¿Son suficientes firewalls en la estrategia de seguridad?

Es cierto, la seguridad vive aún bajo el reinado de los firewalls. Son la herramienta principal para la protección de las redes y la forma más simple de defensa, y su concepto es entendido como la barrera que evita que los incendios se propaguen.

Aunque prácticamente todas las compañías cuentan con un firewall, el número y la complejidad de los ciberataques actuales ha aumentado constantemente en los últimos años. Los principales actores son equipos bien organizados con objetivos específicos, además de recursos, tiempo y experiencia para alcanzar sus metas.

Cualquier empresa es susceptible a un ataque, los “malos” apuntan principalmente a los sistemas de información de organizaciones públicas, militares e industriales, y estos delitos evolucionan constantemente, y son cada vez más sofisticados. 

Desde hace unos años aparecieron los APTs (Advanced Persistent Threats), software que ejecutan ataques sistemáticos, divididos en varias fases que se realizan en el tiempo, con el principal objetivo de obtener información altamente sensible.

Las características que diferencian los APT de los ataques tradicionales son:

• Los APT son capaces de evadir la mayoría de los sistemas basados en firmas que usan los firewalls.

• Son muy difíciles de detectar, porque utilizan técnicas de bajo perfil.

• Los APT son selectivos. Solamente un número pequeño y cuidadosamente seleccionado de víctimas son objetivos, generalmente en departamentos no técnicos de una organización.

Desde que se ha reconocido la existencia de los APT, los firewalls han evolucionado, al introducir cada vez más características para evitarlos, pero siguen sin ser capaces de contener estos ataques.

Basándonos en la teoría de la computación, es imposible construir una herramienta perfecta de detección contra intrusos, pues esta tarea es un problema complejo, lo que quiere decir que el tiempo que tomaría detectar una brecha de seguridad, producida por una APT, es casi exponencial, y se hace mayor en la medida que aumenta el ancho de banda y el tráfico que el firewall debe inspeccionar.

Teniendo en cuenta las características de los ataques APT y la incapacidad de las soluciones de seguridad actuales, surge el cuestionamiento de por qué el firewall sigue siendo la herramienta principal de seguridad informática, a pesar que el número de incidentes de seguridad continúa aumentando. Esto requiere pensar en un cambio esencial en la forma como se articulan las soluciones de seguridad. 

Se sabe que los atacantes están dispuestos a mantener sus acciones durante un extenso período de tiempo para evadir los sistemas de detección. Por lo tanto, es válido modificar el enfoque de contraataque y no sólo pensar en herramientas “online” como única opción. Un enfoque orientado a la captura de paquetes está limitado significativamente por los recursos con que cuente la máquina donde está instalado el firewall.

Por otro lado, un análisis de datos “offline” abre la posibilidad del estudio a fondo de gran cantidad de información extraída de los paquetes que circulan en la red, usando técnicas de tratamiento de datos y tecnologías de Data Analytics, que aportan algoritmos significativamente más avanzados para el análisis y la correlación de información.

Esta visión ayuda a complementar la estrategia de seguridad, al evitar los intentos de evasión que usan las APT y que no logran ser detectados por los firewalls.

Aunque el análisis offline del tráfico capturado inevitablemente da como resultado una detección de ataque tardía, es importante considerar que, en la mayoría de los APT, los atacantes están dispuestos a esperar una cantidad significativa de tiempo para alcanzar un objetivo específico.

Hay dos razones por la que los ataques APT son prolongados:

• Una vez que se ha obtenido una posición inicial, los atacantes deben explorar la red, desplazarse a través de las subredes (movimiento lateral), identificar dónde se encuentra la información que les interesa y tomarla. Como todos estos pasos deben realizarse tan calladamente como sea posible para evitar la detección, se requiere usar un tiempo significativo.

• Los atacantes generalmente desean mantener su acceso y continúan extrayendo datos a lo largo del tiempo. Incluso cuando los delincuentes logran evadir los firewalls tradicionales, inevitablemente estos ataques pueden dejar indicadores o huellas en el proceso de exploración de la red y explotación de vulnerabilidades.

Los intentos de inicio de sesión fallidos, el aumento inusual del tráfico de la red producido por un determinado PC o servidor, la utilización extraña de recursos y la ejecución de procesos desconocidos pueden correlacionarse e identificarse como pruebas de un compromiso de seguridad, incluso si son realizadas durante varias horas o días.

La capacidad de análisis y correlación de grandes datos proveniente de una amplia gama de fuentes de  información, y de períodos de tiempo significativos (horas, días etc.), se traducirán con gran certeza en una disminución de un porcentaje de falsos positivos y permitirá detectar más fácilmente los movimientos furtivos de un atacante que usa APT, ya que las actividades inusuales de los usuarios autorizados de la red son casi siempre ignoradas por los firewalls actuales.

Por ello es necesario entender que en el diseño de una estrategia de seguridad caben perfectamente los dos mundos, el análisis “online” y “offline”, donde éste enfoque ayudará a realizar el procesamiento y la correlación en dos vías simultáneas perfectamente complementarias para mitigar el riesgo y presencia de los APTs.

Por: CARLOS CASTAÑEDA (M.PHD y experto en Seguridad Digital de Unisys. Fuente: www.cioal.com)

Sección: