Gestión de la seguridad del correo
La gestión de la seguridad en el correo se centra en tres entornos. Dependiendo de las características de los productos de los fabricantes éstos pueden ser más o menos completos:
- Estado del propio dispositivo físico o virtual: información del sistema y de servicios adicionales del mismo.
- Estado general del tráfico de correo electrónico mediante indicadores del servicio de correo entrante y saliente.
- Detección y análisis del tráfico de correo, mensajes, adjuntos, malware, spam, etc.
La implantación de la seguridad en el SEG se realiza mediante la configuración de reglas similares a las vistas en el equipo anterior y no repetiré aquí.
Información del sistema
La información se extrae del funcionamiento del equipo y de la configuración que se haga del mismo. Se clasifica en los siguientes grupos de indicadores.
Información del Sistema. Destaca la siguiente:
- Temperatura interna, externa, de los procesadores, etc. Avisos de las variaciones.
- Funcionamiento de los ventiladores.
- Estado de la fuente de alimentación
- Rendimiento del sistema electrónico.
- Rendimiento de los procesadores, porcentaje de utilización en periodos de tiempo determinados.
- Disponibilidad de espacio en la memoria. Espacio ocupado y espacio libre.
- Disponibilidad de espacio en el disco. Espacio ocupado y espacio libre.
- Niveles de tensión y corriente en los distintos módulos del dispositivo.
- SAI (Sistema de Alimentación Ininterrumpida).
- El SAI está o no activado.
- Conexión del dispositivo a la red o a la batería.
- Estado de la batería: en uso, cargando, descargando, etc.
- Estados de los discos de almacenamiento.
- Estado del Sistema RAID. Discos en funcionamiento, fallos en los discos, degradación de la capacidad de los discos.
- Estado de los interfaces.
- Velocidad de interfaz, datos transmitidos y recibidos, errores.
- Tramas rechazadas y sus causas.
- Estados de los protocolos de nivel de enlace y de red. Estado de las conexiones.
- Sistema redundante. si el dispositivo forma parte de un conjunto redundante, ofrece información del estado del equipo individual y del conjunto.
- Estado del conjunto: activo, en espera, sin comunicación con el resto, etc.
- Estado de la comunicación administrativa del conjunto.
- Estado del balanceo de carga en periodos de tiempo.
Servicios adicionales del sistema. Se refiere a otros servicios adicionales que exigen conexión con otros equipos. Necesitan su propia configuración. Sin entrar en detalles destacar:
- Estado de servicio SNMP para la gestión remota y el envío de eventos.
- Estado de servicio Syslog para registro del sistema.
- Estado de servicio NTP para mantener la sincronización con el resto de equipos de la red.
- Estado de servicios de listas de reputación. Tanto para las locales como las externas: si están disponibles, actualizadas, descargadas, corruptas, etc.
- Estado de servicios antimalware. Similar al anterior.
- Estado de otros servicios propietarios
La evaluación de los indicadores nos mostrará en la ventana de monitorización unos mensajes con las acciones a tomar sobre los componentes o partes afectadas:
- Correcto: los elementos sobre los que se informa funcionan con normalidad.
- Requiere atención: se ha superado un umbral de advertencia y así se notifica.
- Requiere atención inmediata: se ha superado un umbral de advertencia crítico.
Los umbrales de advertencia y de alerta se configuran por los administradores. Cuando el elemento supere el umbral configurado, se activará un evento además de los mensajes anteriores. Este puede ser un correo al administrador, un mensaje log, un dato estadístico, etc.
Indicadores del Servicio de Correo
Los indicadores del servicio de correo entrante y saliente muestran un resumen de la entrega y estado de los mensajes recibidos en la organización y enviados desde ella. La clasificación es la siguiente:
- Número total de mensajes recibidos.
- Mensajes recibidos a través de conexiones estándar
- Mensajes recibidos a través de conexión no estándar. Mensajes cifrados a través de una conexión TLS o No-TLS. El contenido cifrado con Secure Web Mail, S/Mime, PGP u otros.
- Número total de mensajes enviados.
- Mensajes enviados a través de conexiones estándar
- Mensajes enviados a través de conexión no estándar. Mensajes cifrados a través de una conexión TLS o No-TLS. El contenido cifrado con Secure Web Mail, S/Mime, PGP u otros.
Cada mensaje recibido o enviado es interceptado y marcado con alguna de las siguientes etiquetas:
- Entregado
- Bloqueado
- Devuelto
- Análisis omitido
- En cola para análisis
- En cuarentena
La asignación de las etiquetas destinadas para analizar el correo o sus adjuntos forzarán la ejecución de las reglas que se hayan configurado para actuar en consecuencia en estos casos.
Análisis del correo
La seguridad del correo exige un análisis profundo y para ello se aplican sus reglas y motores de análisis. Los criterios de cumplimiento y validación permiten encontrar anomalías o desconfianza en la conexión, el remitente, el destinatario o el contenido del correo. El resultado es el bloqueo y la prohibición de la entrega a los destinatarios, mostrando en su lugar avisos de la circunstancia excepcional.
El análisis de los mensajes se realiza para los diferentes protocolos de correo y en sus diferentes partes: destinatario, remitente, copia, contenidos, adjuntos, firma, etc. Las reglas y los motores de análisis se configuran para cada caso.
Se puede clasificar:
- Mensajes bloqueados por la conexión o el remitente
- Bloqueo por el remitente. Direcciones no deseadas inscritas en listas negras.
- Aplicación del método basado en BATV (Bounce Address Tag Validation)
- Verificaciones de la relación URL e IP basados en FCrDNS (Forward-Confirmed Reverse DNS) consultas inversas en registros PTR de los DNS que confirmen la relación directa e inversa entre la URL y la IP.
- RBL (Real-time Blackhole List) o DNS RBL. Son listas negras con las direcciones y dominios de creadores de spam, pero también incluye a los proveedores de servicios que no eliminan o detienen este tipo de mensajes.
- SPF (Sender Policy Framework). Listas que identifican servidores válidos de correo.
- Mensajes bloqueados por el destinatario
- El destinatario no está permitido. Prohibido enviar mensaje.
- Listas grises de destinatarios.
- Retransmisión bloqueada
- Mensajes bloqueados por contenido
- Listas negras de reputación de URL o dominios
- Listas negras de contenidos.
- Correos con firmas no autorizadas o sin firmar, según los mecanismos de DKIM (Domain Keys Identified Mail).
- Detección de Spam. Actualizaciones de las listas de spam cuando los usuarios etiquetan como tal un correo recibido.
- Detección de “phishing”: petición fraudulenta del nombre de usuario y su contraseña.
- Filtrado de correo, por ejemplo, por tamaño.
- Filtrado de archivos. Tipos de archivos no autorizados
- Filtrado de imágenes.
- Detección de malware.
- Detección de Programas Potencialmente no Deseados PUP (Potentially Undesirable Programs) o Hacking Tools.
- Reputación de URL donde se han producido ataques de denegación de servicio (DoS)
- Data Loss Prevention, DLP, sistemas de prevención de pérdida o robo de ficheros clasificados.
- Conformidad con la política de la empresa sobre el uso del correo electrónico corporativo.
- Mensajes devueltos.
- Mensajes que por algún criterio no fueron analizados.
- Mensajes en cuarentena.
Los indicadores de amenazas muestran indicios más o menos fiables de su presencia. A modo de resumen se clasifican según sus reglas de detección formando los siguientes grupos:
- Remitentes que podrían ser origen de spam
- Contenidos que albergarían ataque de phishing.
- Mensajes rechazados por tener tamaño excesivo.
- Imágenes inapropiadas o pornográficas.
- Posible presencia de malware.
- Programas potencialmente no deseados en el correo.
- Posibles contenidos de compresores.
Las clasificaciones pueden variar, sobre todo para aportar conocimiento del servicio de correo. Será más fácil localizar los agujeros de seguridad y la necesidad de ser reforzados.
Elaboración de informes
Una de las cualidades más importantes que debe tener los SEG o un SWG es la elaboración de informes útiles para la vigilancia del servicio.
Los informes se pueden generar localmente desde el propio SEG, o enviar los datos a otros equipos remotos que serán los encargados de crearles.
La capacidad de almacenamiento de datos para mostrar en los informes es un factor limitante sobre todo en el SEG local, por tal motivo, dependiendo del volumen de correo y los motores de análisis implementados, se hace necesario el uso de equipos externos.
Sistemas ATD
El concepto de “sandbox” inicialmente se empleó para verificar aplicaciones en un entorno Unix. Conceptualmente consiste en situar el programa bajo observación en un entorno aislado, sin interacciones de otros procesos y sin acceso al exterior, de este modo es más fácil manipular variables para analizar y verificar concienzudamente el funcionamiento del programa. Del uso en este entorno de desarrollo ha pasado al entorno de la seguridad, para comprobar la funcionalidad de una aplicación de dudosa confianza.
La virtualización ha facilitado que el concepto de sandbox amplíe su significado a cualquier entorno de prueba y desarrollo.
La Figura 5 muestra un ejemplo de análisis dinámico en un entorno virtual. En este caso, un programa se ha etiquetado como sospechoso por los diversos sistemas que conforman la cadena de protección. El programa sospechoso se descargó en un puerto USB desde un “pendrive”. Primero lo ha analizado el antivirus local del puesto de usuario, sin llegar a una conclusión. El programa se envía desde el puesto de usuario a servidores con listas locales más amplias, también cuentan con el apoyo de realizar consultas remotas, con mayor número de firmas de malware. Ante la incapacidad de ofrecer un resultado determinante, el fichero se traslada a al servidor ATD. En él se arranca el sistema operativo virtual idéntico al que tiene instalado el puesto de usuario que detectó el programa sospecho. En el entorno virtualizado se ejecuta el programa sospechoso y se analiza su comportamiento, incluso la posibilidad de acceso a la red para añadir más código malicioso. Si el resultado definitivo es que se trata de malware, sus características se incluirán en las listas de reputación, tanto locales como remotas, y sobre todo, el programa se bloquea en el puesto de usuario.
Figura 5. Esquema de un análisis en un entorno virtual
El sistema ATD debe tener todos los sistemas operativos de la compañía susceptibles de ser infectados por malware. Esto exige una gestión de los activos software muy rigurosa y actualizada.
El ataque de WannaCry de mayo de 2017 puso de manifiesto el problema que puede sobrevenir si las aplicaciones y programas no están puestos al día. El ataque aprovechó una vulnerabilidad conocida en el sistema operativo, pero que el fabricante Microsoft había solucionado en sus parches. Muchas compañías no habían actualizado sus sistemas operativos con la incorporación del parche. Por lo tanto, eran vulnerables. El “ransomware” se pudo ejecutar con el resultado de sobra conocido.
Esto también pone en evidencia la dificultad que supone para los administradores de sistemas mantener una buena gestión de las versiones software. Cada día aparecen fallos, arreglos, parches, paquetes, versiones de cualquier aplicación. Es difícil mantener una instalación estable que no altere el curso de las operaciones sin comprometer la seguridad. Aunque nos desviamos del tema, habrá que dejar este tema para otra ocasión.
Nuevo reto: eludir los análisis en entornos virtuales
Ahora nos cruzamos al lado oscuro: ¿cómo pueden los atacantes eludir los análisis en entornos virtuales? Vamos a responder en unas notas muy breves a este reto propuesto.
Una manera de eludir este tipo de comprobaciones es que el código malware, cuando se descargue en el entorno virtual, ralentice su arranque. De esta forma transcurre el tiempo mientas que el código maligno se propaga, instala y se ejecuta en sus objetivos reales de la organización. Cuando el departamento de ciberseguridad concluya el análisis del entorno virtual puede que sea demasiado tarde y el malware se haya reubicado en los sistemas.
Otra técnica programada en el malware es que éste, antes de ejecutarse, pueda verificar si se encuentra confinado en un entorno virtual donde será descubierto; o, por el contrario, si se encuentra en el entorno abierto de la organización, como cabría esperar. El malware, para comprobar dónde está, realiza conexiones a través de los puertos abiertos de la red. Si consigue establecer comunicación con un servidor externo deducirá que no se encuentra en un entorno virtual, del cual, además podrá descargar código adicional para desarrollar el ataque. Cuando está en un entorno virtualizado, puede que éste no le permita establecer esa conexión al exterior. En este caso el malware se queda inactivo, tratando de pasar como confiable y pueda pasar el filtro. De esta forma puede alcanzar su objetivo.
Comprobamos como los ciberdelincuentes encuentran constantemente las estrategias para evitar se detectados por los sistemas más sofisticados y complejos de defensa, como los ATD. Todavía queda mucho por conocer de estos sistemas y las relaciones con otros. Habrá que dedicarles más tiempo en otra ocasión.
Conclusión
La dificultad de los equipos vistos reside en el ajuste de los análisis.
Cada nueva versión y modelo proporcionan nuevas funcionalidades que se integran o amplían con las existentes. En el portafolio de la empresa un año aparecen productos individuales y al año siguiente se venden integrados en uno único.
El cliente puede decidir cambiar aspectos de su negocio, modificar los servicios y la infraestructura TI. Estas situaciones alteran constantemente la arquitectura de seguridad que se diseñó originalmente. La revisión es continua, no sólo por los sofisticados ataques que ocurren cada día, las herramientas de seguridad mejoradas; sino que también, para adaptarse a los nuevos cambios que implementan los clientes.
Referencias
CCN-CERT Centro Criptológico Nacional. “CCN-STIC-401 Glosario y Abreviaturas”.
Gartner Glossay La investigación y evaluación de productos que realiza Gartner debe ser la primera fuente de consulta para conocer aquellos que tienen más impacto tecnológico.
En la Sala de Lecturas, Reading Room, de SANS Institute se pueden leer los artículos más destacados sobre ciberseguridad.
Cisco Cyber Threat Defense.
McAfee Advanced Threat Defense
Fotografías y esquemas de L. F. Real. Iconos diseñados por Kameleon
L. F. Real
