Diez amenazas de seguridad a vigilar

Existe una gran diversidad de maneras en que las redes empresariales pueden quedar comprometidas, y cada día se desarrollan nuevas formas de hacerlo. El abanico incluye desde explotaciones de las vulnerabilidades existentes en la tecnología desplegada dentro de las empresas, hasta ataques de ingeniería social altamente complejos. Todas son capaces de poner en peligro los datos corporativos, la reputación de la empresa y la eficiencia de su negocio. A continuación se muestran diez de las principales amenazas que acechan sobre las redes empresariales y algunas sugerencias para lidiar con ellas.

1) Seguridad de host virtual
La virtualización puede ayudar sin duda a hacer un uso más eficiente del hardware dentro de las organizaciones, pero también es cierto que abre las puertas a nuevos problemas de seguridad. En primer lugar, permite que diferentes hosts virtuales residan en la misma máquina física, donde el tráfico entre ellos se hace más difícil de monitorizar y proteger. El problema se agrava si los host virtuales se replican en otras máquinas físicas para absorber el aumento de la demanda de los servicios que proporcionan.

Las reglas corporativas fijadas por los gestores de seguridad TI para acceder a tales máquinas deben acompañarlas siempre, en todas las máquinas donde se encuentren replicadas, pero se trata de un imperativo complejo de llevar a cabo, según Rob Whiteley, analista de Forrester Research. “Cuando se despliega virtualización a gran escala, gestionar las máquinas virtuales se convierte en una pesada carga”, reconoce Whiteley. El control de acceso sigue siendo esencial en los entornos virtuales, pero las herramientas para su replicación en las diferentes instancias escasean.

Esto puede ocasionar problemas especialmente difíciles en empresas cuyos entornos están sujetos a regulaciones específicas, como es el caso de la industria de tarjetas de pago (PCI- Payment Card Industry), en la que deben aplicarse estándares concretos y rigurosos para el manejo de los datos sensibles de los clientes. Los estándares PCI, por ejemplo, especifican qué tipos de máquinas no pueden dialogar entre sí.

En este caso, existen tres formas de abordar el problema. Primero, puede dirigirse todo el tráfico fuera del hardware físico que contiene las máquinas virtuales, ser escaneado y, después, devuelto al hardware para llegar a otra máquina virtual. “Aunque esta alternativa, tiene el inconveniente de cargar enormemente el sistema I/O”, reconoce Whiteley.

En segundo lugar, las empresas pueden desplegar firewalls software disponibles en la oferta de diversos fabricantes –incluidos los de Check Point- en cada máquina virtual. Pero el despliegue, el licenciamiento y la gestión de tales sistemas resultan tareas complicadas, debido a que tales productos fueron diseñados originalmente para el firewalling en hardware real, no virtualizado. “Se trata de una opción capaz de generar auténticas pesadillas operacionales”.

Una tercera posibilidad sería el retorno a productos de propósito específico diseñados especialmente para recursos virtuales, como los de Altor Networks, Reflex Security y Stonesoft. Aunque, debido a la rápida aceptación de la virtualización por parte de las empresas, también algunos fabricantes de productos de seguridad tradicionales están empezando ya a desarrollar versiones adaptadas para su despliegue en entornos virutalizados. Entre las características que, según Whiteley, deben buscarse en estos productos destacan la capaci

dad para escalar adecuadamente, la asequibilidad de su estructura de licencias y el seguimiento por parte de las políticas que sobre ellos se definan de las nuevas imágenes de máquinas virtuales.

De cualquier modo, será importante implicar al equipo responsable de la red en los proyectos de virtualización servidor. Con ello se asegurará que las medidas de seguridad tradicionales que se tendrían en consideración en el caso de los servidores físicos serán añadidas también a las máquinas virtuales.

2) Proteger el controlador de la máquina virtual (hipervisor)
Si el software encargado del seguimiento de las múltiples máquinas virtuales sobre una misma plataforma hardware -es decir, el hipervisor- resulta comprometido en un ataque, también lo resultarán todas las máquinas que gestiona. “Por el momento no existen amenazas conocidas a este nivel, así que tampoco se han investigado posibles remedios, pero sólo es cuestión de tiempo el que alguien consiga hackear un hipervisor”.

En cualquier caso, las empresas deberían defender el hardware con firewalls y sistemas de prevención de intrusiones (IPS) para mantenerse su hipervisor protegido, en la medida de lo posible, de las amenazas conocidas. Por lo que se refiere a las amenazas específicas contra los hipervisores, no está claro qué productos pueden resultar efectivos debido, como ha explicado Whiteley a la ausencia de ataques hasta el momento. Como regla, es aconsejable optar por hipervisores embebidos que se suministren con hardware servidor, porque al ser más simples, se hacen más difíciles de hackear. “Cuando menos código esté implicado, menos espacio existirá en él para vulnerabilidades”.

3) Botnets
Dejando a un lado los peligros específicamente asociados a los entornos virtualizados, una de las amenazas más importantes hoy día para las TI corporativas son las redes robot o botnets. En ellas, millones de máquinas pueden quedar secuestradas y convertidas en “zombies” o “robots” –denominadas así porque el usuario legítimo pierde el control sobre ellas- miembros de una red donde todas obedecen a las órdenes de un centro de control o comando externo. Estas botnets pueden llegar a tirar abajo grandes redes mediante el lanzamiento de ataques coordinados desde todos los ordenadores secuestrados.

El software bot gana cada día en sofisticación, cambiando su forma para ser más difícil de detectar sobre los sistemas zombie que toma bajo su poder y siendo capaz de convertir las máquinas esclavas en servidores de comandos. Cuando atacan, las bots (diminutivo en inglés de “robot”) son capaces de paralizar las redes vía ataques de denegación de servicio (DoS). Pero las organizaciones pueden tomar algunas medidas contra tales amenazas, por ejemplo, “definiendo acuerdos al respecto con sus proveedores de servicios Internet (ISP)”, señala Greg Young, analista de la consultora Gartner.

Estos proveedores tienen mayor capacidad que cada empresa por separado y, por tanto, más y mejores oportunidades de reconocer patrones de tráfico que constituyan indicios de botnets en uso, así como de bloquearlos antes de que puedan llegar a afectar a las redes de sus clientes. Aunque también éstos pueden dar algunos pasos para protegerse a sí mismos de los ataques DoS vía botnets. Utilizar sistemas IPS para redes y máquinas individuales, por ejemplo, ayudará a mitigar el potencial impacto de las máquinas zombie que generan grandes volúmenes de tráfico, según Young. “No existe una solución mágica”, reconoce este experto, quien señala las tecnologías de startups como Damballa, enfocada exclusivamente en la detección y mitigación de bots, como un buen punto de partida.

4) Ataques altamente dirigidos
Dado que los ataques diseñados para asaltar blancos concretos representan una categoría muy amplia, resulta especialmente difícil defenderse de ellos, según Young. Tales ataques están diseñados específicamente para el negocio particular o los empleados individuales que eligen como víctimas. Su objetivo es conseguir acceso a recursos valiosos. Pueden combinar una diversidad de técnicas, incluido el phishing, las aplicaciones de explotación y el aprovechamiento de vulnerabilidades Web, e incluso utilizar redes bots para difundirse. “Una característica común a todos ellos consiste en que manipulan a la víctima para que lleve a cabo alguna acción (como pinchar en una URL falsamente atribuida a una entidad legítima). Sin la participación de ésta no pueden funcionar”, explica Young.

Este tipo de ataques son lanzados generalmente con el fin de conseguir, a través de los datos ilegítimamente logrados, algún beneficio económico. Existen casos en los que lo que se pretende es robar datos personales para su posterior venta; en otros, se busca comprometer la propiedad intelectual de alguna empresa o demostrar la capacidad del hacker de echar abajo una determinada red corporativa para pedir después una recompensa a cambio de no llevar a cabo la acción.

Entre los pasos que las empresas pueden dar para evitar tal tipo de peligros se incluye una diversidad de mejores prácticas, como el control de las actividades de los recursos humanos para prevenir el potencial daño provocado por empleados contrariados y vengativos. También ayudará, como ocurría en el caso de las botnets, el establecimiento de contratos de protección de servicio con los operadores para evitar asaltos DoS, y, desde luego, el educar a los trabajadores sobre los trucos de ingeniería social que podrían llevarles a comprometer involuntariamente la red corporativa.

5) Ataques vía sitios de juegos online y de networking social
Los delincuentes de Internet han desarrollado código de explotación en juegos multijugador con los son capaces de llegar a tomar el control de la máquina de su víctima cuando la imagen de un jugador malicioso cruza la pantalla, por ejemplo, según advierte Ed Skoudis, consultor especializado en seguridad de Intelguardians. Tales ataques pueden concretarse en la forma de un control tipo bot de la máquina tomada como blanco. Esta clase de exploits son también aplicables a través de mercados de realidades virtuales, como Second Life, donde los participantes a veces llevan a cabo transacciones, y, según Sloudis, “en estas circunstancias, el ataque puede resultar especialmente provechoso”.

El medio más básico para evitar tales peligros dentro de las empresas, es, lógicamente, formar a los usuarios sobre el riesgo que la utilización de juegos y sitios de networking social sobre la red corporativa puede llegar a suponer para el negocio, así como aplicar políticas de networking que impidan el uso descontrolado de estas ofertas online.

6) Amenazas basadas en navegador
Por otra parte, Sloudis subraya que los hackers tienen la posibilidad de sembrar de malware sitios Web públicos vulnerables, y, tomar posteriormente el control de las máquinas que se conecten a ellos. Después, podrán minar las redes a las que están asociadas las máquinas ya infectadas con su código malicioso.

Aparte de robar la historia del navegador, y espiar y registrar otros sistemas existentes sobre la máquina, se ha demostrado el soporte por estos ataques de pilas TCP basadas en Java que pueden configurar puntos finales VPN en el browser de un equipo comprometido. Un túnel VPN creado desde un punto final de este tipo darían acceso al atacante a alguna máquina que se encuentre detrás del firewall corporativo y desde ella aquel podría conectarse con otros sistemas internos.

Estos navegadores “infiltrados” tienen asimismo la capacidad de infectar sistemas que, después, al ser chequeados vía browser por el administrador de la red afectada, comprometerían la máquina misma del administrador y, a través de ella, la totalidad de la red.

La mejor defensa en estos casos es mantener siempre actualizado el software antivirus, utilizando además equipamiento de protección frente a intrusiones y educando a los empleados para que conozcan el problema y eviten visitar sitios sospechosos de peligro.

7) Explotaciones del navegador de teléfonos móviles
Las vulnerabilidades descubiertas recientemente en ciertos teléfonos móviles pueden ser aprovechadas para someter los dispositivos al control de los atacantes. Rohit Dhamanker, analista jefe para seguridad de Tipping Poing, explica que, por ejemplo, cuando los usuarios se conectan a contenidos maliciosos dentro de los sitios Web visitados por sus browsers, tales contenidos pueden tomar el control de la máquina de forma que obedezca a los comandos de un atacante remoto.

De momento, la cantidad de ataques informáticos a teléfonos móviles no resulta ni mucho menos tan elevada como la de los lanzados contra equipos de sobremesa, dado que la incorporación de sistemas operativos computacionales en tales dispositivos es relativamente reciente. Pero los expertos auguran que irán en aumento. Para evitarlos, las únicas medidas hoy día disponibles son la formación de los usuarios, la aplicación de políticas TI corporativas para el uso de móviles empresariales y la utilización de software de seguridad específico ofrecido por algunos suministradores.

8) Pérdida de dispositivos móviles
En cualquier caso, la proliferación de handhelds y teléfonos inteligentes en los entornos corporativos tiene otra consecuencia negativa: el aumento de los datos vulnerables a pérdidas y robos por salir de los límites físicos de la organización junto con la máquina que los transporta. Encriptar los datos en los dispositivos e instalar software capaz de bloquear o borrar su disco duro remotamente en caso de sustracción o extravío para prevenir posibles accesos ilegítimos a la información constituyen las medidas más recomendables para proteger a las empresas de esta peligrosa amenaza.

9) Aplicaciones Web inseguras
También aquellas aplicaciones cuyo código deja agujeros o vulnerabilidades abiertos a ataques representan un riesgo no sólo para sí mismas y el contenido al que pueden acceder, sino también para la totalidad de las redes que las soportan, como advierte Nick Selby, analista de The 451 Group.

Las aplicaciones son desarrolladas con la codificación segura en mente, pero muchos programas corporativos heredados fueron diseñados hace mucho tiempo, cuando las redes eran entronos prácticamente cerrados, explica Selby, y, en consecuencia, no ofrecen la seguridad requerida en los entornos abiertos de hoy día. Entre tales programas se incluyen algunas aplicaciones básicas, como el software de control utilizado en las redes de muchas empresas del sector de la fabricación y del de las utilities, así como algunas aplicaciones altamente personalizadas diseñadas específicamente para negocios individuales.

“Lo realmente deseable es que la codificación segura se aplique en la fase de desarrollo misma, desde un principio”, subraya Selby, y aunque se tiende a ello, todavía no puede decirse que todas las aplicaciones en funcionamiento hayan sido construidas bajo esta perspectiva. Para minimizar el riesgo, Selby recomienda a las empresas utilizar plataformas abiertas siempre que sea posible, dado que, por lo general, este tipo de tecnologías son más frecuente y concienzudamente analizadas y puestas a prueba por los investigadores especializados en seguridad. “Cuantos más ojos se enfoquen en un determinado código, más rápidamente se descubrirán y cubrirán sus vulnerabilidades”, insiste.

Los programas de aseguramiento de la calidad y el testing de aplicaciones en producción constituyen asimismo elementos clave para garantizar que éstas no resultarán hackeadas. “Los protocolos necesitan ser puestos a prueba”, explica Selby, refiriéndose al proceso de bombardear una aplicación introduciendo datos aleatorios para que éstos revelen la forma de acabar con ella. IBM, White Hat Security y SPI Dynamics,entre otros suministradores, desarrollan herramientas para poner contra las cuerdas a las aplicaciones antes de exponerlas al tráfico del mundo real en un entorno en producción; un tráfico que, obviamente, puede incluir tentativas de hacking.

También servirán de ayuda en este punto los cortafuegos de aplicación Web, el análisis automatizado de código fuente y el testing manual de aplicaciones para la búsqueda de vulnerabilidades, añade Michael Montecillo, analista de la firma Enterprise Management Associates.

10) “Inercia”
Curiosamente, el exceso de diligencia en la protección frente a determinadas amenazas puede convertirse en un desastre si tales amenazas han dejado de representar los principales peligros para la red corporativa, según advierte Young. “Cabe la posibilidad, por ejemplo, de estar invirtiendo dinero en actualizar un sistema de detección de intrusiones que ya ha dejado de tener el valor que tenía al principio para una determinada organización”, explica este experto. Y de esta manera, probablemente se estén desviando los recursos y la atención de nuevas amenazas que han llegado a convertirse en peligros más importantes y de las soluciones para luchar contra ellas.

Young denomina a este fenómeno “desidia” o “inercia”. Hace referencia a la progresiva inutilidad de una herramienta sin que la empresa se de cuenta de ello, y, en consecuencia, a la continidad ciega de la inversión de ésta en aquella. La organización da por hecho que las cosas están resueltas porque una vez lo estuvieron, presuponiendo que nada cambia, y sin plantearse realmente si la herramienta en cuestión le sigue aportando la protección más efectiva en costes para su red.

Probablemente otras amenazas más nuevas y dañinas justificarían la introducción de herramientas diferentes, según Young. Por eso, dado que las empresas siempre trabajan constreñidas por los presupuestos, deberían revisar regularmente la totalidad de su arquitectura de seguridad para comprobar que no ha perdido eficiencia ni actualidad con el tiempo.

Quizá una tal revisión llegue a poner en cuestión el concepto tradicional de la seguridad, que presupone determinados valores, como la eficiencia de los cortafuegos, explica Babeck Pashdar, analista especializado en seguridad y fundador de la consultora Bat Blue. “Los firewalls tienen sus limitaciones, sólo alertan. Un firewall simplemente tiene la capacidad de comunicar quién es la fuente, la dirección IP, cuál es el destino y cuál el camino seguido por el tráfico en cuestión. No pueden examinar los patrones para informar si el tráfico es bienintencionado o no”.

En opinión de Young, el mejor remedio contra la “inercia” consiste en revisar periódicamente, desde sus mismos cimientos, la arquitectura de seguridad en el contexto de los más recientes patrones de las amenazas y la inversión del dinero necesario en la introducción de las defensas más efectivas contra ellas.

0 comentarios: