Los CIO deberían dejar de enfocar tanto sus esfuerzos en la detección y prevención de intrusiones y empezar a ocuparse de las computadoras dentro de sus redes que ya se encuentren comprometidas por los ciberdelincuentes, según un experto en informática de la Universidad de Nueva York.

Nasir Memon, Catedrático de Ingeniería y Ciencia Informática del Instituto Politécnico de la Universidad de Nueva York, propone un novedoso enfoque para descubrir las computadoras infectadas dentro de las redes empresariales. Desarrolló un sistema de detección de infecciones basado en red capaz de identificar las máquinas comprometidas.

“En lugar de centrarse en bloquear la entrada de infecciones, asumamos que la infección existe ya y centrémonos en detectarla”, propone Memon. “La prevención de intrusiones no es suficiente. Es necesario vigilar dentro de la red con toda meticulosidad y buscar los focos de infección existentes en ella”.

El sistema de Memon, denominado INFER, está diseñado para detectar el tipo de ataques dirigidos y sigilosos que el nuevo crimen organizado en Internet tiende a lanzar contra las redes corporativas y gubernamentales. Este tipo de ataques, debido a su naturaleza furtiva, resulta difícil de descubrir mediante las tradicionales soluciones de cortafuegos, antivirus, prevención y detección de intrusiones, etc., que suelen centrarse en identificar el código malicioso conocido que intenta entrar en las redes.

INFER, como se ha dicho, se centra en atacar el código malicioso ya existente dentro de las redes. Utiliza sensores desplegados cerca de los routers y conmutadores para monitorizar el tráfico de red de forma pasiva –es decir, sin influir en su funcionamiento- y proporcionar un resumen de sus características. El sistema cuenta con un motor de minería de datos que analiza tales resúmenes y busca signos de infección en máquinas concretas.

La consola de INFER permite a los administradores de red una lista de las diez principales computadoras host que parezcan estar infectadas. También incorpora un componente de análisis forense con el que los administradores de red pueden seguir los históricos de patrones de tráfico sobre host específicos.

Una de las características que distingue a este sistema de otros disponibles en el mercado es que no busca código malicioso o ataques ya conocidos, ni las firmas o patrones de comportamiento a es ellos asociados. En lugar de ello, investiga los hosts intentando descubrir síntomas de posibles infecciones, independientemente de cuál sea el mal que les afecte. Concretamente, INFER chequea los PC para comprobar si muestran alguno de doce síntomas diferentes, incluida su ralentización, reinicios demasiado frecuentes, reconexiones DNS y modos de funcionamiento tipo “relay” y “proxy”.

Vivic comercializará el producto
El Instituto Politécnico de la Universidad de Nueva York lleva utilizando INFER desde hace dos años para seguir el comportamiento de las 3,000 PC integradas en su red. “Descubrimos botnets todos los días e informamos al departamento TI de su existencia”, explica Memon.

Memon y un grupo de sus estudiantes lanzaron una compañía Vivic para comercializar INFER. Hasta el momento, Vivic ha conseguido atraer a un gran cliente de pago: el Laboratorio de Investigación de la Armada de Estados Unidos.

En el pasado, Vivic trabajó sin llamar la atención, pero actualmente está desarrollando una estrategia de marketing para INFER.