martes, 2 de marzo de 2021

Evitar ataques APT con sistemas SWG, SEG y ATD (parte II)

 

En la primera parte expusimos algunos conceptos generales que ayudan a comprender cómo debe ser la defensa ante ataques APT. En las siguientes páginas vamos a conocer las soluciones tecnológicas para la seguridad del servicio web.

Secure Web Gateway, SWG

Según la definición en el glosario de Gartner: “Las pasarelas web seguras (SWG) utilizan filtros URL y malware conocido como defensa avanzada. Se utilizan para proteger a los usuarios de las amenazas transmitidas por Internet y para ayudar a las empresas a cumplir las políticas de uso de Internet. Los SWG se implementan como dispositivos locales, virtuales o físicos, o servicios basados en la nube; también es posible una combinación en local y en la nube denominada modo híbrido.” Pero Gartner concluye “Los proveedores continúan discrepando en el grado de madurez y las características de los servicios basados en la nube, y en su capacidad para proteger a las empresas de amenazas avanzadas.”

 

Definición de SWG según Gartner

 Definición según Gartner

La función principal de SWG es interceptar y filtrar el tráfico web según las reglas que se configuren. Adicionalmente, algunos modelos de equipos pueden añadir otras funciones como autenticar usuarios mediante consultas internas o externas con diversos métodos como NTLM (NT-LAN Manager es un conjunto de protocolos de Microsoft), LDAP (Lightweight Directory Access Protocol), RADIUS (Remote Authentication Dial-In User Service), Kerberos, entre otros. De este modo se consigue el control administrativo de los usuarios sobre el mismo dispositivo que se controla el tráfico web.

La protección del tráfico web generalmente se basa en respuestas reactivas. Como se ha visto anteriormente, éstas son el resultado del uso de reglas estáticas. Las reglas más habituales son filtrar direcciones utilizando listas negras o listas blancas, y bloquear malware con antivirus basados en firmas. En estos casos hay que disponer de datos previos conocidos: las direcciones calificadas como maliciosas y las firmas del malware y virus detectados.

Los métodos reactivos no sirven para ataques “Día 0” o el surgimiento de nuevas URL dañinas. No obstante, los análisis estáticos son necesarios, pero deben ir acompañados de otras medidas de seguridad más avanzadas que puedan hacer frente a ataques complejos.


 

La incorporación de SWG en la red corporativa debe permitir el análisis de: 

Tráfico saliente. Solicitudes de páginas web iniciadas por el usuario.

  • Aplicación de las políticas de la empresa para el acceso y uso de internet por los empleados.
  • Si el tráfico a internet está permitido, entonces se emplean las siguientes técnicas de análisis.

-    En las solicitudes iniciadas por el usuario primero se aplica las políticas de uso de Internet de la empresa.

-    Consulta de las listas de reputación de URL, direcciones o dominios; en listas negras o blancas, tanto en bases de datos locales como remotas (llamada también globales) de servicios en la nube. Filtrado basado en categorías (páginas comerciales, juegos, apuestas, adultos, etc.)

-    Inspección de paquetes tráfico SSL (Secure Socket Layer), TLS (Transport Layer Security) y otras aplicaciones ocultas con el cifrado.

-    Análisis del contenido del tráfico generado por el usuario en todos los protocolos web principales, incluidos HTTP, HTTPS y FTP. 

-    Vigilancia de la pérdida de información confidencial, sensible o clasificada que se filtra desde la organización a las redes sociales, blogs, “wikis” o herramientas de productividad en red, como el correo, las agendas y los calendarios basados en la web.

-    Vigilancia que los datos no autorizados no puedan salir de la organización a través de equipos infectados por “bots” (reducción del plural de robots). Enviando información confidencial al atacante.

-    Ajuste continuo de las reglas para adaptar los filtros, las listas de reputación, los tipos de medios (video, audio, voz, etc.) y otras aplicaciones a las necesidades de la red de la organización.

Tráfico entrante. Incluye las respuestas a las solicitudes de los usuarios, así como las entradas no solicitadas o espontáneas. Especial atención al tráfico dirigido a los servidores de la empresa, a través de descargas de datos o documentos. El contenido se analiza antes de que se deposite en el destino protegiendo tanto el propio servidor como otras aplicaciones instaladas en él.

  • Aplicación de las políticas de la empresa para empleados, pero también las que se refieren a las conexiones remotas, descargas de contenidos, ficheros, códigos ejecutables o programas.
  • Se emplean las técnicas análisis cuando el tráfico a internet está permitido. Análisis de las sesiones establecidas entre el tráfico entrante y saliente.

-    En las solicitudes web iniciadas por el usuario se aplican las políticas de la empresa sobre la configuración de los navegadores. Por ejemplo, prohibir la apertura de ventanas emergentes, controlar las facilidades de descargas de contenidos, los cambios de configuración por un usuario no autorizado.

 -    Examen del tráfico SSL con el fin de ofrecer protección exhaustiva contra código malicioso o aplicaciones de control que se ocultan con técnicas de cifrado.

 -    Técnicas de análisis locales compartidas con otros dispositivos internos o externos con función soporte. Estos dispositivos emplean las técnicas “sandboxing”. Es necesaria la conectividad y la comunicación con estos dispositivos para analizar contenidos ejecutables que entran en la red a través de las páginas web solicitadas.


Arquitectura de la red

Los SWG se puede integrar en la red de tres maneras según los distintos modelos de los fabricantes. En los modos switch y router, los usuarios no son conscientes de la presencia del SWG en la red.

Modo Switch. El SWG actúa como un bridge entre sus clientes y la web. No es necesaria la configuración de los clientes. Comparten el mismo segmento de red.

Modo Router. El SWG tiene un extremo en una red y el otro en otra red diferente. El tráfico debe ser enrutado de acuerdo a las tablas de enrutamiento que los administradores deben configurar en el dispositivo.

Modo Servidor Proxy. Los usuarios se comunican con el SWG. Los usuarios deben configurar sus interfaces de red hacia el dispositivo.




Proceso de análisis del Servicio Web

En el SWG se pueden arrancar cuatro procesos de análisis independientes, que se inician por:

  • Las solicitudes de los usuarios
  • Las respuestas a las solicitudes
  • Análisis de los objetos (ficheros, código ejecutable, programas, etc.) embebidos en las solicitudes
  • Análisis de los objetos embebidos en las respuestas


La Tabla I muestra los procesos de análisis web y quién inicia los procesos.

 
Las políticas de seguridad de la compañía se implementan en las reglas. La s
elección y configuración de las reglas debe realizarse inicialmente para asegurar determinadas áreas de la red interna. Las reglas se configuran con elementos que realizan un filtrado muy amplio y poco a poco se añaden y se ajustan las reglas para que permitan un filtrado más minucioso, más granular. Las áreas básicas de protección deben estar cubiertas por filtros de listas de reputación (URL, IP, dominios), contenidos, tipo de tráfico y filtros antimalware. 

Por ejemplo, si la política de seguridad debe ser que los usuarios no puedan acceder a una determinada página web, la regla de filtro URL de “lista negra” tiene que estar activa y la dirección prohibida contenida en dicha lista. Cuando un usuario solicitase el acceso a esta web, la regla verifica la presencia de la dirección en la lista y en consecuencia se bloqueará la página web. Al usuario se le envía un mensaje de aviso sobre su prohibición debido a la política de la compañía.
Cada uno de los procesos aplicas sus reglas, aunque algunas pueden ser similares o compartidas. Las reglas pueden estar en diferente orden de ejecución y promover acciones y resultados diferentes según el proceso en que se encuentren. Proporcionan mucha versatilidad al sistema de seguridad, pero la configuración y administración son más complejas.


Reglas de análisis

Las reglas tienen las siguientes partes configurables:

  • Activación de la regla para que participe en los procesos de análisis.
  • Los criterios de cumplimiento: se selecciona qué elemento se va a comparar y el valor que debe de tener para que sea coincidente con los de las listas.
  • Las acciones que se deben ejecutar cuando existe o no coincidencia.
  • Los eventos que se dispararán junto con las acciones cuando exista o no coincidencia.

Las reglas especifican unos criterios y condiciones que deben cumplir los datos y los objetos embebidos del tráfico interceptado. Los valores que configura el administrador del SWG se comparan con los valores en el flujo a través de sentencias lógicas, bajo ellas se ejecutan los motores de análisis. Desde la perspectiva de la configuración de las reglas, los criterios de cumplimiento se basan en las sentencias comparativas. En sistemas más complejos pueden configurarse reglas anidadas; es decir, el resultado de la sentencia de una regla pueda ser la ejecución de otra regla diferente.
Las acciones pueden variar según la importancia o gravedad del análisis que haga la regla. Afectan al propio flujo de datos u objetos embebidos. Por ejemplo, son muy importantes las reglas para analizar el malware porque si no se filtra, tendrá un gran impacto en la infraestructura y servicios TI. En cuanto a los eventos, son respuestas adicionales que consisten principalmente en el incremento de contadores para datos estadísticos, notificación de correo a los administradores, mensajes “log”, indicaciones de alarmas, etc.

La Figura 1 muestra esquemáticamente el aspecto más formal de las reglas.

Figura 1. Esquema de las reglas

Figura 1. Esquema de las reglas


Algunas reglas tienen largos procesos de análisis; por ejemplo, cuando se consulta una lista de reputación global en la nube. En este caso, mientras se espera la respuesta, se siguen ejecutando las siguientes reglas. Si la respuesta de la consulta previa exigiese el bloqueo del flujo de datos o de un objeto embebido entonces éste sería bloqueado inmediatamente y no se tendrían en cuenta los resultados de las reglas posteriores. Esta forma de proceder evita que el SWG sea un cuello de botella para el tráfico desde y hacia internet.

El administrador debe gestionar los elementos adecuadamente. Se pueden añadir, ordenar, mover o borrar. Los valores se tienen que ajustar día a día para que los filtros funcionen eficazmente. No obstante, hay que proporcionar unas reglas preconfiguradas y activas para el análisis inicial, cuando el equipo se conecta a la red por primera vez. Por ejemplo, la lista de firmas del antimalware ha de estar instalada localmente para su uso antes de permitir la conexión de los usuarios. La lista aumentará según se añadan firmas y ofrecerá con el tiempo un filtro más completo. 

Los SWG proporcionan un conjunto de reglas aplicadas por defecto y otras que se deja al administrador su selección y configuración según las necesidades de su red. La Tabla II contiene las reglas más habituales en un SWG.

 
Los administradores gestionan estas reglas. Las tareas de gestión consisten en editar, modificar, activar, borrar, importar o exportar a ficheros para poder reinstalar o instalar en otros equipos.
Algunas acciones permitidas en las reglas están en la Tabla III.
 

La configuración del dispositivo es la configuración del modo en que el SWG se integra en la red local (modo switch, router o proxy), los puertos para su administración y conectividad con otros dispositivos y servicios adicionales entre otros.




Listas de confianza y niveles de riesgo

Las reglas utilizan elementos de comparación en listas dinámicas y largas. Las listas son gestionadas por el administrador. Sus elementos pueden ser creados, movidos, ordenados, borrados, exportados, importados, etc. La Tabla IV muestra las listas más habituales.


Los SWG pueden utilizar listas externas que se encuentran almacenadas en otros servidores remotos. La gestión puede ser:

  • Las listas se importan, instalan y procesan en módulos dedicados. Tienen un tamaño limitado debido a la memoria disponible. Las listas se descargan de servidores web utilizando protocolos HTTP, HTTPS ó FTP; servidores LDAP y LDAPS, Bases de Datos SQL etc. 
  • La lista no se descarga. El dispositivo realiza la consulta remota y se recibe una respuesta. En este caso, el tiempo de consulta es más lento pero se evita la tarea de descargar y mantener las listas ocupando memoria.

Las listas externas tienen desventajas. La configuración del SWG es más compleja. Implica la configuración de los interfaces para la conexión remota. La habilitación de este tráfico en los firewalls o NAT (Network Address Translation) de la red interna, los procedimientos de autenticación en los extremos, la transferencia de los ficheros, los periodos de uso de la caché donde se guardan, así como atributos específicos. Esta red con conexión al exterior forma parte de la red dedicada a la seguridad como expusimos anteriormente.

La ventaja de uso de listas externas es que eliminan los intervalos de desprotección que ocurren entre el momento de cambio de un elemento de la lista y su actualización en el sistema. Durante esos breves instantes no estaría operativa para su uso por los motores de análisis. Las listas externas ofrecen una amplia cobertura con datos de cientos de millones de muestras que aportan los equipos de clientes distribuidos por el mundo, por eso a veces se denominan globales. La responsabilidad del mantenimiento y actualización de las listas externas puede ser del propio fabricante del SWG o puede recaer en otras compañías que ofrecen el servicio. Los resultados de los análisis incrementan las listas internas locales, pero pueden ser exportados a enriquecer las listas externas.

Filtrado antimalware y niveles de riesgo

El módulo antimalware del SWG tiene su conjunto de reglas y motores de análisis. Su objetivo es detectar virus o programas maliciosos.

El malware suele estar comprimido. Los motores de análisis de malware deben ser capaces de descomprimir código para obtener los códigos ejecutables originales para su inspección. Esto exige que los módulos cuenten con una amplia variedad programas descompresores instalados, con la capacidad de actualizar versiones y descubrir, descargar e instalar aquellos que surjan nuevos. Estos programas son requeridos por el SWG a otros dispositivos de la red o a servidores remotos que ofrecen soporte en la nube, de los cuales son importados preparados para funcionar. Es otro ejemplo del uso de la red de seguridad.
Con el código original descomprimido se pueden buscar atributos e instrucciones para comparar en las listas. 

La Tabla V con los códigos ejecutables más comunes que pueden ser analizados y la Tabla VI muestra tipos de malware y su acción en los sistemas.

El módulo puede ejecutar su función de dos maneras diferentes.

  • Método reactivo. Utiliza las listas de firmas de malware. Sólo detecta malware cuyas firmas son conocidas porque ya han sido detectados. Las reglas determinan si se consultan las listas locales o las externas.
  • Método proactivo. Es un método heurístico, basado en el estudio del comportamiento de objetos embebidos y códigos ejecutables. Si no es el esperado, el analizador le considera sospechoso y vigila con más atención. Para ello agrega una etiqueta a la URL sospechosa. La etiqueta será elimina cuando el finalice el análisis.

Las matemáticas heurísticas son complejas, se basan en modelos de comportamiento y no aportan una solución precisa y clara, los resultados sólo son aproximaciones. El resultado del análisis de código es un porcentaje de riesgo potencial; es decir, la probabilidad que el código sea más o menos malicioso. 

 


Uno de los parámetros ajustables en este tipo de reglas es el umbral de riesgo que supone si el código examinado se permite ejecutar. Un umbral bajo, por ejemplo 10 sobre 100, significa que el ejecutable puede ser clasificado potencialmente malicioso, aunque se hayan cumplido sólo unos pocos criterios que así lo determinen. El umbral bajo crea muchos falsos positivos; es decir, indica que un ejecutable es malware cuando en realidad no lo es. Por el contrario, un umbral de riesgo alto, por ejemplo 90, implica que tienen que cumplirse muchos criterios que determinen que el ejecutable es malware. Este umbral alto y exigente crea pocos falsos positivos, si el diagnóstico es malware, es muy probable que realmente si lo sea. Pero puede crear peligrosos falsos negativos, el riesgo que se deje pasar un malware como un ejecutable fiable es más alto.

Cuando se marca un ejecutable como malicioso, el motor le bloquea e informa al administrador del sistema a través de las pantallas de control y monitorización. Se indica el nivel de riesgo y la probabilidad por la cual se ha bloqueado. Será el administrador el que actúe en consecuencia de forma manual, si decide mantenerlo bloqueado o permitir su paso. El administrador puede modificar los umbrales para afinar los ajustes para posteriores análisis.

Los SWG permiten seleccionar diferentes umbrales de riesgo para distintos ejecutables. La eficacia de los filtros depende de los algoritmos heurísticos utilizados y esto es propiedad de los fabricantes.


El análisis más seguro de los ejecutables se realizará cuando el SWG se conecte al dispositivo ATD. El SWG redirigirá los ejecutables sospechosos a aquél. En el ATD se despliega el entorno virtual, se ejecutará el código sospechoso y observando su comportamiento real será posible determinar realmente si es o no seguro. Si no lo fuese, el objeto analizado será bloqueado inmediatamente.



Pérdida de datos

Las aplicaciones de prevención de pérdida de datos, DLP (Data Loss Prevention), son una solución de la estratégica de la compañía para evitar que se borren o extraigan datos importantes y sensibles. Aplica políticas que identifican la información y la clasifican según criterios de confidencialidad. Los sistemas, por un lado clasifican y etiquetan y por otro lado monitorizan, detectan y bloquean la información. No sólo se implementan en el entorno tecnológico de la red para el flujo de datos, sino que se extiende a los equipos finales de usuario, almacenamiento o sistemas en la nube. Incluye el desarrollo de normativa éticas y compromisos contractuales con los empleados propios y de empresas colaboradoras, suministradoras o clientes.

El análisis más sencillo de la información clasificada según las políticas DLP puede ser a través:

  • Contenido: palabras clave, etiquetas, códigos de documentos, etc.
  • Contexto: origen y destino de la información.

Las reglas deben estar en concordancia con las políticas y de otras aplicaciones DLP instaladas para que el ámbito de la seguridad DLP funcione correctamente.

Geolocalización

La geolocalización es otra función necesaria que permite completar la información de ciberataques producidos. También es útil para extremar las precauciones en comunicaciones que se establezcan con determinados países donde es más fácil que se originen ataques.

Conclusión

Con todo lo expuesto nos permite tener una idea de cómo funcionan estas pasarelas para el servicio web. Las empresas dedicadas a proporcionar estos servicios necesitan estos sistemas de protección para garantizar la confidencialidad de la información, la integridad de los contenidos y la disponibilidad del servicio.

 L. F. Real

 

Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Suscribirse a: Entradas (Atom)