Untitled

¿Quién defiende la infraestructura de las redes?

Hoy en día las amenazas a la seguridad de las redes no se restringen sólo a los computadores de usuarios finales, portátiles y servidores; muchos de los ataques van dirigidos específicamente contra los componentes básicos de la infraestructura de red, la cual incluye routers y switches, convirtiéndose en una auténtica pesadilla para las miles de organizaciones alrededor del mundo, que sufren los embates de los ciberagresores a diario.
El asunto de la vulnerabilidad de los componentes básicos que integran las redes quedó de manifiesto hace muy poco en la conferencia Black Hat 2005 realizada en Las Vegas, NV, en donde un ex investigador de seguridad describió nuevas técnicas de exploit que se podrían usar para lograr control remoto de dispositivos de infraestructura crítica de la marca Cisco. Esto sólo viene a acentuar los problemas y riesgos asociados con la implementación y el mantenimiento de cualquier tecnología de red en un entorno amenazado donde todo el equipo de la infraestructura es vulnerable a un ataque. En los equipos de infraestructura existe una serie de problemas únicos de seguridad, entre los que se incluyen:

> Falta de herramientas de seguridad local: el equipo de la infraestructura de red no está diseñado para ejecutar herramientas de seguridad local como Antivirus o Prevención de intrusos en hosts, con lo cual queda totalmente expuesto a ataques una vez que se descubre la vulnerabilidad.

> Las exigencias son muy altas: si una máquina host es atacada, el atacante toma el control de una sola máquina en una parte específica de la red, mientras que si se compromete un router o switch, el atacante puede asumir el control de toda la red.

Es casi imposible dimensionar las consecuencias del tiempo improductivo de la red, junto con la pérdida potencial de la disponibilidad del negocio, cuando se produce un ataque exitoso a los activos de la infraestructura crítica. Como resultado, para las organizaciones es imperativo minimizar las “ventanas de vulnerabilidad” que existen entre el descubrimiento de la nueva vulnerabilidad y el lanzamiento inicial de un ataque de exploit. Sin embargo, lograr esto mediante la administración efectiva de parches puede imponer una serie de desafíos causados por los problemas que se pueden presentar en los procesos de aplicación de los arreglos. Entre las realidades de la aplicación de parches en infraestructura crítica de redes se cuentan:

> Muchas organizaciones no aplican parches de seguridad en ruoters y switches críticos debido a la falsa percepción de que los atacantes no pueden tomar control de estos dispositivos.

> Los dispositivos de infraestructura de red crítica no están aislados, los problemas que surgen de la aplicación de parches pueden tener como resultado la pérdida total de la disponibilidad de la red y del negocio.

> Las pruebas de parches son procesos lentos y extensos, que toman semanas (incluso meses) de pruebas, especialmente en las organizaciones que poseen cientos o miles de dispositivos.

Las soluciones de seguridad de redes de tipo empresarial ofrecen un medio efectivo para superar estos desafíos y proteger la infraestructura crítica durante la “ventana de vulnerabilidad” que existe antes de que los parches se prueben y se implementen. La base de este enfoque es la protección pro-activa de día cero. Pese a que la protección de los dispositivos de infraestructura crítica a este nivel avanzado ha representado un desafío de proporciones en el pasado, algunas empresas de seguridad están trabajando activamente en este sentido para proporcionar a sus clientes soluciones capaces de prevenir nuevas amenazas y ataques de día cero.

Entre las soluciones de vanguardia que hoy están disponibles en el mercado, el sistema de prevención de intrusos (IPS, Intrusion Prevention System) de red de próxima generación de McAfee IntruShield, es una opción atractiva para brindar protección preventiva de día cero contra amenazas y ataques orientados a vulnerabilidades actuales y futuras en la infraestructura de red de misión crítica. La tecnología de detección y prevención de IntruShield es capaz de inspeccionar todo el tráfico que viaja a través de la red mientras bloquea activamente los ataques a los dispositivos y componentes de la red.

Una característica importante de la solución McAfee es su capacidad de ofrecer protección de día cero contra las vulnerabilidades de la infraestructura mientras realiza pruebas exhaustivas e implementa en la red los nuevos parches de seguridad. La protección de día cero que IntruShield brinda a la infraestructura se logra mediante su tecnología patentada de detección de shellcode, que es una parte integral de los motores de firmas, anomalías y detección y prevención de DoS de próxima generación de la firma. De la misma forma, los equipos diseñados a medida, basados en ASIC, proporcionan el rendimiento necesario para inspeccionar en tiempo real todo el tráfico de la red, mientras protege a los clientes de la vulnerabilidad subyacente, en comparación con solamente un exploit en particular. La protección que proporciona IntruShield para infraestructura de red crítica se logra gracias al uso de tecnología IPS, que incluye las siguientes funciones clave:

> Inspección de anomalías de protocolos: la mayoría de las soluciones utilizan correspondencia simple de patrones dentro del tráfico para identificar un ataque, lo que es similar a reconocer palabras en otro idioma (lenguaje) sin la capacidad de hablarlo ni de comprender su gramática. IntruShield decodifica totalmente más de 100 protocolos diferentes mientras entiende a cabalidad la comunicación y la gramática del protocolo en sí. Esto permite a la utilidad proteger de manera la infraestructura de red sin actualizaciones de firmas al identificar anomalías o variantes en el lenguaje del protocolo que a menudo son indicadores de un ataque.

> Detección heurística de shellcode: la mayoría de los ataques intentan ejecutar programas o controlar un sistema. Esto a menudo se logra usando "shellcode" o el lenguaje de comandos del sistema que está siendo atacado. La utilidad IntruShield es capaz de utilizar algoritmos avanzados para detectar la presencia del shellcode y bloquear su uso por parte de un atacante, con lo cual bloquea efectivamente la ejecución de programas y el control remoto de un sistema sin necesidad de actualizaciones de firmas o software.

> Detección de anomalías con estadísticas: IntruShield es capaz de rastrear más de 100 valores individuales asociados con el tipo y cantidad de tráfico que pasa a través del sensor. La elaboración y el mantenimiento de este “perfil” detallado de tráfico normal en la red permite al sistema detectar y bloquear las variaciones que indican ataques DoS ó DoS-distribuidos que a menudo afectan los componentes de la infraestructura en la red.

> Plataforma de hardware diseñada a la medida: las técnicas descritas anteriormente requieren gran potencia computacional para que se ejecuten efectivamente a tasas de tráfico con velocidad IP. Los sistemas IPS basados en computador simplemente no proporcionan la potencia necesaria para ejecutar este tipo de motores de detección y prevención, mientras ejecutan simultáneamente un motor avanzado de firmas como el usado por la utilidad McAfee para detectar y bloquear ataques conocidos. El diseño del sensor de IntruShield utiliza varios clusters de procesadores de alta velocidad dedicados y ASIC especializados para alcanzar un nivel de rendimiento destacado dentro de la industria.

Sin duda, cualquiera sea la solución que en este sentido implemente dentro de su organización, estará contribuyendo significativamente a disminuir los riesgos asociados a las amenazas a la seguridad que rondan los componentes básicos de la infraestructura de la red. Los días en que los gerentes de TI confiaban en la buena suerte y en el desconocimiento del hardware relacionado con sus instalaciones por parte de los ciberagresores, han quedado atrás. El peligroso entorno de hoy exige ir un poco más allá de los remedios convencionales e inventar nuevas formas de protegerse, bien vale la pena tomarse algunas horas para meditar sobre un asunto tan delicado y evaluar las posibilidades de darle un espaldarazo a su estructura de seguridad ganándole, aunque sea por un minuto, la delantera a los transgresores.

fuente: www.pc-news.com