REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Sistemas de detección, los siguientes pasos

En nuestro artículo anterior, se abordó cómo, los sistemas de detección de intrusos (IDS), los de prevención (IPS o IDP) los correlacionadores de eventos, entre otros, permiten a los administradores de red y a los encargados del monitoreo de la actividad de tráfico tener un panorama general y poder establecer el estado de su infraestructura en relación con la posible actividad maliciosa dentro de ella.

Durante los últimos años, las características de estos sistemas han ido evolucionando, adaptándose a las necesidades de la industria y, sobre todo, siguiendo las tendencias y patrones de las amenazas existentes que atentan en contra de la seguridad de la información.

Imagínese el panorama de hace algunos años. Una organización con una infraestructura de mediano tamaño, pero con un diseño un tanto complejo, es usada por  contadores, abogados, secretarias, líderes de proyecto, investigadoras, analistas de negocios, etc. Ellos realizan sus actividades diarias y no necesariamente consideran las medidas de seguridad relacionadas a su equipo de cómputo. Para ellos, el uso de dispositivos móviles de almacenamiento, el acceso a sitios web que ofrecen descarga de contenido multimedia o los “inofensivos y útiles” programas para compartir archivos de música, representan una parte de las actividades en sus computadoras.

Al dar el medio día, hora pico en el uso de la red de la organización, se percibe un comportamiento anormal en la velocidad de transmisión de la red, traducido en una evidente incapacidad para continuar con sus actividades de enviar correos electrónicos, descargar alguna imagen de Internet para una presentación, llevar a cabo la junta por videoconferencia que se tenía agendada con la casa matriz y, en algunos casos, algunas cámaras de vigilancia han quedado con una imagen congelada porque no pueden sincronizarse con el servidor correspondiente. Se presiente un caos y empiezan a sonar los teléfonos del departamento de soporte técnico y de operación de TI. Los usuarios en realidad suponen que el problema es ocasionado por una falla en los sistemas debido a alguna mala configuración, administración o un simple descuido.

Del otro lado, en el cuarto del soporte técnico, los sistemas se ven saturados, la actividad entre los equipos internos con algunos servidores externos es inusual y existe demasiada transferencia de información. La solución temporal pero más inmediata, como en muchos casos, es limitar o desconectar el acceso a Internet para analizar dónde está el problema.

Después de algunos minutos, los administradores de la red se dan cuenta de que existen decenas de equipos que intentan enviar peticiones de conexión a un servidor externo a la organización y esto ha ocasionado que se inunde el medio de transmisión por donde tienen acceso la mayoría de los equipos en la red. ¡Voilá!, se ha identificado el problema. La propagación de un bot, malware que hace que un equipo sea parte de una botnet, ha ocasionado que se infecten equipos de la organización, es decir, el problema estaba dentro de casa, ya que seguramente la infección pudo llegar desde una USB o mediante un archivo infectado, pero el ataque fue generado desde el interior.

En este panorama, muchas veces el usuario cree que es inocente, pero en realidad, por una falta de conocimiento y cultura de seguridad informática, son el eslabón más débil y participan  directa e indirectamente en los problemas de la red de la organización, apoyados con la falta de una adecuada administración de la seguridad.

En este ejemplo se pueden analizar varios aspectos.

1)      Los problemas causados durante el incidente, ¿en realidad sólo fue una interrupción en el servicio? La información es el activo más importante de las organizaciones y el acceso no autorizado a ella por parte de terceros podría implicar un compromiso serio a la integridad de la propia organización.

2)      Tener la capacidad de saber dónde se generó el ataque, o dónde fue el punto de entrada a la red por parte de la entidad maliciosa, son aspectos que un sistema de detección de intrusos común, con las características de hace algunos años, podía indicar al administrador, sin embargo, actualmente esto no es suficiente; se necesitan mejores características. La llegada de sistemas de prevención de intrusos que cuentan con una correcta administración y configuración, no solo alertarán de una posible actividad maliciosa, sino que actuarán automáticamente para poder mitigar con un tiempo de respuesta adecuado a toda la actividad maliciosa identificada.

Muchas nuevas tecnologías en los sistemas de detección y prevención están siendo implementadas. Entre ellas se encuentran aspectos como inteligencia artificial, detección de anomalías, mejoras en firmas de identificación de patrones maliciosos, etc. Todas estas nuevas características se están complementando con el desarrollo de nuevas herramientas como los correlacionadores de eventos o los analizadores de bitácoras, que permiten identificar de manera muy específica, los puntos en donde se ha tenido actividad anómala o maliciosa en los sistemas de una organización.

Siguiendo el ejemplo del incidente, con las nuevas características de los sistemas actuales y de los futuros, acompañados con una correcta metodología de implementación y seguimiento, podría detectarse en tiempo real el inicio de la propagación del malware y la fuente del mismo. A su vez, podría identificarse si existe algún tipo de fuga de información y con un análisis casi automático el administrador podría saber qué tipo de malware es el que ocasiona el problema. Con la correcta configuración, el ataque podría mitigarse de manera automática lo cual se traduciría, en el peor de los casos, en una mínima percepción por parte de los usuarios acerca del incidente. Así, los tiempos y costos relacionados con el mismo disminuirían al máximo, e irónicamente, toda la inversión de tiempo y costo para la implementación de las soluciones de seguridad habrán valido la pena.

Actualmente existe una gran variedad de soluciones de seguridad basadas en software libre y comercial. Dependiendo del tipo y de sus características, algunas son más complejas que otras y ofrecen una mayor versatilidad de detección, administración y aprovechamiento costo-beneficio. El punto importante es que para la correcta selección de un mecanismo de seguridad, se tiene que hacer un análisis completo de la infraestructura de la organización.

Es interesante también observar cómo a partir de modelos que han nacido de la investigación en seguridad en cómputo, como la tecnología honeypot, sistemas darknet, spiders, etc., muchas de las soluciones comerciales y no comerciales han adquirido dentro de sus características este tipo de tecnologías adaptándolas a su esquema y ofreciendo alternativas que complementen una detección de tráfico malicioso.

Los sistemas que solo ofrecen alertas sobre las amenazas más comunes ya han quedado rezagados. Por esa razón, la mayoría de las nuevas soluciones tanto comerciales como de software libre, buscan ser soluciones integrales con diversas tecnologías complementadas mutuamente, así como ofrecer al administrador una mayor capacidad de monitoreo y detección de amenazas de seguridad dentro de la organización.

En este punto se debe tener aún ciertas reservas, ya que muchos debates en cuanto a las tecnologías de los IPS, IDP, etcétera siguen existiendo pese a no representar la solución final de los problemas de seguridad de las organizaciones. Muchas de ellas, al adquirir este tipo de soluciones integrales, tienen más problemas de los que inicialmente habían tenido. Esto se debe a que independientemente de las capacidades y características de este tipo de tecnologías, la correcta capacitación para la implantación, configuración, administración y mantenimiento de ellas es esencial para aprovecharlas de manea correcta y eficiente, por lo que la adopción y adaptación toma cierto tiempo.

Algunas tendencias indican que el software provee cada vez más  información al usuario técnico, es decir, debe decir de manera más detallada cuándo, cómo, por qué, etcétera se presentó el problema y así  proporcionar parte de la evidencia.

En conclusión, podremos siempre contar con un sistema de detección y monitoreo de seguridad en cómputo, pero varios factores deben tomarse en cuenta para su correcto aprovechamiento:

  • Capacidades de detección y mitigación adecuadas al entorno de implementación
  • Correcta capacitación de los administradores para su configuración y mantenimiento
  • Definición de políticas en la organización y seguimiento de una metodología de atención a incidentes
  • Adopción de un modelo de educación para los usuarios en relación con la seguridad informática

Los sistemas de detección seguirán evolucionando, adaptándose a las necesidades de las organizaciones y siguiendo las tendencias que imponen las nuevas amenazas en Internet, pero siempre el límite que separa la amenaza latente de la organización, será definido por el conjunto de todos los mecanismos implementados, entre ellos, una cultura de seguridad de la información.

Referencias

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2018.