Llegamos a ustedes gracias a:



Reportajes y análisis

Conviviendo con el malware

[18/07/2011] ¿Cómo puede estar seguro de que su organización no tiene virus insidiosos u otro tipo de malware que acechan dentro de los sistemas y aplicaciones, a la espera de infligir daño? No se puede.

El malware se ha sofisticado hasta tal punto que no hay garantía de que en realidad se haya ido, incluso cuando se ha aplicado la última versión del software antivirus. Para empeorar las cosas, las infraestructuras de TI se está tornando mucho más compleja, con una población cada vez mayor de dispositivos que proporcionan muchos más puntos de entrada de malware.
En estos días hay que asumir que hay algunas computadoras u otros dispositivos infectados en la red corporativa. Acostúmbrese a esto: el malware está en todas partes a las que vaya.
El problema del malware es cada vez peor. De acuerdo con el estudio de riesgo de los endpoint, Endpoint Risk Study 2011 de Ponemon Institute, 43% de los 782 profesionales de seguridad TI encuestados reportaron un "repunte dramático" del malware en el 2010. El 98% de las organizaciones encuestadas por Ponemon experimentaron una intrusión de virus o malware en sus redes, y el 35% dijo que había sufrido 50 intentos de malware en un lapso de tan solo un mes; o más de una intrusión por día.
"El lote actual de malware que estamos viendo es muy sofisticado y bien escrito, y se esconde bien y evita bien la detección", señala Fred Rica, director en la práctica de información y asesoría de seguridad en la consultora PricewaterhouseCoopers.
La buena noticia es que este escenario de "vivir con el malware" no tiene por qué conducir a la pérdida de datos, los sistemas disponibles, u otros problemas. Las empresas pueden y deben funcionar, a pesar de estas intrusiones.
He aquí algunos enfoques que pueden ayudar a minimizar el efecto del malware en la red y en sus sistemas para que su empresa pueda seguir con sus negocios a pesar de la presencia molesta de estos problemáticos programas.
Consejo de supervivencia ante el malware N º 1: Practique una buena gobernabilidad de datos
Puede ayudar a minimizar los daños causados por el malware protegiendo de una manera más eficaz a los tipos específicos de datos que buscan muchos de los programas maliciosos, como primera acción. En muchos casos, están tratando de explotar los datos sensibles como información personal, secretos comerciales, los resultados de investigación y desarrollo, y otra propiedad intelectual, señala Rica.
PricewaterhouseCoopers está trabajando con muchos de sus clientes para crear un modelo fuerte de gobernabilidad de datos que ayuda a las organizaciones a comprender mejor cuáles son sus datos más importantes, dónde se almacenan, cómo se mueven en las redes corporativas, y cómo pueden poner los controles adecuados en el lugar correcto, para maximizar la seguridad de esa información.
Una auditoría de los activos de información en muchas empresas muestran como los datos sensibles -como números de tarjetas de crédito de los clientes- están en principio bien guardados, señala Rica. Pero, finalmente, termina en aplicaciones menos protegidas como hojas de cálculo o correos electrónicos, donde están más susceptibles al malware.
"Hemos visto clientes perder decenas de millones de tarjetas de crédito o números de Seguro Social porque estaban en hojas de cálculo, en algún lugar fuera del sistema de recursos humanos", añade Costa. "Nuestro enfoque consiste en utilizar mejor los modelos de gobernabilidad de datos a fin de que estos datos tengan los mismos controles de seguridad, independientemente de dónde se encuentren. Asegúrese de que los datos están protegidos en todas las etapas de su ciclo de vida".
Debido a que todos los datos no son iguales, una parte clave de la gobernabilidad de datos consiste en clasificar la información para que pueda identificar qué datos son los más críticos para la empresa y sus clientes. A partir de ahí, se pueden aplicar controles de acceso más estrictos.
"Empiece por separar la infraestructura sobre la base de lo que son sus joyas de la corona frente a lo que es joyería de fantasía", señala Patricia Titus, directora de seguridad de la información en el proveedor de servicios de tecnología Unisys. Titus agrega que Unisys utiliza pautas creadas por el Instituto Nacional de Estándares y Tecnología (NIST), diseñadas para ayudar a que las organizaciones caractericen la importancia de sus datos y seleccionen los controles de seguridad adecuados.
Consejo de supervivencia ante el malware N º 2: Implemente tecnologías y tácticas que puedan ayudar a evitar la propagación del malware
Aun cuando algunos de sus sistemas estén infectados con un virus hasta el punto donde nada parece eliminarlo por completo, eso no significa que el virus tenga que extenderse a otros sistemas de la organización.
Cuando se descubre o sospecha de un virus, apague los sistemas infectados tan pronto como sea posible, para reducir la probabilidad de que el malware se propague o comprometa otros sistemas. A continuación, vuelva a aplicar una imagen conocida y limpia, señala Andy Hayter, director del programa antimalcode en ICSA Labs, una empresa de pruebas y certificación.
Poner una defensa por capas, que incluye tecnologías tales como firewalls, antispam, prevención de intrusiones, sistemas de detección de intrusos y antivirus -además de mantener los sistemas al día con los últimos parches- debería ayudar a prevenir que el malware infecte a toda la organización, señala Hayter.
"Controle las puertas de entrada entre los segmentos de la red y aplique una mayor vigilancia y control sobre las redes internas", añade Richard Zuleg, consultor de seguridad en SystemExperts, una firma de consultoría.
Encripte el tráfico y los datos siempre que sea posible, informa Zuleg, y utilice tecnologías como la virtualización de servidores y de escritorio, tanto para restituir rápidamente los sistemas o resetearlos para limpiar las imágenes y para separar los datos del sistema.
"Las empresas tienen que estar controlando qué tiene privilegios avanzados en los sistemas y un control estricto de acceso a los datos", señala Zuleg. "Si las PC infectadas se convertirán en una parte aceptada de un segmento de red, entonces no tendrá confianza en ese segmento y lo considerará como la Internet pública."
Las nuevas herramientas de análisis de redes emergerán pronto para permitirle identificar mejor donde está el malware que existe en la red y cuál es la mejor forma de contener el virus, señala Marc Seybold, director de información de la Universidad Estatal de Nueva York en Old Westbury. Cuando esa tecnología esté disponible, "si los dispositivos que utiliza Jane Smith para acceder a la red están tratando constantemente de transmitir datos anómalamente a dominios que están fuera, en comparación con el resto del tráfico o patrones en la red, entonces la atención adicional se centrará en los dispositivos de ese usuario y se adoptarán las medidas correctivas", señala. Entre las empresas que trabajan con esta tecnología están Alcatel-Lucent, Riverbed y SonicWall.
Al mismo tiempo, añade Seybold, los flujos de tráfico de la red comenzarán a ser más compartimentadas y aisladas unas de otras, a medida que el control de acceso a la red y la gestión basada en políticas se combinen con la aplicación de monitoreo de flujo. "A medida que estén conectados, el análisis completo del comportamiento basado en el flujo de la aplicación de extremo a extremo vinculado a determinados usuarios será posible", señala. Eventualmente puede haber análisis predictivo que podría interceptar preventivamente las transmisiones de malware basado en el comportamiento pasado del usuario", pero eso todavía es ciencia ficción", dice.
Consejo de supervivencia ante el malware Nº 3: Diversifique su infraestructura de TI para reducir la dependencia de uno o dos sistemas operativos o navegadores
Alejarse de la monocultura de Windows podría tener sentido -pues puede ser más rápido y fácil de atacar- y traer otros sistemas operativos y dispositivos, de tal modo que usted está seguro de que una infección de malware no puede acabar con todos en la organización. Tal vez algunas personas que se ocupan de los sistemas o datos críticos pueden utilizar una PC Linux o una Mac OS X PC de forma que no es tan probable que sea afectada por un virus dirigido específicamente a una vulnerabilidad común de Windows.
En este sentido, considere evitar la monocultura del navegador, ya que una gran cantidad de malware actual invade los sistemas a través del navegador. Evalúe los navegadores como Internet Explorer, Firefox, Chrome, Safari y Opera para ver cuál se adapta a sus aplicaciones empresariales y a su base de usuarios.
"La diversidad es siempre buena para evitar que toda su infraestructura se venga abajo", señala B. Clifford Neuman, director del centro de seguridad para los sistemas informáticos de la universidad del sur de California. "Pero existe la otra cara de esta estrategia, en la que se le da a un intruso muchas opciones diferentes del sistema atacado para conseguir un punto de apoyo dentro de su organización". Posiblemente limite la infección teniendo puntos de entrada más susceptibles a una infección.
Por supuesto, cada vez que hace un movimiento para cambiar los sistemas operativos, puede encontrar resistencia de algunos sectores. Tony Hildesheim, vicepresidente senior de TIU en la firma de servicios financieros Redwood Credit Union, dice que su compañía está estudiando la utilización de alternativas a sistemas operativos, navegadores, y algunas aplicaciones de negocios. Sin embargo, "ninguna de estas opciones parecen ser del todo populares entre las unidades de negocio", señala.
La diversidad tecnológica no siempre es una defensa eficaz por sí misma. Hayter de ICSA Labs señala que las infecciones de malware no se limitan a los entornos de PC de escritorio. "Hay muchos temas serios de malware que pueden infectar a otros sistemas operativos y dispositivos, ya sean de escritorio o móviles", comenta. "Además, el malware puede cruzar las plataformas de un sistema operativo o dispositivo a otro, requiriendo un plan de defensa en capas".
Consejo de supervivencia ante el malware N º 4: Sea sensato sobre el uso de dispositivos de consumo en el lugar de trabajo
Si cree en que se debe permitir que todos tengan acceso a los datos y desde todo tipo imaginable de dispositivos, puede ser que sea hora de reconsiderar su estrategia de gestión de datos y de acceso. Limite el acceso de red a través de dispositivos móviles para los usuarios que realmente necesitan este acceso, y ponga en práctica controles para que los que pueden entrar a la red solo puedan llegar hasta ciertas partes de la misma.
Los dispositivos portátiles personales, como las tablets, laptops, y smartphones con conexión inalámbrica a Internet, son cada vez más populares en el lugar de trabajo, y los usuarios quieren estar conectados a la red corporativa.
Pero el uso de diligencia a la hora de conceder el acceso -teniendo en cuenta que estos dispositivos podrían ser fuentes de malware- tiene sentido. "Lo que he notado es que cuando los dispositivos alcanzan cierto umbral de aceptación del consumidor, aparece el malware para esas plataformas", señala Seybold de SUNY Old Westbury. "Por ejemplo los últimos ataques a iPhone y Android".
Según el estudio de Ponemon, el aumento de trabajadores móviles y remotos, las vulnerabilidades de la PC, y la introducción de aplicaciones de terceros a la red, son las áreas de mayor riesgo de seguridad de endpoint en la actualidad. Esto representa un cambio en comparación con la encuesta del año pasado, cuando los problemas de seguridad del endpoint se centraron principalmente en medios extraíbles y los riesgos del centro de datos.
Incluso sin las tendencias "traiga su propio dispositivo" y "use de sus propias aplicaciones", TI podría reducir la capacidad de propagación del malware al repensar cómo es que muchas aplicaciones se despliegan para los usuarios. "Al mirar a nuestro personal de primera línea, no hay ninguna razón para que necesiten todas las herramientas de carga en todos los sistemas", señala Hildesheim de Redwood Credit Union.
Un informe publicado en abril del 2011 por PandaLabs, el laboratorio antimalware de Panda Security, demostró que en los tres primeros meses del año se han visto "intensa actividad de virus", incluyendo un gran ataque contra los smartphones Android y el uso intensivo de Facebook para distribuir malware.
A principios de marzo se dio el mayor ataque jamás visto a Android, según reportó el informe de PandaLabs. El asalto se inició a partir de aplicaciones maliciosas en Android Market, el Google App Store oficial para el sistema operativo móvil. En solo cuatro días, estas aplicaciones troyanas acumularon más de 50 mil descargas: "El troyano en este caso era muy sofisticado, no solo robó información personal de los teléfonos móviles, sino que también descargó e instaló aplicaciones de otros sin el conocimiento del usuario".
Consejo de supervivencia ante el malware N º 5: Construya una base sólida de seguridad para proteger a la organización, en lugar de proteger a los dispositivos
Claro, se necesita un software antimalware en las computadoras y otros dispositivos para ayudar a prevenir infecciones. Pero para crear un ambiente donde su empresa pueda seguir funcionando sin problemas relacionados con el malware, incluso con la existencia de malware en algunos sistemas, tiene que implementar una arquitectura segura del sistema en lugar de una arquitectura de seguridad para un sistema, señala Neuman de USC.
"Hay que determinar cuestiones como la ubicación de los datos con una comprensión de la aplicación y los riesgos de compromiso de los datos, en lugar de atornillar las soluciones de seguridad en un sistema existente", señala Neuman. "La buena arquitectura se define en varios dominios de protección, con sucesivas capas de protección desplegadas y menos usuarios con acceso legítimo a los datos, a medida que se vuelven más sensibles".
En este sentido, el fabricante de procesadores, Intel, se ha embarcado en un ambicioso esfuerzo de varios años para rediseñar su arquitectura de seguridad de la información, que según la empresa le permitirá tener un mejor día con la rápida evolución de malware.
"Creemos que el compromiso es inevitable, y con el fin de gestionar el riesgo, es necesario mejorar la supervivencia y aumentar nuestra flexibilidad", señala Malcolm Harkins, vicepresidente del grupo de TI y director de información de seguridad de Intel.
El nuevo diseño se basa en cuatro pilares:
*Una "evaluación de confiabilidad dinámica" que ajusta los privilegios de los usuarios a medida que cambia su nivel de riesgo
*Una segmentación del entorno de TI en múltiples "zonas de confianza"
*Un reequilibrio de los controles de prevención, detección y respuesta.
*Un claro reconocimiento de que los usuarios y los datos deben ser tratados como perímetros de seguridad y ser protegidos como tales.
Vivir con una infección es un hecho de la vida
El malware es un fenómeno generalizado y se está volviendo cada vez más sofisticado. Para muchas organizaciones, que viven con virus, gusanos y otros tipos de malware, se está convirtiendo en una realidad de la vida. En cierto sentido, la tecnología informática está alcanzando a la realidad que los sistemas biológicos han tenido que gestionar desde hace mucho tiempo.
Como señala Harkins de Intel: "Yo siempre asumo que hay un cierto nivel de compromiso, y las organizaciones que piensan que están libres de malware-o que lo estarán-. No están entendiendo adecuadamente la verdadera naturaleza de los riesgos de la información".
Eso no significa que sus sistemas y aplicaciones no puedan seguir funcionando bien y dando soporte a la empresa. Al tomar las medidas adecuadas, su organización puede operar un sano ambiente de TI en general, a pesar de las intrusiones de malware.
Bob Violino, InfoWorld (US)