Llegamos a ustedes gracias a:



Conversando con...

Grand Asplund, evangelista tecnológico senior de Blue Coat Systems

El día negativo de Blue Coat

[03/04/2012] Sin duda, nos encontramos en tiempos de gran amenaza para la seguridad. Las noticias de ataques se multiplican y los delincuentes cibernéticos prueban sus destrezas golpeando incluso a las empresas que deben darnos protección. Frente a esta oleada de agresiones no queda sino replantear los paradigmas de la defensa y proponer nuevos enfoques para ella.
Eso es precisamente lo que ha hecho Blue Coat al introducir el concepto de día negativo dentro de sus herramientas de defensa. Obviamente, la firma no se refiere a las desventuras que una empresa pueda pasar en un día en particular sino, más bien, a una fecha anterior al día cero, el cual generalmente es el punto de partida para todo un enfoque de defensa contra ataques informáticos.
Como se puede intuir, el día negativo implica adelantarse al ataque, detenerlo antes que se produzca y mantener a sus operadores a raya. Grand Asplund, evangelista tecnológico senior de Blue Coat Systems, visitó Lima hace unos días y expuso este concepto como parte de la oferta de seguridad de su firma. Por su puesto, primero nos ofreció una mirada al estado actual de la seguridad.
Entorno complicado
De acuerdo al Informe de Seguridad Web de Blue Coat de este año, los sitios web con contenido malicioso se han incrementado en 240%. Esto significa que ahora una empresa promedio se enfrenta a cinco mil amenazas por mes, provenientes por lo general de las llamadas malnets.
Las malnets son infraestructuras de redes distribuidas en Internet que construyen, administran y mantienen los delincuentes cibernéticos con el fin de lanzar una diversidad de ataques contra usuarios desprevenidos durante largos periodos de tiempo.
Los principales puntos de entrada que tienen las malnets para ingresar al sistema del usuario son los motores de búsqueda y portales (40,17%), seguido del correo electrónico (11,62%), las redes sociales (6,48%) y los sitios pornográficos (4,40%). El resto de puntos no tiene una clasificación específica o tienen una participación muy reducida.
Específicamente hablando de los motores de búsqueda y los portales, Asplund sostuvo que una de cada 142 búsquedas conduce a un enlace malicioso. Esto implica que se ha producido un envenenamiento de los motores de búsqueda, y que se requiere de un análisis en tiempo real de los resultados de búsquedas para identificar los enlaces maliciosos.
En el caso del correo electrónico, se ha registrado un incremento de 68% en los ataques realizados por esta vía, siendo la forma más usada el llamado correo no deseado. Ante ello, Asplund sostiene que su facilidad de explotación convierte al webmail en un vector de amenaza importante que requiere de una defensa en capas para brindar protección contra ejecutables maliciosos.
Finalmente, en las redes sociales se ha percibido que uno de cada 16 ataques proviene de estos sitios. Aquí la amenaza más frecuente es que el agresor se hace pasar por un amigo para cometer el ataque. Contra ello se requieren de controles granulares de aplicaciones y operaciones para manejar y mitigar los riesgos de manera eficaz.
Además, Asplund sostuvo que los dispositivos móviles representan también un nuevo campo de atención para la seguridad. Se estima que para el 2014 haya mil millones de usuarios de redes sociales desde dispositivos móviles. Ante este panorama el ejecutivo recomienda implementar una solución de seguridad basada en la nube, para extender el control más allá de la red corporativa y proteger todos los dispositivos y usuarios en todas partes.
Desafíos
Este nuevo entorno configura nuevos desafíos de seguridad para el departamento de TI de las organizaciones, y lo hace en cuatro campos específicos.
En el terreno de los dispositivos se puede apreciar que se está pasando de un escenario en donde los dispositivos eran propiedad de la empresa, a otro en donde son propiedad de los usuarios. De igual manera, en el caso de las aplicaciones, antes éstas eran dictaminadas por TI, pero ahora son los usuarios las que exigen cierto tipo de ellas para realizar su trabajo.
En cuanto a las redes, antes se buscaba contar con un perímetro seguro pero ahora se habla más bien de un perímetro ampliado. Y el acceso que antes se realizaba exclusivamente desde la oficina, ahora se logra desde cualquier lugar. Uno siempre se encuentra conectado.
Todos estos cambios, en conjunto, han provocado un cambio general en el paradigma de la seguridad. Si antes se buscaba dar protección a la red, ahora lo que se intenta es proteger al usuario.
Esto, desde la perspectiva de Blue Coat, se logra mediante su Solución Web de Seguridad Unificada, la cual ofrece defensa global contra amenazas, políticas universales e informes unificados.
Y es en la defensa global contra amenazas que encontramos la defensa de día negativo. Para que ella funcione, la firma cuenta con una herramienta denominada Web Pulse que es una solución de defensa colaborativa que la proporciona la información sobre amenazas a nivel mundial.
Web Pulse cuenta con 75 millones de usuarios que proporcionan un ecosistema de inteligencia a través de los mil millones de solicitudes de información que genera. Con esta herramienta, Blue Coat sostiene que llega a bloquear 3,3 millones de amenazas de malware, phishing e intentos de llamar a casa, diariamente.
Con esta información se conforma un mapeo de malnets que luego es utilizado en la defensa del día negativo.
En este tipo de defensa se puede identificar cuándo se genera una subred, dirección IP y nombre de host que podrían llevar a cabo un ataque; es decir, se identifica el momento en el que recién se está conformando la infraestructura necesaria para llevar a cabo el ataque. Días después de la generación de la subred se genera un servidor de explotación el cual se activa el día cero -cuando se inicia el ataque.
Asplund señala que otras soluciones comienzan a trabajar en este momento, cuando ya se inició el ataque, mientras que la suya ya desde la conformación de la infraestructura del ataque comenzó a identificarla y bloquearla preventivamente. Cuando llega el día cero la solución de Blue Coat, sostiene el ejecutivo, ya tiene bloqueada la infraestructura agresora.
Es más, ya que tiene plenamente identificada la infraestructura el atacante puede cambiar de nombre al host pero su infraestructura seguirá igualmente bloqueada.
Este componente, junto con las Políticas Universales y el Reporte Unificado ya se encuentran disponibles para las empresas, aunque los precios y condiciones de uso de las mismas se establecen con los clientes. No se proporcionó información sobre estos puntos.
Jose Antonio Trujillo, CIO Perú