a él, como con la Biblia o la Torá. Entonces, si tu estándar es lo suficientemente bueno como para evolucionar con las amenazas, estas bien; pero si tomas un estándar que es rígido, y muy específico, tu modelo se va a romper y vas a tener que migrar hacia otro estándar. Por ejemplo, todo ahora se está moviendo hacia lo móvil y lo virtual, y si tu modelo de estándar es básicamente físico y centralizado no va a funcionar, afirma Herberger.
Soluciones
Obviamente uno de los motivos por los que los ejecutivos de Radware visitaron Lima fue porque deseaban hacer conocidas las soluciones que tienen para lidiar con estos problemas de seguridad.
Nuestro mensaje es que tenemos una solución que se llama DefensePro, que tiene la capacidad de protegerte contra todos estos elementos. Es un equipo que tiene recursos dedicados a cada cosa, tiene procesadores dedicados a la parte de denegación de servicio, procesadores para el análisis de comportamiento, y a las firmas. Otras marcas no tienen esa capacidad; o si las tienen, las tienen, pero en componentes diferentes y modulares, es decir, una caja para cada cosa, señaló Porto.
La seguridad es un tema complejo y, como señalamos en un inicio, ser reactivo no es la mejor política. Ya en países vecinos como Brasil se pueden apreciar diversidad de ataques y atacados, y como dice el dicho si ves las barbas de tu vecino afeitar?
Jose Antonio Trujillo, CIO Perú