Este enfoque supone una interesante diversificación respecto a la tecnología tradicional IDS/IPS, en la que se requiere cierto nivel de análisis heurístico para monitorizar las aplicaciones del usuario, antes de tomar una decisión sobre permitir o no el acceso a una IP. Y esto es lo que lo hace interesante, así como para defenderse mejor frente a la creciente marea de amenazas de seguridad híbridas y multivectoriales: debe existir un esfuerzo coordinado para construir la seguridad TI en sistemas y software, así como de la arquitectura que soporta estas defensas.


La visión propia de Stonesoft es que existe una clara necesidad para definir controles de seguridad medibles, junto a la monitorización automatizada y reporting de incidentes. En particular, nuestra investigación sobre las técnicas de evasión avanzadas (AETs) que los cibercriminales están ahora integrando en su malware sugiere que las organizaciones necesitan desarrollar un conjunto muy bien pensado de acciones de respuesta ante incidentes. Bien planteado, este enfoque no solo puede reducir los costes marginales de seguridad –al reducir el daño que causa la inseguridad- sino que también ayuda a reducir los costes fijos, contribuyendo de este modo a lograr una estructura de gastos operativos y de capital más reducida.


Este enfoque automatizado para monitorizar a los usuarios y las aplicaciones que están utilizando es esencial debido al creciente volumen de tráfico que fluye ahora a través del Puerto 80, el puerto IP asignado normalmente al tráfico HTTP. Si permites el paso por Puerto 80 –y esto es así en la mayoría de organizaciones-, estás permitiendo toda suerte de pseudo tráfico junto a las llamadas regulares de las páginas web. Pero, si el proceso de inspección de paquetes en profundidad supone un serio agujero para los recursos, ¿qué opciones tienen el responsable de seguridad de TI y su equipo, cada vez bajo mayor presión?


La solución está en monitorizar las aplicaciones que están abiertas en las máquinas a monitorizar. En combinación con el análisis de patrones sobre las corrientes de datos que exige la monitorización, esto facilita considerablemente el trabajo de detección automática para cuantificar el riesgo que plantea un segmento de código determinado que está atravesando los límites de la red.


Este enfoque “modo linterna” sobre lo que representan los datos puede ser extraordinariamente útil para defenderse frente al creciente problema de las amenazas de seguridad legadas. Estas amenazas legadas pueden convertirse en auténticos quebraderos de cabeza para todos los fabricantes de seguridad TI puesto que, dado que son miles de nuevas muestras de malware las que llegan a los laboratorios de I+D de los fabricantes cada semana, hay una tendencia a centrar la atención de los análisis de seguridad en las últimas amenazas. Esto significa que, si un hacker con talento revisita una antigua amenaza de malware y modifica la metodología de ataque –así como una carga útil- existe el riesgo de que las defensas de seguridad TI convencionales no identifiquen esta nueva-vieja amenaza la primera vez que la plataforma se encuentre con la corriente de datos.


La situación se complica por la considerable cantidad de ordenadores que existen en muchas compañías que no están completamente parcheados y/o actualizados en su sistema operativo. Y, si el software de estas máquinas está al final de su vida, ningún parche remediará el hecho de que el ordenador es inseguro frente a algunos de los vectores de ataque más recientes.


La tradicional seguridad IPS, por supuesto, está diseñada para operar en dos niveles: en primer lugar, para bloquear los vectores de ataque conocidos; en segundo lugar, para elevar la alarma si se percibe cualquier ataque intentando entrar al entorno de red protegido. Con los ataques AET, los ataques no solo traspasan la plataforma IPS, sino que lo hacen de forma silenciosa y desapercibida.


Los fabricantes IPS deben “mover y oler el café” cuando se trata de ataques AET, y utilizar algunos de los ciclos de CPU disponibles para analizar en profundidad los paquetes que están pasando por la red. La cara B de esta propuesta es que se incrementa el coste por gigabyte de los datos analizados. Sin embargo, es importante que los fabricantes (y sus clientes) comprendan que, si un ataque traspasa las defensas de seguridad TI de una organización, esas defensas no tienen ningún sentido.


Desarrollar una estrategia de seguridad TI efectiva en costes, por tanto, es aplicar los recursos existentes más eficientemente y, después, aplicar los ahorros de costes para invertir en un sistema de seguridad TI multi-nivel.


Antes de que un director de TI llegue a este punto, no obstante, se necesita un completo análisis de riesgos y la clasificación de los datos de la organización, como paso previo a la reducción del perfil de riesgo. Solo cuando ambos procesos se han completado sería oportuno que el responsable de seguridad TI comenzase con las fases de planificación de un proceso de seguridad TI multi-nivel.


Este proceso de planificación no es tan tremendo como pudiese parecer a primera vista. Como el análisis de paquetes, el proceso puede subdividirse en pequeñas etapas más simples. Estas etapas deberían ser revisadas desde el punto de vista del análisis de costes, utilizando KPIs (indicadores clave de rendimiento) para definir mejor los costes de gastos de capital y operativos en un formato que puede compararse con las arquitecturas TI más tradicionales. Esta es una importante faceta de la moderna planificación de seguridad que muchos profesionales pasan por alto, puesto que perciben los problemas de costes como una cuestión financiera, en lugar de algo que tenga que ver con el profesional de TI.


Desgraciadamente, este enfoque supone que exista el riesgo de que un profesional financiero tome una decisión que debería haber tomado un profesional TI, y se pase por alto la necesidad de una visión de equipo para el desarrollo de una estrategia y procesos de planificación en la seguridad TI más eficaces.


La planificación lo es todo cuando se trata de abordar el problema de los flujos –cada vez más híbridos- que plantean los ataques cibercriminales y de los hackers sobre las plataformas TI corporativas. Y esto es algo particularmente importante si las organizaciones –de todos los tamaños y sectores- están dando un paso más allá en la seguridad para defenderse mejor de los ataques basados en las técnicas de evasión avanzadas que actualmente están derrocando a las defensas de seguridad TI tradicionales.

>