Llegamos a ustedes gracias a:



Reportajes y análisis

Las última herramienta de seguridad: Whitelistings o Listas blancas

 

[05/08/2011] Los ataques como el phishing, los troyanos y otros están creciendo en número y sofisticación día a día. No se puede negar ese hecho después que RSA, Sony, Lockheed y Citicorp fueran avergonzados por violaciones este año.

Y son solo la punta del iceberg. En un nuevo estudio del Instituto Ponemon, un 90% de 581 profesionales de la seguridad empresarial en los Estados Unidos y Europa han experimentado al menos una sola brecha en el último año, y un 56% experimentó dos o más.

¿La buena noticia? Los presupuestos de seguridad aumentaron del 7% del gasto en TI a un 14% entre el 2007 y el 2010, según un hallazgo de ABI Research.

Este enfoque se denomina lista blanca de aplicaciones. Las listas blancas o whitelistings no solo representan un nuevo elemento para su caja de herramientas de seguridad, sino una manera diferente de pensar sobre la seguridad en conjunto, de acuerdo con Thorsten Behrens, arquitecto de infraestructura de seguridad del proveedor de servicios TI Carousel Industries.

Nueva forma de pensar en seguridad
Las herramientas como el software antivirus o antispam utilizan listas negras para protegerse contra las intrusiones. Usted les dice que programas o usuarios no quiere que entren, y las herramientas los mantienen fuera.

Pero la lista negra significa que tiene que saber quiénes son los malos, y los instrumentos requieren actualizaciones frecuentes. Incluso entonces, hay una brecha entre el momento en que un parche es utilizado y cuando es instalado, por no hablar de los ataques de día cero que van tras agujeros en los que no se ha publicado ningún parche.

Las listas blancas adoptan el enfoque contrario. Solo permiten la ejecución de código pre aprobado, negando automáticamente la entrada a cualquier archivo ejecutable que no esté en la base de datos de la lista blanca. Ya que funciona a nivel ejecutable, no responde a un archivo ejecutable desconocido. Eso significa que hace inofensivos a todos los virus, troyanos y spyware que se basan en los usuarios que inadvertidamente activan ejecutables para hacer su trabajo sucio.
Las listas blancas crecenLas listas blancas no son un concepto nuevo. Sus variaciones han sido utilizadas en la provisión de LAN y en los ISP para el filtrado de spam de correo electrónico. Para las TI, sin embargo, la necesidad de más protección crece día a día. Eso es porque el volumen de código malicioso en el mundo superó el volumen de código legítimo hace unos años.

Sin embargo, la tasa de adopción de TI ha sido más lenta de lo esperado, en gran parte debido a que los usuarios temen que al añadir listas blancas van a obstaculizar su trabajo diario. Un programa de lista blanca podría negarse a abrir un archivo desde una aplicación diferente, por ejemplo, obligando a que el usuario pida una aprobación, haciéndole perder tiempo. O puede afectar a numerosos usuarios si la actualización de un proveedor de software no ha entrado en la base de datos de lista blanca con la suficiente rapidez.
Estas pueden haber sido las quejas válidas con los primeros productos, pero los vendedores de hoy han hecho grandes progresos en quitarle las molestias a las listas blancas. Por lo general, le dan la capacidad de poner automáticamente en la lista blanca los archivos actualizados de proveedores de confianza, y de establecer las bases de la lista blanca de PC que sean compatibles con estándares como PCI. Y le dan una mayor granularidad y flexibilidad en la asignación de accesos a grupos de usuarios.

"Digamos que una empresa que es compatible con PCI tiene ciertas aplicaciones de procesamiento de pagos", señala Behrens. "Si ellos están basados ??en la web, deberían poner en la lista blanca al navegador, lo que necesitan para el correo electrónico, la aplicación de procesamiento de pagos, y el sistema operativo de la PC".
Por otro lado, un grupo de usuarios de confianza tendría acceso de más amplio alcance, incluyendo la capacidad de aprobar sus propias aplicaciones. "Soy un usuario de confianza", señala Behrens,"tengo que instalar cosas todo el tiempo, así que tengo que ser capaz de auto-aprobar una solicitud con el fin de hacer mi trabajo".

Por lo tanto, TI podría darle a él, un usuario de confianza, la capacidad de colocar una nueva aplicación en la lista blanca, ya sea para sí o para su grupo. Sin embargo, su acción también estaría sujeta a la aprobación de la consola de administración.
Obteniendo compras
Dejando los nuevos productos y las características de un lado, las listas blancas todavía pueden ser difíciles de vender a los usuarios que instintivamente se muestran reacios a añadir más controles de seguridad. La lista blanca puede ser buena para usted y su negocio, pero ¿es bueno para ellos? Esa es la primera pregunta que deberá contestar, mucho antes de cualquier implementación. De hecho, es una de varias prácticas recomendadas que debe considerar en la preparación de listas blancas:
Sea proactivo con los usuarios: No espere que aplaudan la nueva tecnología solo porque es nueva; en cambio, explique de qué se trata, cómo funciona y por qué les está pidiendo que la usen. Deje que se enorgullezcan de ayudarle a proteger su propiedad intelectual y otros datos críticos, ya que, después de todo, el éxito de la empresa se traduce directamente en salarios y bonos.

Evalúe y prepare su infraestructura de soporte de TI: Lo mejor de TI está en la actualización del software del usuario, manejo de llamadas al help desk y mantener los estándares de software y hardware, haciendo más probable que una implementación de listas blancas salgan bien. También, esté preparado para un alza temporal en llamadas de asistencia -que es inevitable con cualquier nueva implementación.

Desarrolle un plan de implementación: Si quiere hacer una implementación de ejemplo para comenzar, seleccione un grupo que trata datos sensibles: como HIPAA para una compañía de atención médica, o de planos y de propiedad intelectual de un fabricante. Pise con cuidado usando el modo de auditoría del software en lugar de su modo de aplicación para marcar las desviaciones en la política. Con el modo de auditoría, las diferencias se informan a TI, mientras que en el modo de aplicación, simplemente se cierra la solicitud. Hay empresas que ejecutan lista blanca en el modo de auditoría sin tener que recurrir a la ejecución.
Usted debe usar listas blancas para ampliar su infraestructura existente de seguridad, no para sustituir cualquiera de sus componentes. Ahora más que nunca, las empresas necesitan toda la ayuda que puedan conseguir, y para un experto como Behrens, eso significa una defensa de la estrategia profunda de seguridad.

Dicho plan incluye anti virus y detección de spam en la parte delantera, y funciones como detección de intrusión, detección de anomalías y correlación de registros en la parte de atrás. Significa tener un plan de reacción ante el incumplimiento por lo que no tiene que reaccionar bajo un estrés extremo a un ataque. Y requiere una capacitación regular y comprensiva del usuario para que los empleados puedan aceptar el hecho de que no poder jugar Angry Birds es un precio pequeño a pagar por un ambiente de trabajo estable y exitoso.
Jim Buchanan, CIO.com