Los complejos ataques Advanced Persistent Threat, APT, exigen herramientas de defensa más precisas y refinadas. Tres tecnologías están destinadas analizar el servicio web, el servicio de correo y verificar código sospechoso en un entorno virtualizado. Son Secure Web Gateway (SWG), Secure Email Gateway (SEG) y Advanced Threat Defense (ATD) respectivamente. En este artículo se repasan sus características y funcionamiento.
En la revista Antena número 196 (editada por el Colegio Oficial de Ingenieros Técnicos de Telecomunicación) dediqué un artículo a los ataques conocidos bajo el nombre APT ( (“Introducción a ciberataques APT, Advanced Persistent Threat”, Antena nº 196). Describimos las características particulares de este tipo de ciberataques y algunos casos conocidos que han pasado a la historia. En aquel artículo se exponían los cambios necesarios en la organización y en los procesos de seguridad para hacer frente a los ataques APT. En estas páginas vamos a tratar un conjunto de herramientas hardware y software que ayudan a evitar, aunque en realidad lo correcto sería decir dificultar, este tipo de ataques.
Las soluciones organizativas, técnicas y operativas de seguridad que pueden implementarse dependerán de las necesidades del negocio de cada una de las organizaciones, sus recursos disponibles, las inversiones y los gastos que pueda afrontar. Los diseños que faciliten las arquitecturas modulares y el escalado, favorecerán que las soluciones se adecuen a los requisitos del negocio actuales y también puedan adaptarse a los cambios futuros.
Los dispositivos descritos en este artículo forman parte de los conjuntos de sistemas que los fabricantes proponen para hacer frente a cualquier ciberataque, incluidos los complejos ataques APT.
Coevolución del malware y los sistemas de defensa
Las amenazas combinan múltiples elementos malware y sofisticados mecanismos de acceso. Estas son cada vez más complejas y evasivas y capaces de eludir las sólidas defensas. Las actuaciones de los ciberdelincuentes van siempre un paso por delante de las protecciones que deberían evitarlas.
Los sistemas de defensa y prevención también son cada vez más complejos y se diseñan exclusivamente para estos fines. Las relaciones que se establecen entre estos sistemas han llevado a crear el concepto de “ecosistema de seguridad” donde, al igual que ocurre en la naturaleza, se establecen relaciones interdependientes entre los distintos elementos. Pero como ocurre en las relaciones del mundo natural, los pequeños cambios o alteraciones de un elemento pueden traer consecuencias imprevistas en unos o magnificadas en otros.
Si nos centramos en reforzar la seguridad del acceso a la intranet corporativa de la organización, comprobamos que los dispositivos que podemos utilizar son muy variados, ubicuos y móviles. Podemos acceder desde ordenadores de sobremesa, portátiles, teléfonos inteligentes o “tablet”; por redes cableadas, inalámbricas o telefónicas. Los puntos de conexión pueden estar dentro del edificio de la organización; lugares públicos como los hoteles o las estaciones; o privados como las viviendas u otras oficinas. Los perfiles y privilegios de los usuarios son también muy diferentes. Un perfil de invitado puede estar dentro de la oficina o fuera de ella; los empleados con privilegios altos pueden trabajar en remoto desde lugares más o menos inseguros. A pesar de todo este panorama heterogéneo, cada respuesta y autorización de una solicitud de acceso debe ser casi inmediata, verificando, además, el cumplimento de las políticas de seguridad que la organización haya aprobado junto con otros cumplimientos legales obligatorios.
Dispositivos físicos o sistemas virtuales
La primera diferencia entre las soluciones que nos ofrecen los fabricantes es la división entre dispositivos físicos “appliances” o virtuales. La primera opción es un dispositivo electrónico protegido en una caja, con sus conectores y toma de alimentación propia. Incorpora los soportes para ser “enrracado” (una españolización que se puede traducir como acoplamiento en un “rack”) en los bastidores y armarios de los centros de datos. La segunda es un software instalable en diferentes modelos de servidores como pueden ser los servidores “blade” que también están en los centros de datos. Ambas soluciones pueden convivir juntas con alto grado de interoperabilidad, sobre todo si son productos del mismo fabricante.
Los fabricantes suelen ofrecer ambas posibilidades. La elección depende, sobre todo, de la magnitud del objeto de análisis, la capacidad y el rendimiento que se exija al dispositivo y los presupuestos para la inversión y mantenimiento.
Arquitectura de una red dedicada a la seguridad
Para conseguir mejorar los resultados de las soluciones de defensa, la tendencia es crear una arquitectura de red dedicada exclusivamente a la seguridad. Una red donde se intercambian información los diferentes dispositivos de seguridad, generalmente mediante protocolos exclusivos. Se construye una red paralela a las redes habituales de negocio.
Una red dedicada a la seguridad ofrece las siguientes ventajas:
- La seguridad se puede extender por áreas de protección; desde los puntos finales de los usuarios y la red perimetral hasta los Centros de Procesos de Datos. La división en áreas facilita que la protección se adapte a las zonas más vulnerables.
- Evita que las incidencias y los problemas más comunes de los sistemas TI afecten a la monitorización, seguimiento y análisis de la seguridad.
- El mantenimiento de la red de seguridad es independiente de la red de negocio.
- Facilita el flujo de trabajo y el intercambio automatizado de información, consultas, informes, actualizaciones, etc. entre los distintos dispositivos que constituyen esta red de seguridad.
- Permite la gestión centralizada de la seguridad, disponiendo de toda la información para que los administradores gestionen las alertas desde un único punto.
- Permite la creación de un SOC (Security Operations Center) y un NOC (Network Operations Center), con tareas diferenciadas, aunque relacionadas.
- Recolecta masiva de información de forma centralizada, durante largos periodos de tiempo que facilita la correlación histórica de ataques.
- Bloqueo más rápido del malware, sobre todo en los puntos más vulnerables.
- Intercambio de datos sobre del malware descubierto, ofreciendo una protección proactiva ante futuras intrusiones. La actualización de listas de reputación es más rápida porque no se intercambia por la red de negocio.
- Conexión con sistemas remotos de terceros, en la nube, para apoyo y consulta por canales dedicados, exclusividad para este tipo de comunicaciones.
- Configuración de los sistemas de seguridad según las políticas empresariales sin afectar al funcionamiento de otros sistemas.
- Facilidad para poner en cuarentena de una manera muy rápida los sistemas violentados, impidiendo la propagación del malware y reduciendo el impacto.
Las principales desventajas son evidentemente, el aumento de los costes, la complejidad organizativa, la gestión de las operaciones de seguridad junto con las de negocio. Todo un reto de gestión.
Los dispositivos que trataremos en las próximas secciones se apoyan mutuamente y se comunican por esta red dedicada.
Análisis de los servicios
Los sistemas de seguridad centran principalmente su actividad sobre los dos servicios más utilizados en las organizaciones: los servicios web y el correo. Dos dispositivos especializados se unen al inventario de los equipos de red como routers, switches, firewalls, proxies, IPS (Intrusion Prevention System), IDS (Intrusion Detection System), entre otros.
Estos dispositivos son las pasarelas de acceso a web y de correo cuyo nombre en inglés es Secure Web Gateway, SWG y Secure Email Gateway, SEG. Se denominan pasarelas porque su posición en la red está intercalada entre los puestos finales de los usuarios y los servidores proxy de acceso a internet o los servidores de correo respectivamente. Estas pasarelas analizan y filtran el tráfico de estos servicios que pasa a través de ellos, aplicando reglas y motores de análisis. El funcionamiento es similar entre ambos dispositivos, pero las peculiaridades del tipo de tráfico imponen sus diferencias. La seguridad del servicio web y del correo depende del resultado que se haya obtenido después de los respectivos procesos de análisis.
Reglas y motores de análisis
Cada servicio y su tráfico tienen sus propios riesgos y amenazas. El tipo de tráfico o flujo de datos que entra o sale en la intranet de la organización se debe analizar minuciosamente según sus características.
Las reglas de análisis
El proceso de análisis que se realiza en el dispositivo, físico o virtual, se gestiona y administra a través de la configuración de reglas. Para su implementación, cada regla tiene responder a las siguientes cuestiones:
- ¿Qué elemento del flujo de datos entrante o saliente se va a analizar?
- ¿Qué condiciones de cumplimiento debe tener el elemento analizado?
- ¿Qué motor de análisis se va a utilizar?
- ¿Qué acciones se van a tomar según los resultados del análisis?
Las reglas constituyen bloques que analizan el flujo de datos de forma encadenada. Cuando finaliza la aplicación de una regla, una posible acción es la ejecución de la siguiente regla. Si en una de ellas se cumplen las condiciones sobre el elemento, el análisis finaliza y no se ejecutan las siguientes. Finalmente se realiza la acción consecuente y se decide sobre el flujo datos.
Los métodos de análisis que subyacen en las reglas se basan en tecnologías denominadas “motores de análisis”. Estos motores son procedimientos que actúan como filtros para discriminar los flujos de datos buenos del potencialmente malo o sospechoso. (Cada vez que se mencionen “motores de análisis” o simplemente “análisis” debemos entender que éstos se aplican a través de la configuración de los parámetros de reglas concretas).
El proceso de análisis se implementa en dos grandes grupos que actúan en orden secuencial. El primer grupo lo forman los motores de análisis estáticos y el segundo los motores de análisis dinámicos. Los productos comerciales más económicos disponen sólo análisis estáticos, siendo el análisis dinámico mucho más complejo y costoso.
 |
Figura 1. Esquema de la sucesión de los análisis estático y dinámico |
Motores de Análisis Estáticos
Los motores análisis estáticos se basan en consultas de determinados elementos del flujo de datos sobre listas de contenidos conocidos. Si el elemento consultado coincide con alguno que está presente en la lista, se ejecuta la acción sobre el flujo asociado al elemento. El resultado puede ser que el flujo se permita, aísle, elimine o bloquee. El análisis, por lo tanto, funciona como un filtro (como filtros también son conocidas estas tecnologías).
Los motores de análisis estático se clasifican:
- Análisis de reputación. El elemento objeto de análisis son las direcciones URL (Uniform Resource Locator), IP, Dominios, etc. que se consulta sobre listas de estos elementos conocidos. Las listas que se dividen en:
- Listas blancas: las direcciones URL, IP o dominios son fiables o están autorizados.
- Listas negras: las direcciones están prohibidas o son maliciosas.
- Listas grises: no se dispone de suficiente información.
- Análisis de firmas de código de malware. Estas listas las utilizan los antivirus. Están formadas por las firmas del malware. Cada vez que se detecta un software malicioso, se incorpora a las listas de firma de antivirus para que sean detectadas en posteriores consultas y eliminadas de la red.
- Emuladores en tiempo real. Están destinados a ejecutar el código ejecutable que es habitual en determinado tipo de tráfico. Su comportamiento es más o menos predecible ofreciendo un nivel mayor o menos de riesgo, en porcentaje.
La ventaja del análisis estático es su rapidez. Aunque en el descubrimiento del malware se le considera un método simple y poco preciso porque suelen analizar sólo partes de las cabeceras de los ficheros. Los ficheros malware pueden encubrir (“ofuscar” en la traducción del término inglés) para confundir a los motores de análisis.
Las reglas que configuran los análisis estáticos se denominan reglas estáticas. Más adelante se explican otros detalles de ellas.
Motores de Análisis Dinámicos
El análisis dinámico entra en juego cuando un programa sospechoso no ha sido detectado cien por cien como malware por los motores de análisis estáticos. En ese caso, puede que sólo se le haya asignado un porcentaje de duda en que sea o no malware.
El análisis dinámico se basa en crear un entorno aislado y seguro, virtualizado, conocido como “sandbox” o como técnica de “sandboxing”. El objetivo de este entorno cerrado es que se pueda ejecutar el programa sospechoso y observar su comportamiento. La máquina virtual soporta un sistema operativo idéntico al que posee el servidor o los ordenadores de los usuarios. Sobre este sistema operativo se ejecutará el programa sospechoso como si fuese descargado en un equipo real de la organización. Cuando se va a analizar el programa, se arranca el sistema operativo virtualizado, se instala el programa y se ejecuta. Las aplicaciones de análisis de la “sandbox” comprueban si modifica la configuración del sistema operativo, trata de establecer conexiones por los puertos a internet, cambia el contenido de registros del sistema, escribe en determinados sectores del disco, etc. En caso, que ocurriesen esas tareas no deseadas, el programa sería considerado malicioso con una seguridad del cien por cien de acierto, y no sería descargado ni instalado.
Este proceso de análisis es más lento, requiere muchos más recursos adicionales: espacio de memoria, rendimiento del procesador, almacén de sistemas operativos virtualizados, etc. Los dispositivos ejecutan todo el análisis dinámico de manera automática: arrancar la máquina virtual, instalar el programa sospechoso, verificar los cambios de configuración y finalmente, tras la conclusión del análisis, detener la máquina virtual y devolverla al estado inicial, preparada para el siguiente proceso.
Cuando un malware no ha sido detectado por los motores de análisis dinámicos podemos estar ante un ataque “Día 0” (0- Day).
Generalmente los sistemas basados en análisis dinámicos se encuentran en dispositivos dedicados a esta función. Algunos son denominados comercialmente por los fabricantes ATD (Advanced Threat Defense) u otro nombre muy similar.
 |
Figura 2. Esquema de un sistema basado en “Sandbox” |
La seguridad del correo y los servicios web
Dedicaremos los próximos apartados a dos equipamientos para garantizar la seguridad de los servicios web y de correo. Estos dispositivos proporcionan un análisis estático propio para las peculiaridades de cada servicio y se combinan con otros sistemas, los referidos anteriormente como ATD, útiles para completar el análisis dinámico. Como veremos, la funcionalidad de estos dispositivos va mucho más allá que la de los firewalls convencionales.
Luis F. Real
