lunes, junio 18, 2018

Defendiéndonos en tiempos de amenazas desconocidas (Zero-day)

En verano de 1943, Hitler planeaba la que sería su última ofensiva de verano en el frente ruso. Su intención era lanzar la mayor fuerza acorazada de la historia, con los más modernos carros de combate, sus fuerzas de choque más aguerridas, y sus generales más veteranos, contra el saliente de Kursk. El objetivo era aniquilar a una parte importante de las fuerzas de su adversario y ponerse en las puertas de Moscú de nuevo. La derrota de Stalingrado había sido muy dura, y tenía que volver a


recuperar la iniciativa. Sin embargo, los rusos conocían el plan: tenían un espía suizo (“Lucy”) con fuentes muy cercanas a Hitler, que les informaba siempre de los próximos pasos de su enemigo. Pero el problema era que no sabían cómo parar esta tremenda embestida. Por ello, construyeron la mayor defensa en profundidad construida hasta la fecha (175 kms), con hasta 8 líneas de defensa, trincheras, bunkers, campos de minas y unidades blindadas con el fin de detener a los alemanes. Lo consiguieron en los dos frentes (Norte y Sur), ocasionando el mayor choque de carros blindados de la historia, y también la pérdida de la iniciativa de los alemanes hasta su derrota final en 1945. Así, por todo ello, las técnicas de defensa en profundidad utilizadas se estudian en todas las academias militares del mundo.

La historia es buena consejera y nos ayuda a abordar problemas de solución incierta, pero de naturaleza similar: hoy nos enfrentamos en nuestros sistemas y redes a grandes ciberamenazas, ataques muy bien dirigidos, con componentes de phishing sofisticados y utilizando vulnerabilidades conocidas y desconocidas, en “coctel”, que hacen muy compleja la labor de los responsables de IT y seguridad en las organizaciones.

El paradigma actual de defensa

Lo único que sabemos es que, en cualquier momento, recibiremos un ataque (según nuestro informe anual de amenazas de 2018, cualquier empresa es atacada más de 900 veces con técnicas de phishing en un año), pasará cifrado por las narices de nuestro firewall (70% del tráfico mundial HTTP lo está ya), utilizará el correo electrónico (en un 78% de las veces) y tendrá una componente de ingeniería social nada desdeñable, invitando al usuario a actuar de forma destructiva, tirando de su inocencia. Como sabemos, el eslabón más débil (el usuario), marca la resistencia de la cadena. Y casi siempre es el objetivo. ¿Cómo podemos prepararnos para esta tormenta perfecta?
La respuesta obvia es que no podemos protegernos al 100%, pero sí prepararnos con una defensa en profundidad, en varias líneas con tecnologías diferentes, que aprenden del “enemigo”, anticipando muchos de sus movimientos, y siempre listos para la siguiente amenaza desconocida. Durante los 3 primeros meses del año, Sonicwall bloqueó 3.100 millones de ataques de malware en todo el mundo, un 151% más que el mismo periodo del año pasado. Y la tendencia sigue al alza.
A todo esto, hay que añadir que nuestras estrategias de defensa están basadas en paradigmas militares de siglos pasados: Castillos, murallas, líneas de defensa, puentes levadizos, etc. Pero nuestro entorno, se parece mucho más al de un aeropuerto: paquetes de información entrando y saliendo, con diferentes zonas y niveles seguridad, y siempre aplicando medidas cautelares al 100% de los pasajeros, porque sabemos que alguno de ellos puede esconder un explosivo o un arma para realizar un secuestro embarcado en un avión.
La visión de Sonicwall de Defensa en Profundidad


Así, de nuevo, la defensa en profundidad es la respuesta a esta situación extremadamente compleja: diferentes tecnologías, defensas, y una inteligencia común que recoge la información y aprende para actuar mejor en el siguiente golpe. Veamos qué podemos hacer para mitigar riesgos en nuestras organizaciones.

Cómo actuar ante el paradigma “aeropuerto”

Como decíamos, la defensa en profundidad es la respuesta ante el problema del aeropuerto. Hay que aplicar diferentes tecnologías y mecanismos de defensa para mejorar los existentes y estar siempre dispuesto a aplicar nuevas técnicas.
El primero de ellos es actualizar nuestro firewall. Está claro que éste debe poder inspeccionar el tráfico encriptado, y ahí entran en juego tecnologías como DPI-SSL (Deep-Packet-inspection), que desencriptan y vuelven a cifrar el tráfico legítimo, entregándolo al destino correcto y descartando el potencialmente peligroso. Es una medida que implica una cierta complejidad, pero imprescindible ante el panorama actual de cifrado de 7 de cada 10 paquetes (o maletas, en nuestro modelo aeroportuario) de información.
Además, cualquier defensa en profundidad debe disponer de una inteligencia que la gobierne, que aprenda de los ataques, de sus técnicas y mitigue los daños de los más destructivos. Y todos los dispositivos de protección deben comunicarse con ella, para ser todos cada vez más inteligentes. Y esta plataforma debe proporcionar datos de gestión, para conocer en tiempo real qué está pasando y poder actuar en consecuencia.
No hay que olvidar que nuestro entorno es híbrido: físico, virtual, on-premise y Cloud. Pero cada vez más virtual: el 90% de las organizaciones ya virtualizan servidores, y más del 50% de la capacidad de cálculo de los datacenters corre ya sobre servidores virtuales. El SDDC (Software Defined DataCenter) es ya una realidad y se está adoptando rápidamente como paradigma de infraestructura. La utilización de firewalls virtuales es una necesidad en nuestra infraestructura de seguridad, y además, incrementa ésta, proporcionando más visibilidad en el tráfico de entrada/salida a los SDDC.
Otro fenómeno en alza es el de decenas de aplicaciones web antiguas, “legacy”, que nadie quiere tocar ni actualizar porque se desplegaron en la organización hace mucho tiempo. Realizan una labor importante, o a veces accesoria, y en muchos casos, tienen serios problemas de seguridad al utilizar tecnologías ya obsoletas de difícil actualización. Si a esto le añadimos la complejidad de los ataques DDoS (muchos operados por Botnets basados en IoT) o la utilización de HTTPS como la capa de presentación de cualquier aplicación, tenemos un serio problema contra el que los dispositivos actuales poco pueden hacer. Es por ello que aparecieron no hace mucho los WAF o firewalls de aplicación, que revisan el comportamiento de acceso a las aplicaciones mencionadas, buscando ataques de diferentes tipos, Bots que pretenden colapsar la aplicación, etc.
Además, el 78% de los problemas se originan en el email. Más del 30% de los emails de “phishing” son abiertos por los destinatarios, y el 12% de los ficheros anexos también. Por ello, es preciso añadir tecnologías que limpien el correo electrónico, eliminando aquellos que contienen amenazas y llamadas a todo tipo de malware.
Pero una de las últimas batallas es el endpoint o cliente final. Los antivirus tradicionales, basados en patrones, nos han protegido durante años, pero ya no son suficiente. El phishing avanzado, el nuevo malware, los ataques zero-day que utilizan vulnerabilidades desconocidas o cóctel de varias de ellas (este año creciendo por encima de las que sólo usan una), etc. Constituyen un enorme reto que no pueden seguir afrontando sin rediseñar su funcionamiento.
Y si a todo lo dicho le añadimos las amenazas crecientes basadas en redes IoT zombie, la falta de seguridad absoluta en los smartphones que todos llevamos en el bolsillo (estamos en manos de lo que quieran proteger o no sus fabricantes), las vulnerabilidades de Intel en sus procesadores, etc. En definitiva, la tormenta perfecta, equiparable a aquellos Panzer que iniciaron su ataque a las defensas rusas en Kursk, en el lejano julio de 1943…

La defensa en profundidad de Sonicwall

Como la Stavka soviétiva (el cuartel general soviético en verano de 1943), sabemos que el ataque se producirá. Y lo más probable es que se inicie a través del correo electrónico, utilizando técnicas de ingeniería social y phishing. Sonicwall propone incrementar el nivel de seguridad de su servidor de correo (Office 365, Google mail, etc.) con nuestra solución Email Security, que utiliza técnicas avanzadas de sandboxing (hasta 4 motores) para filtrar y detectar amenazas tipo zero-day, incluyendo también antivirus tradicional, anti-spam, anti-spoofing y protección de phishing de entrada y salida.
Capture Cloud: Modelo de funcionamiento
También intentamos proteger el cliente, con nuestro nuevo antivirus de nueva generación Capture Client, con motor basado en la tecnología de Sentinel One, probablemente el mejor antivirus del mercado (cliente ligero y reconocido como el más seguro para clientes Apple). Capture, además de su protección añadida (también vía nuestra plataforma Capture Cloud – Sandboxing avanzado) contra ransomware y malware sin ficheros, incorpora enormes facilidades de gestión integradas para hacer la vida más sencilla a los administradores de sistemas. Soporta también el análisis del tráfico encriptado, por lo que aumenta considerablemente la posibilidad de detectar amenazas escondidas en éste.
Nuestros firewalls, en toda su gama, desde los TZs, los NSAs y los Supermassive, intentan extender esta facilidad de desencriptar y analizar el tráfico cifrado (vía DPI-SSL) con una nueva arquitectura en gran parte de ellos, orientada a esta facilidad, por lo que se ha incrementado considerablemente (x2 o más) su potencia de cálculo. En su corazón reside SonicOS, que utiliza la arquitectura de hardware multinúcleo escalable, así como nuestro motor de inspección de memoria profunda (RTDMI, pendiente de patente), para inspección del tráfico añadiendo una muy baja latencia.
Sonicwall está aportando fuerte por el mundo virtual, y ha lanzado recientemente la nueva gama NSv de firewalls virtuales, primero para plataforma VMware, y este mes de junio se amplia otras plataformas como AWS, Microsoft Azure e Hiper-V. Mas adelante lo hará también para Google Cloud, Alibaba, Citrix, OpenStack, etc. Estos appliance virtuales tienen una funcionalidad casi idéntica a los físicos y están teniendo una buena recepción en el mercado, dada la apuesta de buena parte de las organizaciones de virtualizar capacidad de cálculo.
Además, hemos añadido también a nuestro portfolio nuestras soluciones WAF, de enorme rendimiento y prestaciones, conectadas a la plataforma Capture Cloud, que extiende su inteligencia y aprendizaje ante las amenazas, sobre todo las de tipo desconocido. WAF se despliega ante las aplicaciones web a proteger, incorporando de forma sencilla DPI-SSL (Deep packet inspection SSL), ayudando a la gestión de estas aplicaciones, los ataques producidos, la fuga de información (Data Leak Protection) tan importante ante la nueva legislación europea (GDPR), y la detección de anomalías y problemas antes de que se produzcan. WAF también es un appliance virtual, disponible en las mismas plataformas que nuestro firewall virtual (NSv).
La inteligencia la proporciona nuestro Cloud App Security (CAS) que básicamente es un servicio cloud que permite a las organizaciones la monitorización y la gestión de los dispositivos y aplicaciones Sonicwall, reduciendo el riesgo de “Shadow IT”. Forma parte de la plataforma ya mencionada “Capture Cloud Security Center”, y proporciona, además, funcionalidad CASB (para aquellos recursos y aplicaciones situadas fuera de nuestro perímetro) y monitorización y control en tiempo real de cualquier aplicación Cloud. La plataforma sobre la que reside, Capture Cloud, incorpora hasta 4 motores diferentes de sandboxing, que es la clave para proteger la organización. Todo gira alrededor de esta facilidad: a ella se conectan los firewalls físicos y virtuales, el email security, el cliente endpoint Capture Client, etc. El firewall inspecciona el tráfico, detecta y bloquea intrusiones y malware conocido. Pero el sospechoso, es enviado a la plataforma para su análisis. Capture, con su sandboxing multimotor, que incluye sandboxing virtualizado, emulación de sistema completo y tecnología de análisis de nivel hipervisor, ejecuta el código sospechoso, analiza su comportamiento y proporciona una visibilidad completa de la actividad maliciosa, facilitando la detección de este tipo de amenazas zero-day. Capture analiza gran tipo de ficheros y tamaños, incluidos programas ejecutables (PE), DLL, PDFs, MS Office, archivos, JAR, APK, así como diferentes sistemas operativos como Windows y Android. La protección se puede personalizar, además de realizar de forma manual alguna inspección de archivos. Los archivos enviados a este servicio en la nube quedan retenidos hasta que se emita un veredicto. Si se detecta un fichero malicioso, rápidamente se pone a disposición de los firewalls una definición para su protección.
La página de estado de Capture muestra un diagrama de barras sencillo que indica el número de archivos enviados y el porcentaje de aquellos infectados en los últimos 30 días, así como un informe más completo del malware detectado.
Es interesante visualizar el informe público diario de la plataforma, presente en: https://securitycenter.sonicwall.com, en el que se aprecian las tendencias mundiales de malware, ransomware, etc. Detectados en nuestro más de 1 millón de firewalls conectados a la plataforma Capture Cloud.
A toda esta arquitectura, es necesario añadir la gestión del acceso remoto, vía SMA para la gestión de túneles VPN y usando nuestros puntos de acceso inalámbricos de alto rendimiento (802.11ac, MU-MIMO, Wave 2), integrados plenamente en la arquitectura firewall.


Toda esta tecnología ayuda a configurar una defensa multicapa en profundidad, que hace mucho más difícil a cualquier atacante lograr sus propósitos. Pero no debemos caer en la autocomplacencia. La innovación en el lado del mal alcanza cotas nunca vistas hasta la fecha, al igual que las unidades acorazadas alemanas de aquel mes de julio de 1943. La estrategia para pararlos es la misma: estar atentos con una buena monitorización de las defensas, aprender constantemente, una defensa bien construida con diferentes tecnologías en constante reinvención, y un espíritu crítico que nos permita estar siempre alerta para detectar y reaccionar de forma inmediata, porque como decía Bruce Schneier, padre de la criptografía y de la ciberseguridad, “el que piense que la tecnología puede solucionar los problemas de seguridad, es que no entiende los problemas ni entiende la tecnología”.

No hay comentarios: