Opiniones | Opinions | Editoriales | Editorials

Detecte amenazas empresariales con tecnologías de “bueno conocido”

 
Picture of System Administrator
Detecte amenazas empresariales con tecnologías de “bueno conocido”
by System Administrator - Tuesday, 9 December 2014, 3:08 PM
Colaboradores y Partners

Detecte amenazas empresariales con tecnologías de “bueno conocido”

por Nick Lewis

Permitir que el buen tráfico pase en un entorno corporativo y bloquear el tráfico malo son los fundamentos de mantener una empresa segura. Sin embargo, permitir la entrada de solo “buenos conocidos" documentos, archivos, enlaces y más es más fácil dicho que hecho.

La verdad del asunto es que los atacantes inevitablemente se moverán más rápido de lo que las defensas empresariales pueden adaptarse y bloquearlos. Tomar un enfoque de lista negra para antimalware, firewall, antispam y otras tecnologías de seguridad ha mostrado debilidades significativas en la última década. Y conforme las listas negras se alargan y se integran en más herramientas de seguridad, se ha vuelto cada vez más difícil para los equipos de seguridad coordinar cada lista negra y mantenerlas todas actualizadas.

Mediante el uso de tecnología de bueno conocido como parte de su plan de seguridad de la información, una empresa puede reducir sus esfuerzos en el mantenimiento de listas negras y mejorar la seguridad general en su entorno.

En este consejo, voy a discutir cómo concentrarse en tecnología de bueno conocido y explicar cómo las tecnologías de este tipo pueden utilizar en una empresa para hacer frente a las amenazas más feroces y más dañinas de hoy.

Cómo funcionan las tecnologías de bueno conocido

Utilizar tecnología de bueno conocido es similar a tomar un enfoque de lista blanca –donde tradicionalmente solo los usuarios o aplicaciones autorizados están habilitados en una empresa– pero lleva el concepto a un nivel mucho más amplio y detallado. En un enfoque de lista blanca tradicional, se permite correr ejecutables específicos en un equipo, pero esto no impide que alguien dentro de una red empresarial abra un archivo malicioso para que un atacante obtenga su acceso inicial para un ataque. Las tecnologías de bueno conocido impedirían que el atacante sea capaz de ejecutar cualquier tipo de ataque en primer lugar.

Permítanme explicar esto con algunos ejemplos más. La validación de entrada es un método común de aceptar solo entradas conocidas como buenas para introducir datos en un sistema. Esto se utiliza en aplicaciones web o firewalls de base de datos, donde las sentencias SQL potencialmente maliciosas se filtran para permitir que se ejecuten solo sentencias SQL aprobadas.

Otro ejemplo sería examinar una página web, PDF u otro documento, identificar enlaces potencialmente maliciosos y luego excluir la amenaza y reconstituir el archivo con solo sus partes "buenas conocidas" antes de permitir que se descargue. El archivo podría examinarse para identificar dónde residen los datos introducidos por el usuario –como texto en un documento– y luego retirar los contenidos que potencialmente podrían incluir código malicioso. Esta es una característica que ofrecen varios productos de proxy web o gateway de contenido de proveedores como Symantec, Blue Coat o Websense. También hay una herramienta y un marco de código abierto, ExeFilter, que trae esta función para archivos y contenido activo y se puede incorporar a otras herramientas o utilizar para escanear archivos compartidos, correo electrónico u otro contenido.

Es muy posible que un atacante hoy pudiera comprometer a un socio de negocios legítimo en el cual su empresa confía a sabiendas y luego incrustar código malicioso en un PDF legítimo que es  enviado por ese socio de confianza. Al aprovechar una tecnología como ExeFilter, que elimina solo el contenido malicioso de un archivo, una empresa puede estar seguro de que la comunicación legítima de la empresa no se interrumpe mientras se elimina la amenaza.

Utilizar bueno conocido en un entorno empresarial

Encontrar tecnologías de prevención y detección de amenazas de bueno conocido requiere un conocimiento profundo y control sobre el entorno en el cual el contenido malintencionado podría estarse escondiendo, y luego saber dónde y cuándo es necesario eliminar el contenido malicioso en lugar de bloquear de plano el archivo adjunto, el tráfico, el usuario, los enlaces y así sucesivamente.

Con los firewalls –donde se establecen políticas de "negar todo" y "solo permitir" políticas conforme el negocio las necesita– hay motivos importantes para permitir conexiones desde redes seguras conocidas como buenas con protocolos seguros conocidos para soportar las políticas. Esto podría complementarse con un sistema de control de acceso de red que permite que solo sistemas conocidos como buenos y aprobados puedan utilizar protocolos aprobados y conectarse a las redes específicamente permitidas. Si bien ambas tecnologías pueden ser configuradas para bloquear redes maliciosas, los equipos de seguridad tendrían que añadir una red maliciosa cada vez que se identifica una. Lo mismo ocurre con las nuevas redes o protocolos conocidos como buenos; conforme estos son descubiertos y aprobados, también tendrían que ser añadidos a la lista aprobada.

Por desgracia, puede ser bastante difícil extrapolar este método para todos los tipos de archivos o aplicaciones. Para simplificar el proceso, puede ser beneficioso para las empresas centrarse en los tipos de archivo o datos más comunes que puedan ser utilizados para explotar sus vulnerabilidades. Además, definir lo bueno conocido de una manera que no cause un importante número de falsos positivos que podría afectar negativamente a las comunicaciones también puede plantear un desafío para la empresa; requeriría constantemente un ajuste fino –al igual que una lista blanca o lista negra– para mantenerlo funcionando con eficacia.

"Bueno conocido" es similar tanto al control de acceso obligatorio como al uso de métodos formales en el desarrollo de software: el control de acceso obligatorio es donde se concede el acceso a solo un recurso específico basado en la clasificación de los datos y el acceso específico concedido. Los métodos formales, por otro lado, se utilizan en el desarrollo de software para validar matemáticamente que el software realice exactamente las funciones para las que ha sido diseñado. Ambos métodos son formas muy rigurosas y de uso intensivo de recursos para utilizar la tecnología de bueno conocido para mejorar la seguridad.

Cuando se trata de tecnologías específicas de bueno conocido, hay algunas opciones que las empresas pueden adoptar. Productos de listas blancas y grises –en las que el tráfico entrante es rechazado temporalmente– ayudarán a las organizaciones a permitir que solo acciones conocidas como buenas tengan lugar en un sistema o red. También hay métodos de desarrollo de software de bueno conocido, como el uso de filtros desinfectantes PHP o configuración de línea base segura, en el que solo se utilizan software o ajustes conocidas como buenas. Estos reducirán la superficie de ataque para minimizar la posibilidad de un ataque exitoso.

En este punto en el tiempo, hay pocas opciones disponibles para ayudar a las empresas a analizar  archivos o aplicaciones específicas por componentes conocidos como buenos, debido a las dificultades en la definición de bueno conocido; una empresa puede no saber si toda la funcionalidad avanzada incluida en la gran cantidad de formatos de archivo y aplicaciones es utilizada por sus empleados, socios y clientes. Empezar con ExeFilter y añadir otros formatos de archivo para que sean soportados puede ayudar a abordar nuevos formatos de archivo o aplicaciones a medida que se incorporan en el entorno.

Además, mientras que JavaScript es generalmente visto como de alto riesgo, puede ser imposible para una empresa saber exactamente cuándo los usuarios tendrán que abrir PDF u otros archivos infectados con JavaScript potencialmente malicioso. En este caso, las empresas podrían encontrar una tecnología que convierta el PDF en un PDF estático –retirar el JavaScript del archivo por completo. O las empresas podrían requerir abrir el PDF en un sandbox para ver qué acciones potencialmente maliciosas se toman y luego retirar el JavaScript malicioso del archivo. Cualquiera de estas opciones podría ser utilizada para neutralizar un PDF malicioso que es parte de un ataque de phishing, para que cuando los usuarios abran el archivo, sus equipos no se vean comprometidos.

Conclusión

La lista blanca y otros enfoques de seguridad de buenos conocidos traerán muchas mejoras a una empresa para ayudarla a defenderse contra las amenazas a un grado del que el enfoque de listas negras era incapaz.

Sin embargo, incluso las listas blancas soportarán retos y necesidades que revolucionan para mantenerse al día con el cambiante panorama de amenazas. Las listas blancas son una mejora significativa sobre los métodos de seguridad comercial de los últimos 20 años, pero si los sistemas seguros por defecto no son desarrollados y fabricados por las empresas y los consumidores en general, vamos a seguir en esta misma espiral de listas blancas, listas grises y listas negras.

Enfocarse en las tecnologías de bueno conocido con suerte le dará a las empresas, así como a la industria en su conjunto, una oportunidad para mejorar la gestión de sus riesgos potenciales y lograr la seguridad necesaria para defenderse contra las amenazas más potentes que crean los hackers y atacantes de hoy.

Sobre el autor: Nick Lewis, CISSP, es el ex oficial de seguridad de la información de la Universidad de Saint Louis. Nick recibió una maestría en ciencias en seguridad de la información por la Universidad de Norwich en 2005 y en telecomunicaciones por la Universidad Estatal de Michigan en 2002. Antes de incorporarse a la Universidad de Saint Louis en 2011, Nick trabajó en la Universidad de Michigan y en el Hospital de Niños de Boston, el principal hospital de enseñanza pediátrica de la Escuela de Medicina de Harvard, así como para Internet2 y la Universidad Estatal de Michigan.

ARTICULOS

Link: http://searchdatacenter.techtarget.com

1704 words