Llegamos a ustedes gracias a:



Conversando con...

John Yun, senior product marketing manager de Websense

Las amenazas modernas a la seguridad

[27/09/2011] La seguridad por mucho tiempo ha sido entendida como la protección de enemigos externos que quieren quebrar un perímetro de seguridad. En TI, este concepto dio origen a herramientas como los firewalls que tenían por misión dejar a los intrusos fuera del perímetro de seguridad. Sin embargo, el entorno ha cambiado.
Ahora el usuario, usualmente es eslabón más débil de la seguridad, ya no se encuentra dentro del cómodo espacio interior definido por los límites de un perímetro de seguridad sino que virtualmente ha salida a socializarse y a trabajar fuera de él, generando nuevas oportunidades de inseguridad para las firmas.
Recientemente, nos visitó en Lima John Yun, ejecutivo de la empresa de seguridad Websense, con quien pudimos conversar sobre este nuevo tipo de amenazas que cada vez se está haciendo más común en la actualidad. Junto con él, Adauto de Mello, vicepresidente para América Latina y Caribe de la misma firma, dio algunos puntos de vista sobre el tema.
John Yun, ejecutivo de la empresa de seguridad; junto a Adauto de Mello, vicepresidente para América Latina y Caribe de Websense.
¿Cuál es la principal preocupación que las empresas deberían tener acerca de la seguridad en estos días?
Yun: Creo que la seguridad siempre ha sido un problema para las empresas. Lo que creo que está pasando en la actualidad es que el malware se está haciendo más sofisticado que nunca y, por tanto, es más importante para las empresas educar a sus empleados, así como implementar las más recientes soluciones de seguridad.
La mayoría de las soluciones de seguridad del pasado eran buenas para las amenazas del pasado, pero algunos de los hackers se están haciendo mucho más inteligentes y están recabando mucha información de Facebook, por ejemplo, o del correo electrónico, o del LinkedIn o de otros tipos de recursos existentes, y les da más inteligencia para lanzar un ataque. Para poder enfrentar esto, las empresas tienen que educar a sus empleados sobre qué es bueno hacer y qué no lo es, pero también deben implementar soluciones de seguridad que puedan manejar las amenazas modernas.
Pero estas amenazas modernas parecen personales no corporativas.
Creo que ese es un concepto equivocado. Por ejemplo, si quiero tener acceso a información de tu empresa, la forma de hacerlo es entrando a la red de tu empresa a través de tu cuenta personal. Entonces un ataque apuntaría a cualquier empleado de una empresa, y una vez que obtienen acceso a la red de la compañía pueden acceder a la información del CIO o a la base de datos de la empresa. Entonces el ataque a una persona es en realidad el primer paso para acceder a la información de la empresa. Si lo piensas bien, un mensaje de correo enviado por alguien de dentro de la empresa es más confiable que el de alguien de afuera, y esto se puede usar en el ataque dentro de una empresa.
De Mello: Creo que el principal tema en estos días es entender cuál es el perímetro. Ahora no es fácil entender el perímetro porque tienes información fuera y accedes desde tu casa. Hoy la movilidad se encuentra en auge, entonces es muy complicado encontrar el perímetro. Las redes sociales y la movilidad son nuevas.
¿Por ejemplo, en el caso del phishing quien es el responsable?
Yun: Un usuario típico que recibe un correo ciertamente debe estar al tanto de aquello que se ve real y qué no se ve real. El otro aspecto es que, en muchas ocasiones, cuando estos ataques se producen, el hacker infiltra el banco, de tal forma que, en realidad, secuestra los servidores para que cuando uno vea la URL en el correo que le llega, ésta realmente le lleve al banco.
Así que los usuarios deben tener cuidado pero también sucede que los servidores de los bancos pueden estar comprometidos. Creo que la responsabilidad yace en los dos, en el usuario educado pero también en el banco que tiene que saber que la tendencia actual es que los hackers primero atacan a los bancos y configuran un servidor suyo para que pueda ser usado como parte del ataque. El usuario tiene que estar atento pero también el banco, ya que él es el paso 1 y 2 de los ataques modernos en estos días.
¿Cuáles son las herramientas que tienen para defenderse contra estos ataques?
Una de las principales es la clasificación dinámica en tiempo real en el sitio web. Un buen ejemplo se da cuando un día realizas una transacción con un banco y todo sale bien, fue segura. Digamos que un hacker entra a la media noche de ese día al servidor, entonces necesitas algo que te diga que esa máquina al día siguiente ya no es confiable, aunque el día anterior sí lo era. Si observas bien el viejo filtrado estático de URL solo te diría que ese es el sitio de un banco, que lo es hoy y que lo era ayer; pero lo que necesitas, en realidad, es algo en tiempo real que te diga hoy ese sitio se encuentra comprometido y que no es confiable.
Y la otra cosa es que cuando descargas una página hay mucha información en esa página. No solo etiquetas HTML, sino también Java, flash, y ejecutables, y no hay forma de que el usuario sepa cuáles tienen una relación confiable con la página. Por ello, tenemos que escanear la página en tiempo real, aun cuando el servidor se encuentre bien, y detectar si tiene algún elemento malicioso incorporado -código flash o algún otro código- que pueda ir a tu maquina e infectarla. Podemos identificar esos elementos y evitar que se descarguen en tu computadora; esto es el escaneo de seguridad en tiempo real.
El otro aspecto son los datos. Muchos de los ataques se encuentran dirigidos a robar datos del usuario, nosotros podemos escanear esa información y determinar cuáles datos son sensibles de tal manera que no dejemos que salgan de la máquina.
Así lo que tenemos es una seguridad web en combinación con una seguridad de los datos.
¿Observan el comportamiento del usuario para determinar si es él realmente?
Si, en realidad puedes especificar diferentes tipos de políticas. Digamos que es un empleado valioso en la empresa y envía información a través de un troyano que ha descargado. Uno puede ver cuánta información ha enviado fuera.
Puede enviar un correo electrónico con su número de tarjeta de crédito pero un troyano puede enviar cientos de números. Entonces, uno puede darse cuenta a través de estos comportamientos lo que constituye un comportamiento normal y lo que constituye el comportamiento de un troyano o un comportamiento malicioso de parte del propio empleado.
¿Qué tipo de organizaciones usan este tipo de herramientas?
Creo que las más grandes industrias que utilizan estas herramientas son las financieras. Pero en realidad puedes verlas en todas las industrias, ya que ahora todos los tipos de industrias tienen información personal de los usuarios.
Jose Antonio Trujillo, CIO Perú