En verano de 1943, Hitler
planeaba la que sería su última ofensiva de verano en el frente ruso. Su
intención era lanzar la mayor fuerza acorazada de la historia, con los más
modernos carros de combate, sus fuerzas de choque más aguerridas, y sus
generales más veteranos, contra el saliente de Kursk. El objetivo era aniquilar
a una parte importante de las fuerzas de su adversario y ponerse en las puertas
de Moscú de nuevo. La derrota de Stalingrado había sido muy dura, y tenía que
volver a
recuperar la iniciativa. Sin embargo, los rusos conocían el plan: tenían un espía suizo (“Lucy”) con fuentes muy cercanas a Hitler, que les informaba siempre de los próximos pasos de su enemigo. Pero el problema era que no sabían cómo parar esta tremenda embestida. Por ello, construyeron la mayor defensa en profundidad construida hasta la fecha (175 kms), con hasta 8 líneas de defensa, trincheras, bunkers, campos de minas y unidades blindadas con el fin de detener a los alemanes. Lo consiguieron en los dos frentes (Norte y Sur), ocasionando el mayor choque de carros blindados de la historia, y también la pérdida de la iniciativa de los alemanes hasta su derrota final en 1945. Así, por todo ello, las técnicas de defensa en profundidad utilizadas se estudian en todas las academias militares del mundo.
La historia es buena consejera y
nos ayuda a abordar problemas de solución incierta, pero de naturaleza similar:
hoy nos enfrentamos en nuestros sistemas y redes a grandes ciberamenazas,
ataques muy bien dirigidos, con componentes de phishing sofisticados y
utilizando vulnerabilidades conocidas y desconocidas, en “coctel”, que hacen
muy compleja la labor de los responsables de IT y seguridad en las organizaciones.
El paradigma actual de defensa
Lo único que sabemos es que, en
cualquier momento, recibiremos un ataque (según nuestro informe anual de
amenazas de 2018, cualquier empresa es atacada más de 900 veces con técnicas de
phishing en un año), pasará cifrado por las narices de nuestro firewall (70%
del tráfico mundial HTTP lo está ya), utilizará el correo electrónico (en un
78% de las veces) y tendrá una componente de ingeniería social nada desdeñable,
invitando al usuario a actuar de forma destructiva, tirando de su inocencia.
Como sabemos, el eslabón más débil (el usuario), marca la resistencia de la
cadena. Y casi siempre es el objetivo. ¿Cómo podemos prepararnos para esta
tormenta perfecta?
La respuesta obvia es que no
podemos protegernos al 100%, pero sí prepararnos con una defensa en
profundidad, en varias líneas con tecnologías diferentes, que aprenden del
“enemigo”, anticipando muchos de sus movimientos, y siempre listos para la
siguiente amenaza desconocida. Durante los 3 primeros meses del año, Sonicwall
bloqueó 3.100 millones de ataques de malware en todo el mundo, un 151% más que
el mismo periodo del año pasado. Y la tendencia sigue al alza.
A todo esto, hay que añadir que
nuestras estrategias de defensa están basadas en paradigmas militares de siglos
pasados: Castillos, murallas, líneas de defensa, puentes levadizos, etc. Pero
nuestro entorno, se parece mucho más al de un aeropuerto: paquetes de información entrando y saliendo, con diferentes
zonas y niveles seguridad, y siempre aplicando medidas cautelares al 100% de
los pasajeros, porque sabemos que alguno de ellos puede esconder un explosivo o
un arma para realizar un secuestro embarcado en un avión.
 |
| La visión de Sonicwall de Defensa en Profundidad |
Así, de nuevo, la defensa en profundidad
es la respuesta a esta situación extremadamente compleja: diferentes
tecnologías, defensas, y una inteligencia común que recoge la información y
aprende para actuar mejor en el siguiente golpe. Veamos qué podemos hacer para
mitigar riesgos en nuestras organizaciones.
Cómo actuar ante el paradigma “aeropuerto”
Como decíamos, la defensa en
profundidad es la respuesta ante el problema del aeropuerto. Hay que aplicar
diferentes tecnologías y mecanismos de defensa para mejorar los existentes y
estar siempre dispuesto a aplicar nuevas técnicas.
El primero de ellos es actualizar
nuestro firewall. Está claro que éste debe poder inspeccionar el tráfico
encriptado, y ahí entran en juego tecnologías como DPI-SSL (Deep-Packet-inspection),
que desencriptan y vuelven a cifrar el tráfico legítimo, entregándolo al
destino correcto y descartando el potencialmente peligroso. Es una medida que
implica una cierta complejidad, pero imprescindible ante el panorama actual de
cifrado de 7 de cada 10 paquetes (o maletas, en nuestro modelo aeroportuario)
de información.
Además, cualquier defensa en
profundidad debe disponer de una inteligencia que la gobierne, que aprenda de
los ataques, de sus técnicas y mitigue los daños de los más destructivos. Y
todos los dispositivos de protección deben comunicarse con ella, para ser todos
cada vez más inteligentes. Y esta plataforma debe proporcionar datos de
gestión, para conocer en tiempo real qué está pasando y poder actuar en
consecuencia.
No hay que olvidar que nuestro
entorno es híbrido: físico, virtual, on-premise y Cloud. Pero cada vez más
virtual: el 90% de las organizaciones ya virtualizan servidores, y más del 50%
de la capacidad de cálculo de los datacenters corre ya sobre servidores
virtuales. El SDDC (Software Defined DataCenter) es ya una realidad y se está
adoptando rápidamente como paradigma de infraestructura. La utilización de
firewalls virtuales es una necesidad en nuestra infraestructura de seguridad, y
además, incrementa ésta, proporcionando más visibilidad en el tráfico de
entrada/salida a los SDDC.
Otro fenómeno en alza es el de
decenas de aplicaciones web antiguas, “legacy”, que nadie quiere tocar ni actualizar
porque se desplegaron en la organización hace mucho tiempo. Realizan una labor
importante, o a veces accesoria, y en muchos casos, tienen serios problemas de
seguridad al utilizar tecnologías ya obsoletas de difícil actualización. Si a
esto le añadimos la complejidad de los ataques DDoS (muchos operados por
Botnets basados en IoT) o la utilización de HTTPS como la capa de presentación
de cualquier aplicación, tenemos un serio problema contra el que los
dispositivos actuales poco pueden hacer. Es por ello que aparecieron no hace
mucho los WAF o firewalls de aplicación, que revisan el comportamiento de acceso
a las aplicaciones mencionadas, buscando ataques de diferentes tipos, Bots que
pretenden colapsar la aplicación, etc.
Además, el 78% de los problemas
se originan en el email. Más del 30% de los emails de “phishing” son abiertos
por los destinatarios, y el 12% de los ficheros anexos también. Por ello, es
preciso añadir tecnologías que limpien el correo electrónico, eliminando
aquellos que contienen amenazas y llamadas a todo tipo de malware.
Pero una de las últimas batallas
es el endpoint o cliente final. Los antivirus tradicionales, basados en
patrones, nos han protegido durante años, pero ya no son suficiente. El
phishing avanzado, el nuevo malware, los ataques zero-day que utilizan
vulnerabilidades desconocidas o cóctel de varias de ellas (este año creciendo
por encima de las que sólo usan una), etc. Constituyen un enorme reto que no
pueden seguir afrontando sin rediseñar su funcionamiento.
Y si a todo lo dicho le añadimos
las amenazas crecientes basadas en redes IoT zombie, la falta de seguridad
absoluta en los smartphones que todos llevamos en el bolsillo (estamos en manos
de lo que quieran proteger o no sus fabricantes), las vulnerabilidades de Intel
en sus procesadores, etc. En definitiva, la tormenta perfecta, equiparable a
aquellos Panzer que iniciaron su ataque a las defensas rusas en Kursk, en el
lejano julio de 1943…
La defensa en profundidad de Sonicwall
Como la Stavka soviétiva (el
cuartel general soviético en verano de 1943), sabemos que el ataque se
producirá. Y lo más probable es que se inicie a través del correo electrónico,
utilizando técnicas de ingeniería social y phishing. Sonicwall propone
incrementar el nivel de seguridad de su servidor de correo (Office 365, Google
mail, etc.) con nuestra solución Email Security, que utiliza técnicas avanzadas
de sandboxing (hasta 4 motores) para filtrar y detectar amenazas tipo zero-day,
incluyendo también antivirus tradicional, anti-spam, anti-spoofing y protección
de phishing de entrada y salida.
 |
| Capture Cloud: Modelo de funcionamiento |
También intentamos proteger el
cliente, con nuestro nuevo antivirus de nueva generación Capture Client, con
motor basado en la tecnología de Sentinel One, probablemente el mejor antivirus
del mercado (cliente ligero y reconocido como el más seguro para clientes
Apple). Capture, además de su protección añadida (también vía nuestra
plataforma Capture Cloud – Sandboxing avanzado) contra ransomware y malware sin
ficheros, incorpora enormes facilidades de gestión integradas para hacer la
vida más sencilla a los administradores de sistemas. Soporta también el análisis
del tráfico encriptado, por lo que aumenta considerablemente la posibilidad de
detectar amenazas escondidas en éste.
Nuestros firewalls, en toda su
gama, desde los TZs, los NSAs y los Supermassive, intentan extender esta
facilidad de desencriptar y analizar el tráfico cifrado (vía DPI-SSL) con una
nueva arquitectura en gran parte de ellos, orientada a esta facilidad, por lo
que se ha incrementado considerablemente (x2 o más) su potencia de cálculo. En
su corazón reside SonicOS, que
utiliza la arquitectura de hardware multinúcleo escalable, así como nuestro
motor de inspección de memoria profunda (RTDMI, pendiente de patente), para
inspección del tráfico añadiendo una muy baja latencia.
Sonicwall está aportando fuerte por
el mundo virtual, y ha lanzado recientemente la nueva gama NSv de firewalls virtuales, primero para plataforma VMware, y este
mes de junio se amplia otras plataformas como AWS, Microsoft Azure e Hiper-V. Mas
adelante lo hará también para Google Cloud, Alibaba, Citrix, OpenStack, etc.
Estos appliance virtuales tienen una funcionalidad casi idéntica a los físicos
y están teniendo una buena recepción en el mercado, dada la apuesta de buena
parte de las organizaciones de virtualizar capacidad de cálculo.
Además, hemos añadido también a
nuestro portfolio nuestras soluciones WAF, de enorme rendimiento y
prestaciones, conectadas a la plataforma Capture Cloud, que extiende su
inteligencia y aprendizaje ante las amenazas, sobre todo las de tipo
desconocido. WAF se despliega ante las aplicaciones web a proteger,
incorporando de forma sencilla DPI-SSL (Deep packet inspection SSL), ayudando a
la gestión de estas aplicaciones, los ataques producidos, la fuga de
información (Data Leak Protection) tan importante ante la nueva legislación
europea (GDPR), y la detección de anomalías y problemas antes de que se
produzcan. WAF también es un appliance virtual, disponible en las mismas
plataformas que nuestro firewall virtual (NSv).
La inteligencia la proporciona
nuestro Cloud App Security (CAS) que básicamente es un servicio cloud que
permite a las organizaciones la monitorización y la gestión de los dispositivos
y aplicaciones Sonicwall, reduciendo el riesgo de “Shadow IT”. Forma parte de
la plataforma ya mencionada “Capture Cloud Security Center”, y proporciona,
además, funcionalidad CASB (para aquellos recursos y aplicaciones situadas
fuera de nuestro perímetro) y monitorización y control en tiempo real de
cualquier aplicación Cloud. La plataforma sobre la que reside, Capture Cloud,
incorpora hasta 4 motores diferentes de sandboxing, que es la clave para
proteger la organización. Todo gira alrededor de esta facilidad: a ella se
conectan los firewalls físicos y virtuales, el email security, el cliente
endpoint Capture Client, etc. El firewall inspecciona el tráfico, detecta y
bloquea intrusiones y malware conocido. Pero el sospechoso, es enviado a la
plataforma para su análisis. Capture, con su sandboxing multimotor, que incluye
sandboxing virtualizado, emulación de sistema completo y tecnología de análisis
de nivel hipervisor, ejecuta el código sospechoso, analiza su comportamiento y
proporciona una visibilidad completa de la actividad maliciosa, facilitando la
detección de este tipo de amenazas zero-day. Capture analiza gran tipo de
ficheros y tamaños, incluidos programas ejecutables (PE), DLL, PDFs, MS Office,
archivos, JAR, APK, así como diferentes sistemas operativos como Windows y
Android. La protección se puede personalizar, además de realizar de forma
manual alguna inspección de archivos. Los archivos enviados a este servicio en
la nube quedan retenidos hasta que se emita un veredicto. Si se detecta un
fichero malicioso, rápidamente se pone a disposición de los firewalls una
definición para su protección.
La página de estado de Capture muestra
un diagrama de barras sencillo que indica el número de archivos enviados y el
porcentaje de aquellos infectados en los últimos 30 días, así como un informe
más completo del malware detectado.
Es interesante visualizar el
informe público diario de la plataforma, presente en: https://securitycenter.sonicwall.com,
en el que se aprecian las tendencias mundiales de malware, ransomware, etc.
Detectados en nuestro más de 1 millón de firewalls conectados a la plataforma
Capture Cloud.
A toda esta arquitectura, es
necesario añadir la gestión del acceso remoto, vía SMA para la gestión de túneles
VPN y usando nuestros puntos de acceso inalámbricos de alto rendimiento
(802.11ac, MU-MIMO, Wave 2), integrados plenamente en la arquitectura firewall.
Toda esta tecnología ayuda a
configurar una defensa multicapa en profundidad, que hace mucho más difícil a
cualquier atacante lograr sus propósitos. Pero no debemos caer en la
autocomplacencia. La innovación en el lado del mal alcanza cotas nunca vistas
hasta la fecha, al igual que las unidades acorazadas alemanas de aquel mes de
julio de 1943. La estrategia para pararlos es la misma: estar atentos con una
buena monitorización de las defensas, aprender constantemente, una defensa bien
construida con diferentes tecnologías en constante reinvención, y un espíritu
crítico que nos permita estar siempre alerta para detectar y reaccionar de
forma inmediata, porque como decía Bruce Schneier, padre de la criptografía y
de la ciberseguridad, “el que piense que la tecnología puede solucionar los
problemas de seguridad, es que no entiende los problemas ni entiende la
tecnología”.
