Llegamos a ustedes gracias a:



Noticias

En ocasiones, la mejor defensa es la más simple

[28/04/2011]  Si las compañías han habilitado una medida de seguridad conocida como data-execution protection en los sistemas Windows, podrían ser inmunes a 14 de los 19 ataques basados en vulnerabilidades de corrupción de memoria.

Ese es uno de los puntos que hizo que el consultor en seguridad Daniel Guido de iSec Partners recomendara que los defensores corporativos se concentraran en las vulnerabilidades explotadas por los actuales ataques, más que intentar darle a todas las vulnerabilidades una ponderación similar. Durante una presentación en la conferencia SOURCE Boston de la semana pasada, Guido señaló que existen aproximadamente ocho mil vulnerabilidades que se encuentran todos los años, pero solo 27 de ellas fueron masivamente explotadas por el software malicioso en el 2009 y en el 2010.
Eso se debe a que, de forma similar a los defensores, a los atacantes les gusta ser eficientes y no tienen tiempo ilimitado, señala Guido.
Los atacantes son mejores en algunas cosas que en otras; ellos tienen capacidades que ejercen y prefieren ciertas tácticas, prefieren ciertas técnicas, señala. Si podemos informar a nuestros defensores que se concentren en esas capacidades, esas tácticas, y esas técnicas, entonces podemos hacer defensas más efectivas que solo ir de arriba abajo parchando vulnerabilidades desde la cero hasta la ocho mil todos los años.
Guido analizó los kits de explotación y software malicioso más populares y encontró que los atacantes cada vez usan más técnicas de explotación que primero aparecieron en ataques dirigidos. Las vulnerabilidades de corrupción de memoria explicaron 19 de las vulnerabilidades explotadas por tales kits, mientras que 11 de los 15 paquetes de explotación también apuntaron a las fallas de Java.
La lección, señala Guido, es concentrarse en contramedidas que frustren estos ataques, más que concentrarse en el compliance y en el parchado de cada vulnerabilidad. De hecho, todas las vulnerabilidades de corrupción de memoria se encontraban en cinco objetivos: Internet Explorer, Firefox, Java, Flash y Acrobat Reader. Habilitar la data-execution protection (DEP) -una tecnología que evita que los atacantes escriban código para memoria y luego lo ejecuten- en esas aplicaciones puede evitar que la mayoría de las fallas sean explotadas.
Todos han dicho que uno debe aplicar la DEP porque es algo bueno, pero este no es un argumento contundente, señala. Pero ahora que sabemos que es lo que obtenemos de esto puedo tomar este argumento y usarlo para conversar con la alta gerencia.
Por supuesto, la DEP y otras protecciones pueden ser burladas, pero los atacantes que se encuentran concentrados en compromisos masivos no están intentando burlar las contramedidas, afirmó el ejecutivo.
Al final, las compañías deberían usar la inteligencia sobre los atacantes, ya sea a través de su propio análisis de las herramientas de ataque o a través de un proveedor de servicios de seguridad, para determinar su foco de defensa, señala. Se deben aumentar los esfuerzos para incrementar la seguridad general de la empresa y deben ser parte de una estrategia de defensa en profundidad, no un reemplazo, sostiene.
No estoy diciendo que se consigan un par de vacunas y luego se laven las manos, señala Guido. Uno debe parchar las vulnerabilidades que se encuentran, pero hay formas de hacerlo de manera más efectiva, para reordenar las prioridades, para buscar diferentes tipos de mitigación en ausencia del parche… porque puede haber formas más sencillas de tratar con aquello que nos causa dificultades.
Robert Lemos, CSO (US)