spacer
spacer

 
 
Home
Noticias del mes
Virus Storm. La nueva generación de amenazas Es posiblemente una de las amenazas mas importantes a la infraestructura de la Internet del ultimo siglo.
Leer más...
 
header
Menú Principal
Home
Compañía
Servicios
Formación
Noticias
Contáctenos
Búsqueda
Personas online
Hay 2 invitados en línea
Búsqueda
Atrapalos si puedes Imprimir

Mientras muchas de estas vulneraciones consisten en perdida de datos o robo de laptops, "verdaderas intrusiones" -- donde un atacante online compromete una red y extrae datos -- han sido poco comunes.

La intrusión de datos TJX, revelada por la compañia en Enero del 2007, es tal vez la intrusión mas significativa de esta decada. Ladrones de datos penetraron los servidores de procesamiento de la compañia y extrajeron información de tarjetas de credito y debito de mas de 100 millones de cuentas. Una muy importante cantidad de información de datos de clientes fue obtenida como resultado de este hack que rapidamente fue puesto en uso por elementos criminales.

La intrusión altamente publicitada casi subraya la afirmación de muchos hackers que muchas si no todas las defensas de seguridad informática son inútiles y que los defensores estarían mucho mejor no desperdiciando dinero en sistemas de detección de intrusiones (IDS), sistemas de prevención de intrusiones (IPS) o soluciones antivirus. El mantra reza: "Un atacante habilidoso puede facilmente saltar estas defensas".

Sin embargo, el problema es mas que las compañias han decidido confiar mas en tecnología y no tanto en administradores y usuarios bien educados. Por supuesto, cualquiera de estos sistemas pueden ser vulnerados, especialmente si son instalados y configurados por defensores sin mucha educación, pero de ninguna manera son "inutiles".

El mayor problema es sin duda que la mayoría de estos dispositivos producen bitácoras que son ignoradas casi inmediatamente despues de ser instalados. Esto se debe a la falta de entrenamiento del personal que necesita no solo ser capaz de interpretar las bitacoras, sino también verificar su presición. Esta verificación consiste en comparar las alertas recogidas con el trafico real mismo. Desafortunadamente, demasiados analistas de seguridad informática carecen del conocimiento para hacer justamente eso.

El problema es exacerbado por la gerencia que falla en enviar a su gente a obtener el entrenamiento requerido para ponerlos en la competencia. Hoy en día muchos equipos gerenciales corporativos son renuentes a invertir en entrenamiento para su personal de seguridad de redes. Esta actitud solo sirve para socavar la seguridad de la compañia.

Ahora, el robo de datos de TJX claramente ilustra la letalidad del pobre conocimiento por parte del personal de seguridad, y la falta de entrenamiento apropiado. El hack de TJX no fue un incidente "zero-day", asi que debio ser detectado casi inmediatamente. Esto hubiera sido posible si técnicas de analisis adecuadas hubieran sido implementadas en la compañia.

Aún amenazas de "zero-day" pueden ser detectadas mediante el monitoreo activo de patrones de tráfico, y flujo de datos hacia el exterior de la empresa.

Muchas veces se ha dicho que para reconocer tráfico anormal, se debe primero reconocer lo que es tráfico normal. Todos sabemos que las comunicaciones entre computadoras estan construidas sobre protocolos que en su lugar son enviados y recibidos por el todopoderoso "paquete". La única característica que los protocolos tienen en común es que existe un documento RFC para cada uno. Este RFC es un "blueprint" para el funcionamiento de este protocolo.

En consecuencia, el administrador de sistemas y el analista de seguridad informática deben poseer un excelente entendimiento de la suite de protocolos TCP/IP. Mediante el estudio y entendimiento de estos esquemas (RFCs), el analista obtendrá el conocimiento de como debe ser el comportamiento normal del protocolo.

El conocimiento de las particularidades del RFC le permitirá al analista de seguridad reconocer el comportamiento bizarro a nivel del protocolo. Por ejemplo, si se empieza a ver alto volumen de trafico saliendo de su red en el puerto UDP/TCP 53, esto no es un servidor DNS comunicandose. Para muchas redes, fuerte tráfico DNS hacia afuera no es algo que deberia suceder normalmente. Sin embargo, la utilización del puerto UDP/TCP 53 para extraer datos de una red es un favorito de los hackers por una simple razón. Muchas redes no utilizan filtros agresivos de trafico saliente en sus routers borde y cualquier cosa desde cualquier persona en ese puerto es permitido salir.

Tener el conocimiento para entender como un protocolo como DNS se comporta también permitiría detectar un atacante extrayendo documentos de tu red. Despues de todo, sería realmente inusual observar prolongadas series de paquetes UDP/TCP en el puerto 53 con el tamaño de 1540 bytes. Por lo tanto, sabemos que si una red es golpeada con un hack "zero-day" o cualquier otro vector invisible nosotros deberiamos ser capaces de descubrir el ataque gracias al deseo de los hackers de extraer información de nuestra organización.

Este enfoque investigativo presume que la red corporativa esta capturando todo el tráfico. Capturar todo el trafico es casi una necesidad, ya que es dificil confirmar la veracidad de cualquier alerta de un IDS o IPS si no se posee ningún paquete capturado que analizar.

El adversario más difícil, aunque en menos ocasiones un riesgo, es alguien con verdaderos conocimientos que ha tomado un interes en tu red, y que ha conseguido una forma de vulnerarla.

Es muy probable que este peligroso oponente conozca muy bien los patrones de tráfico y comportamiento de protocolos. Estos podrian decidir hacer inyección de procesos, para nombrar tan solo una técnica, en un esfuerzo por extraer datos corporativos de forma sigilosa. Dependiendo de cuantos datos adjunten en cada sesión, puede ser realmente dificil encontrar este flujo de datos ilegal hacia el exterior.

Sin embargo, es posible hacer mucho afianzando las bases y aumentando el conocimiento existente. No existe nada mágico o secreto en estos métodos. Aún cuando el atacante pueda ser muy bueno, lo que entra, debe eventualmente salir. Es ahi donde casi de seguro podemos encontrarlos. Los hackers que proclaman que ellos pueden entrar y salir silenciosamente como el viento y saltar todas las defensas de las redes son una amenaza solamente en el cine.

Los analistas de seguridad deben tener la experticia necesaria para detener ataques. Cuando una vulneración ocurre, la responsabilidad cae sobre ellos, pero la compañia haría muy bien en mirar hacia arriba en la cadena de generencia también.

Muchas veces hay una ausencia importante de inversión en el rol y mantenimiento de la seguridad en la red corporativa por parte de la gerencia superior. Hoy en día, no es suficiente con que la gerencia reconozca el hecho de que la seguridad informática es necesaria. Esta gerencia debe tomar acciones concretas para no solo asegurar el presupuesto para un entrenamiento de calidad de su personal, sino también para que ellos continuen proveyendo supervisión para esta parte, muchas veces descuidada, de su modelo de negocio.

Original en ingles:
http://www.securityfocus.com/columnists/468

 
< Anterior   Siguiente >
[Regresar]
Cursos
Advertisement
Encuesta
¿Indiquenos en que mes prefiere realizar el curso para certificación CISSP?
 

spacer
spacer