Es cierto, la seguridad vive aún bajo el reinado de los firewalls. Son la herramienta principal para la protección de las redes y la forma más simple de defensa, y su concepto es entendido como la barrera que evita que los incendios se propaguen.

Aunque prácticamente todas las compañías cuentan con un firewall, el número y la complejidad de los ciberataques actuales ha aumentado constantemente en los últimos años.

Los principales actores en los ataques de hoy en día son equipos bien organizados con objetivos específicos, además de recursos, tiempo y experiencia para alcanzar sus metas.

Aunque cualquier empresa es susceptible a un ataque, los “malos” apuntan principalmente a los sistemas de información de organizaciones públicas, militares e industriales, y estos ataques, sin lugar a dudas, evolucionan constantemente y son cada vez más sofisticados. Desde hace unos años aparecieron en escena los APTs (Advanced Persistent Threats), que son la ejecución de un ataque sistemático, dividido en varias fases que se realizan en el tiempo, con el principal objetivo de obtener información altamente sensible.

Diferencias entre unos y otros

Las características que diferencian los APT de los ataques tradicionales son:

1. Las APT hacen uso frecuente de explotaciones de día cero a través de ofuscación de código, siendo capaces de evadir la mayoría de los sistemas basados en firmas que usan los firewalls.
2. Los APT son muy difíciles de detectar porque utilizan técnicas de bajo perfil que permanecen silenciosos para evitar su detección a largo plazo, con lo que permiten contrarrestar la limitada ventana de detección y correlación de los sistemas de seguridad.
3. Los APT son selectivos. Solamente un número pequeño y cuidadosamente seleccionado de víctimas es el objetivo, generalmente en departamentos no técnicos de una organización.

Desde que se ha reconocido la existencia de los APT, los firewalls han evolucionado introduciendo cada vez más características para evitarlos, pero siguen sin ser capaces de contener estos ataques. Basándonos en la teoría de la computación, es imposible construir una herramienta perfecta de detección contra intrusos pues, en sus términos, esta tarea es un problema complejo, lo que quiere decir que el tiempo que tomaría detectar una brecha de seguridad producida por una APT es casi exponencial, haciéndose mayor en la medida que aumenta el ancho de banda y el tráfico que el firewall debe inspeccionar.

Teniendo en cuenta las características de los ataques APT y la incapacidad de las soluciones de seguridad actuales para abordarlas de manera efectiva, nace el cuestionamiento de ¿por qué el firewall sigue siendo la herramienta principal de seguridad informática a pesar de que el número de incidentes de seguridad continúa aumentando?

Esto requiere pensar en un cambio esencial en la forma en que se articulan las soluciones de seguridad.

Más allá del online

Se sabe que los atacantes están dispuestos a mantener sus acciones durante un extenso período de tiempo para evadir los sistemas de detección. Por lo tanto, es válido modificar el enfoque de detección y no sólo pensar en herramientas online como única opción. Un enfoque orientado a la captura de paquetes está limitado significativamente por parte de los recursos con que cuente la máquina donde está instalado el firewall.

Por otro lado, una perspectiva donde se use un análisis de datos offline abre la posibilidad del análisis a fondo de gran cantidad de información extraída de los paquetes que circulan en la red, usando técnicas de tratamiento de datos y tecnologías de Data Analytics, que aportan algoritmos significativamente más avanzados para el análisis y la correlación de información.

Esta visión ayuda a complementar la estrategia de seguridad evitando los intentos de evasión que usan las APT y que no logran ser detectados por los firewalls.

Aunque el análisis offline del tráfico capturado inevitablemente da como resultado una detección de ataque tardía, es importante considerar que, en la mayoría de los APT, los atacantes están dispuestos a esperar una cantidad significativa de tiempo intentando alcanzar un objetivo específico.

¿Y por qué duran tanto?

Hay dos razones por la que los ataques APT son prolongados:

1. Una vez que se ha obtenido una posición inicial, los atacantes deben explorar la red, desplazarse a través de las subredes (movimiento lateral), identificar dónde se encuentra la información que les interesa y tomarla. Como todos estos pasos deben realizarse tan calladamente como sea posible para evitar la detección, se requiere usar un tiempo significativo.
2. Los atacantes generalmente desean mantener su acceso y continúan extrayendo datos a lo largo del tiempo.

Además, la correlación de eventos de largo tiempo obtenidos de múltiples fuentes es crucial para la detección de ataques que tienen un mayor grado de sofisticación. Incluso cuando los atacantes logran evadir los firewalls tradicionales, inevitablemente estos ataques pueden dejar indicadores o huellas del ataque en el proceso de exploración de la red y explotación de vulnerabilidades.

Los intentos de inicio de sesión fallidos, el aumento inusual del tráfico de la red producido por un determinado PC o servidor, la utilización extraña de recursos y la ejecución de procesos desconocidos pueden correlacionarse e identificarse como prueba de un compromiso de seguridad, incluso si son realizados durante varias horas o días.

La capacidad de análisis y correlación de grandes datos proveniente de una amplia gama de fuentes de información y de períodos de tiempo significativos (horas, días, etc.), se traducirán con gran certeza en una disminución de un porcentaje de falsos positivos y permitirá detectar más fácilmente los movimientos furtivos de un atacante que usa APT, ya que las actividades inusuales hechas por los usuarios autorizados de la red, desafortunadamente son casi siempre ignorados por los firewalls actuales.

Por ello, es necesario entender que en el diseño de una estrategia de seguridad caben perfectamente los dos mundos, el análisis online y offline, donde este enfoque ayudará a realizar el procesamiento y la correlación en dos vías simultaneas perfectamente complementarias, mitigando el riesgo y presencia de los APTs.

_________

Por Carlos Castañeda, M. PhD y experto en Seguridad Digital de Unisys.