David Alfaro.
Desde la aparición del gusano Morris, en 1988, cuyo mecanismo de propagación llegó a ser considerado un caso primario de Denegación de Servicio, con más de 6.000 máquinas Unix infectadas (lo que equivalía al 10% de Internet), hasta nuestros días, con miles de amenazas rondando, ansiosas de conseguir acceder y controlar algunos de los millones de servicios, aplicaciones y datos que constituyen la base de la plataforma Internet pública y una porción no menor de redes privadas; hemos visto cómo los mecanismos de respuesta han debido actuar de manera reactiva, un tanto por detrás de la amenazas y del ingenio del cibercrimen.
Sin entrar en los detalles de las variantes de amenazas, ni en los muchos millones de dólares que las compañías pierden por los ataques que sufren, el mercado muestra desde hace un par de años una tendencia a aplicar un nivel de inteligencia superior y acorde con el desenfrenado ritmo de uso de aplicaciones por Internet y su inseguridad.
Con “guante blanco”
El concepto de “firmas de ataques conocidos”, al estilo de los archivos de firmas de los antivirus, está quedando obsoleto. Esto, dado el rápido desarrollo de nuevas variantes y la necesidad de mantener al día dichos patrones en cada estación o gateway de control.
Además, en otro frente, muchos de los actuales ataques a plataformas web, portales de negocio, transferencias, compras, etc., no utilizan ataques en su definición pura, sino más bien aprovechan las deficiencias en la lógica y/o programación de los mismos para sacar provecho con “guante blanco” y conseguir beneficios económicos.
Atrás ha quedado el tiempo en que los virus destruían datos sin buscar otro rédito que la fama; hoy por hoy las amenazas buscan enquistarse, reproducirse y beneficiarse económicamente de sus víctimas en el mayor anonimato posible, salvo que haya perdido el acceso a su disco duro y le estén pidiendo un rescate por desencriptarlo.
Cerrando la brecha
Para enfrentar este nivel de riesgo se requiere al menos de “inteligencia ante amenazas” y “seguridad aplicativa”. Cabe decir que de por sí un firewall tradicional poco y nada puede hacer ante lo que hoy toca a su puerta. Un IDS/IPS aporta parte de seguridad adicional, pero sigue quedando fuera de cobertura, ni hablar si de tráfico encriptado se trata (SSL en portales web por ejemplo), donde todos los dispositivos de seguridad intermedios que no inspeccionan los datos en el túnel SSL están actuando como simples equipos de red. De forma específica, las soluciones tipo SandBoxing, dirigidas a emular el comportamiento del contenido Internet, en tiempo real, al que una estación se conecta, están cerrando la brecha sobre el ingente número de malware desconocido (zero-day malware) y previniendo que este surta efecto en la estación víctima.
Finalmente, solo actuando como parte del túnel SSL, analizando el contenido en capa 7, entendiendo la lógica del negocio y detectando malos usos y abusos en las aplicaciones (sin firmas de ataque detectadas y cubriendo también DoS), por medio de firewalls aplicativos, se puede garantizar un nivel de protección aceptable, que minimice la ocurrencia de incidentes y mantenga operativo aquel portal que cuando nació era solo informativo y hoy es parte importante del “core” del negocio.
