viernes, 25 de junio de 2021

Evitar ataques APT con sistemas SWG, SEG y ATD ( y III)

 


En la primera parte expusimos algunos conceptos generales que ayudan a comprender cómo debe ser la defensa ante ataques APT. En la segunda se expusieron soluciones para el servicio web. En esta tercera veremos los Secure Email Gateway (SEG) y Advanced Threat Defense (ATD). De esta forma se completa el panorama de sistemas antiAPT.

Secure Email Gateway, SEG


Las pasarelas de correo seguro, SEG son dispositivos que además de proporcionar funciones básicas del agente de transferencia de correo MTA (Mail Transfer Agent), añaden motores para analizar en profundidad el correo.


 Definción de SEG según Gartner

 

El SEG no es un firewall, ni un servidor de correo, no sustituye a estos equipos y la organización debe mantener estos dispositivos debidamente configurados.

Para describir el funcionamiento del SEG en la red hay que convenir el sentido de los mensajes de correo. Desde el punto de vista de la organización, los mensajes entrantes son aquellos que se reciben desde fuera de la organización y mensajes salientes aquellos que se envían fuera de la misma como se muestra en la figura 1.


Figura 1. Sentido de los mensajes de correo.


Las tareas de la administración del equipo, tanto para el SEG como el SWG que hemos tratado anteriormente, se dividen en dos conjuntos. Las que gestionan al propio dispositivo como elemento (físico o virtual) o en la nube y las que gestionan las funciones de seguridad. Entre las primeras se encuentra configuración del puerto de acceso, permisos, contraseñas, actualizaciones y versiones del software, licenciamiento, ficheros logs, etc. Dedicamos los siguientes apartados a la gestión de la seguridad.

Arquitectura de la red

Al igual que el SWG, el SEG tiene diferentes formas de conectarse a la red e implica que el dispositivo se configure en diferentes modos.

Modo Switch. El equipo actúa como switch ethernet. En esta arquitectura el servidor de correo externo se comunica con el servidor interno corporativo directamente, como si no existiese el SEG intercalado. Los mensajes son interceptados y analizados por el SEG antes de ser liberados al servidor de correo corporativo. El SEG conecta dos segmentos físicos de red como un bridge, ambos segmentos pertenecen a la misma subred lógica. Los otros equipos como los clientes corporativos, firewall, servidores NAT, servidores de registro de intercambio de correo (registro MX) etc, pertenecen a la misma subred y tienen su propia configuración de dirección IP y máscaras. La configuración de este modo en el SEG es muy sencilla. En el ejemplo de la figura el SEG sólo actúa como bridge entre el router y el firewall.

 Figura 2. Modo Switch


Modo Router. El equipo actúa como un router. Intercepta el tráfico de correo electrónico entre dos subredes distintas. El tráfico que recibe por una red es analizado y reenviado al siguiente equipo situado en una red diferente, según unas tablas de enrutamiento incluidas en el mismo.

Un interfaz tiene una dirección IP para el tráfico analizado entrante y otra interfaz con IP diferente para el tráfico saliente. El funcionamiento del SEG es transparente a los servidores de correo.

El equipo debe situarse junto al firewall en el lado interno de la organización porque puede sustituir al router en la red.  

Figura 3. Modo Router


Los clientes tienen la dirección del “default gateway” a un puerto del SEG. El SEG tiene su dirección “default gateway” hacia la ruta de Internet. Los usuarios deben liberar mensajes corporativos dentro de la intranet de la organización sin salir al exterior.

Modo Servidor Proxy. Los dispositivos de red deben configurarse explícitamente para enviar tráfico al SEG. Luego, el SEG funciona como un proxy o retransmisor, procesando el tráfico en nombre de los dispositivos conectados.

Se debe configurar el servidor de correo interno para retransmitir el tráfico de correo electrónico al SEG. El SEG analiza el tráfico de correo electrónico antes de reenviarlo, en nombre del remitente, al servidor de correo externo. El servidor de correo externo reenvía el correo electrónico al receptor. De forma similar, la red debe estar configurada para que los correos electrónicos entrantes de Internet se entreguen en el SEG y no al servidor de correo interno.

El SEG analiza el tráfico antes de reenviarlo, en nombre del remitente, al servidor de correo interno para su entrega. Por ejemplo, un servidor de correo externo puede comunicarse directamente con el SEG, aunque el tráfico podría pasar a través de varios servidores de red antes de llegar al SEG. El camino percibido es desde el servidor de correo externo al SEG.

El modo de proxy explícito invalida las reglas de firewall configuradas para el acceso de los clientes a Internet. El firewall solo ve la información de la dirección IP física del SEG, no las direcciones IP de los clientes, por lo que el firewall no puede aplicar sus reglas de acceso a Internet a los clientes. Esto afecta a la configuración de los servidores externos del Sistema de Nombres de Dominio, DNS o NAT en el firewall para que el servidor de correo externo entregue el correo al SEG y no al correo interno servidor. En resumen, la configuración es más compleja y susceptible de no ser completamente correcta y por lo tanto más vulnerable.

 Figura 4. Modo Servidor Proxy


Gestión de la seguridad del correo

La gestión de la seguridad en el correo se centra en tres entornos. Dependiendo de las características de los productos de los fabricantes éstos pueden ser más o menos completos:

  • Estado del propio dispositivo físico o virtual: información del sistema y de servicios adicionales del mismo.
  • Estado general del tráfico de correo electrónico mediante indicadores del servicio de correo entrante y saliente.
  • Detección y análisis del tráfico de correo, mensajes, adjuntos, malware, spam, etc.

La implantación de la seguridad en el SEG se realiza mediante la configuración de reglas similares a las vistas en el equipo anterior y no repetiré aquí.

Información del sistema

La información se extrae del funcionamiento del equipo y de la configuración que se haga del mismo. Se clasifica en los siguientes grupos de indicadores.

Información del Sistema. Destaca la siguiente:

  • Entorno físico.

-    Temperatura interna, externa, de los procesadores, etc. Avisos de las variaciones.
-    Funcionamiento de los ventiladores.
-    Estado de la fuente de alimentación

  • Rendimiento del sistema electrónico.

-    Rendimiento de los procesadores, porcentaje de utilización en periodos de tiempo determinados.
-    Disponibilidad de espacio en la memoria. Espacio ocupado y espacio libre.
-    Disponibilidad de espacio en el disco. Espacio ocupado y espacio libre.
-    Niveles de tensión y corriente en los distintos módulos del dispositivo.

  • SAI (Sistema de Alimentación Ininterrumpida).

-    El SAI está o no activado.
-    Conexión del dispositivo a la red o a la batería.
-    Estado de la batería: en uso, cargando, descargando, etc.

  • Estados de los discos de almacenamiento.

-    Estado del Sistema RAID. Discos en funcionamiento, fallos en los discos, degradación de la capacidad de los discos.

  • Interfaces de red

-    Estado de los interfaces.
-    Velocidad de interfaz, datos transmitidos y recibidos, errores.
-    Tramas rechazadas y sus causas.
-    Estados de los protocolos de nivel de enlace y de red. Estado de las conexiones.

  • Sistema redundante. si el dispositivo forma parte de un conjunto redundante, ofrece información del estado del equipo individual y del conjunto.

-    Estado del conjunto: activo, en espera, sin comunicación con el resto, etc.
-    Estado de la comunicación administrativa del conjunto.
-    Estado del balanceo de carga en periodos de tiempo.

Servicios adicionales del sistema. Se refiere a otros servicios adicionales que exigen conexión con otros equipos. Necesitan su propia configuración. Sin entrar en detalles destacar:

 
-    Estado de servicio SNMP para la gestión remota y el envío de eventos.
-    Estado de servicio Syslog para registro del sistema.
-    Estado de servicio NTP para mantener la sincronización con el resto de equipos de la red.
-    Estado de servicios de listas de reputación. Tanto para las locales como las externas: si están disponibles, actualizadas, descargadas, corruptas, etc.
-    Estado de servicios antimalware. Similar al anterior.
-    Estado de otros servicios propietarios

La evaluación de los indicadores nos mostrará en la ventana de monitorización unos mensajes con las acciones a tomar sobre los componentes o partes afectadas:

  • Correcto: los elementos sobre los que se informa funcionan con normalidad.
  • Requiere atención: se ha superado un umbral de advertencia y así se notifica.
  • Requiere atención inmediata: se ha superado un umbral de advertencia crítico.

Los umbrales de advertencia y de alerta se configuran por los administradores. Cuando el elemento supere el umbral configurado, se activará un evento además de los mensajes anteriores. Este puede ser un correo al administrador, un mensaje log, un dato estadístico, etc.



Indicadores del Servicio de Correo

Los indicadores del servicio de correo entrante y saliente muestran un resumen de la entrega y estado de los mensajes recibidos en la organización y enviados desde ella. La clasificación es la siguiente:

  • Número total de mensajes recibidos.

-    Mensajes recibidos a través de conexiones estándar
-    Mensajes recibidos a través de conexión no estándar. Mensajes cifrados a través de una conexión TLS o No-TLS. El contenido cifrado con Secure Web Mail, S/Mime, PGP u otros.

  • Número total de mensajes enviados.

-    Mensajes enviados a través de conexiones estándar
-    Mensajes enviados a través de conexión no estándar. Mensajes cifrados a través de una conexión TLS o No-TLS. El contenido cifrado con Secure Web Mail, S/Mime, PGP u otros.


Cada mensaje recibido o enviado es interceptado y marcado con alguna de las siguientes etiquetas:

  • Entregado
  • Bloqueado
  • Devuelto
  • Análisis omitido
  • En cola para análisis
  • En cuarentena

La asignación de las etiquetas destinadas para analizar el correo o sus adjuntos forzarán la ejecución de las reglas que se hayan configurado para actuar en consecuencia en estos casos.



Análisis del correo

La seguridad del correo exige un análisis profundo y para ello se aplican sus reglas y motores de análisis. Los criterios de cumplimiento y validación permiten encontrar anomalías o desconfianza en la conexión, el remitente, el destinatario o el contenido del correo. El resultado es el bloqueo y la prohibición de la entrega a los destinatarios, mostrando en su lugar avisos de la circunstancia excepcional.

El análisis de los mensajes se realiza para los diferentes protocolos de correo y en sus diferentes partes: destinatario, remitente, copia, contenidos, adjuntos, firma, etc. Las reglas y los motores de análisis se configuran para cada caso.

Se puede clasificar:

  • Mensajes bloqueados por la conexión o el remitente

-    Bloqueo por el remitente. Direcciones no deseadas inscritas en listas negras.
-    Aplicación del método basado en BATV (Bounce Address Tag Validation)
-    Verificaciones de la relación URL e IP basados en FCrDNS (Forward-Confirmed Reverse DNS) consultas inversas en registros PTR de los DNS que confirmen la relación directa e inversa entre la URL y la IP.
-    RBL (Real-time Blackhole List) o DNS RBL. Son listas negras con las direcciones y dominios de creadores de spam, pero también incluye a los proveedores de servicios que no eliminan o detienen este tipo de mensajes.
-    SPF (Sender Policy Framework). Listas que identifican servidores válidos de correo.

  • Mensajes bloqueados por el destinatario

-    El destinatario no está permitido. Prohibido enviar mensaje.
-    Listas grises de destinatarios.
-    Retransmisión bloqueada

  • Mensajes bloqueados por contenido

-    Listas negras de reputación de URL o dominios
-    Listas negras de contenidos.
-    Correos con firmas no autorizadas o sin firmar, según los mecanismos de DKIM (Domain Keys Identified Mail).
-    Detección de Spam. Actualizaciones de las listas de spam cuando los usuarios etiquetan como tal un correo recibido.
-    Detección de “phishing”: petición fraudulenta del nombre de usuario y su contraseña.
-    Filtrado de correo, por ejemplo, por tamaño.
-    Filtrado de archivos. Tipos de archivos no autorizados
-    Filtrado de imágenes.
-    Detección de malware.
-    Detección de Programas Potencialmente no Deseados PUP (Potentially Undesirable Programs) o Hacking Tools.
-    Reputación de URL donde se han producido ataques de denegación de servicio (DoS)
-    Data Loss Prevention, DLP, sistemas de prevención de pérdida o robo de ficheros clasificados.
-    Conformidad con la política de la empresa sobre el uso del correo electrónico corporativo.

  • Mensajes devueltos.
  • Mensajes que por algún criterio no fueron analizados.
  • Mensajes en cuarentena.

Los indicadores de amenazas muestran indicios más o menos fiables de su presencia. A modo de resumen se clasifican según sus reglas de detección formando los siguientes grupos:

  • Remitentes que podrían ser origen de spam
  • Contenidos que albergarían ataque de phishing.
  • Mensajes rechazados por tener tamaño excesivo.
  • Imágenes inapropiadas o pornográficas.
  • Posible presencia de malware.
  • Programas potencialmente no deseados en el correo.
  • Posibles contenidos de compresores.

Las clasificaciones pueden variar, sobre todo para aportar conocimiento del servicio de correo. Será más fácil localizar los agujeros de seguridad y la necesidad de ser reforzados.


Elaboración de informes

Una de las cualidades más importantes que debe tener los SEG o un SWG es la elaboración de informes útiles para la vigilancia del servicio.

Los informes se pueden generar localmente desde el propio SEG, o enviar los datos a otros equipos remotos que serán los encargados de crearles.

La capacidad de almacenamiento de datos para mostrar en los informes es un factor limitante sobre todo en el SEG local, por tal motivo, dependiendo del volumen de correo y los motores de análisis implementados, se hace necesario el uso de equipos externos.

Sistemas ATD


El concepto de “sandbox” inicialmente se empleó para verificar aplicaciones en un entorno Unix. Conceptualmente consiste en situar el programa bajo observación en un entorno aislado, sin interacciones de otros procesos y sin acceso al exterior, de este modo es más fácil manipular variables para analizar y verificar concienzudamente el funcionamiento del programa. Del uso en este entorno de desarrollo ha pasado al entorno de la seguridad, para comprobar la funcionalidad de una aplicación de dudosa confianza.

La virtualización ha facilitado que el concepto de sandbox amplíe su significado a cualquier entorno de prueba y desarrollo.

La Figura 5 muestra un ejemplo de análisis dinámico en un entorno virtual. En este caso, un programa se ha etiquetado como sospechoso por los diversos sistemas que conforman la cadena de protección. El programa sospechoso se descargó en un puerto USB desde un “pendrive”. Primero lo ha analizado el antivirus local del puesto de usuario, sin llegar a una conclusión. El programa se envía desde el puesto de usuario a servidores con listas locales más amplias, también cuentan con el apoyo de realizar consultas remotas, con mayor número de firmas de malware. Ante la incapacidad de ofrecer un resultado determinante, el fichero se traslada a al servidor ATD. En él se arranca el sistema operativo virtual idéntico al que tiene instalado el puesto de usuario que detectó el programa sospecho. En el entorno virtualizado se ejecuta el programa sospechoso y se analiza su comportamiento, incluso la posibilidad de acceso a la red para añadir más código malicioso. Si el resultado definitivo es que se trata de malware, sus características se incluirán en las listas de reputación, tanto locales como remotas, y sobre todo, el programa se bloquea en el puesto de usuario.
 



Figura 5. Esquema de un análisis en un entorno virtual


El sistema ATD debe tener todos los sistemas operativos de la compañía susceptibles de ser infectados por malware. Esto exige una gestión de los activos software muy rigurosa y actualizada.

El ataque de WannaCry de mayo de 2017 puso de manifiesto el problema que puede sobrevenir si las aplicaciones y programas no están puestos al día. El ataque aprovechó una vulnerabilidad conocida en el sistema operativo, pero que el fabricante Microsoft había solucionado en sus parches. Muchas compañías no habían actualizado sus sistemas operativos con la incorporación del parche. Por lo tanto, eran vulnerables. El “ransomware” se pudo ejecutar con el resultado de sobra conocido.

Esto también pone en evidencia la dificultad que supone para los administradores de sistemas mantener una buena gestión de las versiones software. Cada día aparecen fallos, arreglos, parches, paquetes, versiones de cualquier aplicación. Es difícil mantener una instalación estable que no altere el curso de las operaciones sin comprometer la seguridad. Aunque nos desviamos del tema, habrá que dejar este tema para otra ocasión.



Nuevo reto: eludir los análisis en entornos virtuales

Ahora nos cruzamos al lado oscuro: ¿cómo pueden los atacantes eludir los análisis en entornos virtuales? Vamos a responder en unas notas muy breves a este reto propuesto. 

Una manera de eludir este tipo de comprobaciones es que el código malware, cuando se descargue en el entorno virtual, ralentice su arranque. De esta forma transcurre el tiempo mientas que el código maligno se propaga, instala y se ejecuta en sus objetivos reales de la organización. Cuando el departamento de ciberseguridad concluya el análisis del entorno virtual puede que sea demasiado tarde y el malware se haya reubicado en los sistemas.

Otra técnica programada en el malware es que éste, antes de ejecutarse, pueda verificar si se encuentra confinado en un entorno virtual donde será descubierto; o, por el contrario, si se encuentra en el entorno abierto de la organización, como cabría esperar. El malware, para comprobar dónde está, realiza conexiones a través de los puertos abiertos de la red. Si consigue establecer comunicación con un servidor externo deducirá que no se encuentra en un entorno virtual, del cual, además podrá descargar código adicional para desarrollar el ataque. Cuando está en un entorno virtualizado, puede que éste no le permita establecer esa conexión al exterior. En este caso el malware se queda inactivo, tratando de pasar como confiable y pueda pasar el filtro. De esta forma puede alcanzar su objetivo.

Comprobamos como los ciberdelincuentes encuentran constantemente las estrategias para evitar se detectados por los sistemas más sofisticados y complejos de defensa, como los ATD. Todavía queda mucho por conocer de estos sistemas y las relaciones con otros. Habrá que dedicarles más tiempo en otra ocasión.

Conclusión


La dificultad de los equipos vistos reside en el ajuste de los análisis.

Cada nueva versión y modelo proporcionan nuevas funcionalidades que se integran o amplían con las existentes. En el portafolio de la empresa un año aparecen productos individuales y al año siguiente se venden integrados en uno único.

El cliente puede decidir cambiar aspectos de su negocio, modificar los servicios y la infraestructura TI. Estas situaciones alteran constantemente la arquitectura de seguridad que se diseñó originalmente. La revisión es continua, no sólo por los sofisticados ataques que ocurren cada día, las herramientas de seguridad mejoradas; sino que también, para adaptarse a los nuevos cambios que implementan los clientes. 

Referencias

CCN-CERT Centro Criptológico Nacional. “CCN-STIC-401 Glosario y Abreviaturas”.

Gartner Glossay La investigación y evaluación de productos que realiza Gartner debe ser la primera fuente de consulta para conocer aquellos que tienen más impacto tecnológico.

En la Sala de Lecturas, Reading Room, de SANS Institute se pueden leer los artículos más destacados sobre ciberseguridad.

Cisco Cyber Threat Defense.

McAfee Advanced Threat Defense

Fotografías y esquemas de L. F. Real. Iconos diseñados por Kameleon

L. F. Real

Publicado por en
Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)