SEGURIDAD PREVENTIVA: Clave para la continuidad del negocio

Si nunca viaja en coche por autopista sin el cinturón de seguridad, si siempre cierra la puerta de casa con llave al salir de ella, si siempre revisa que el gas de la cocina quede bien cerrado antes de acostarse, y enseña a sus hijos a mirar bien a ambos lados antes de cruzar la calle, puede decirse que es usted una persona previsora. Entonces, ¿por qué usa sistemas de seguridad incapaces de prevenir ataques serios?

Las secuelas físicas de un accidente de coche sin llevar puesto el cinturón pueden ser tratadas y curadas en el hospital, pero el coste de sus consecuencias puede llegar a ser incalculable... y todo por no haber empleado 10 segundos en habernos puesto el cinturón.

Pues exactamente ocurre lo mismo cuando hablamos de seguridad informática. Prevenir implica estar preparados para el problema antes de que éste aparezca. Gramaticalmente esta definición es correcta. Sin embargo, conseguirlo en la práctica no es tan sencillo porque las tecnologías de protección actuales necesitan conocer exactamente la amenaza para protegerse contra ella, es decir, actúan a posteriori. Ya lo vimos cuando aparecieron los gusanos para SSH, momento en que todo el mundo sacó firmas para detectarlo buscando la cadena GOBBLES en conexiones al puerto 22, pero... ¿qué pasa si alguien modifica GOBBLES por GOEBLES? Nadie lo detectaría y el ataque podría, sin duda, conseguir su fin.

Por razones obvias no pueden crearse firmas para todas las combinaciones posibles, por lo que evadir el IPS es realmente fácil. Por tanto, podemos afirmar sin ningún tipo de duda que las tecnologías "reactivas" son claramente ineficaces e insuficientes. Es hora de pensar en "Prevenir" más que en "Curar".

La protección de las vulnerabilidades, primer paso de la prevención

Visto lo anteriormente expuesto, la única forma real que existe para protegerse es controlando el único punto en común que tienen todas las variantes de GOBBLES: la vulnerabilidad que explotan.

El control de las vulnerabilidades debe convertirse poco a poco en uno de los principales focos de atención de cualquier departamento de seguridad que pretenda conseguir niveles aceptables de "tranquilidad" en lo que a continuidad de negocio se refiere.

Y este control no consiste simplemente en tener un escáner que se pasa de vez en cuando. Efectivamente se trata de un proceso cíclico de varias fases y lo que se pretende no es sólo conocer las vulnerabilidades existentes sino tener una idea muy clara de sus implicaciones con el resto de sistemas con el fin de disponer, en todo momento, de los valores de índices de riesgo que se corren, para, comparándolos con los que se aceptan, poner en marcha cuantos planes de actuación sean necesarios.

Al tratarse de un proceso cíclico, es lento e infinito y en el que, a pesar de la existencia en el mercado de herramientas capaces de detectar y priorizar los potenciales problemas de seguridad, la mera identificación no es suficiente. También es necesario contar con la colaboración de sistemas de "protección" de las vulnerabilidades capaces de ayudarnos técnicamente en la distribución y puesta en marcha de todos los parches y actualizaciones que puedan ser necesarios: hablamos de los famosos "parches virtuales".

Un parche virtual puede hacer que un sistema vulnerable y no parcheado se comporte como si lo estuviese, evitando la posibilidad de que, sea cual sea la modificación de GOBBLES llevada a cabo, el ataque tenga éxito.

Pero veamos otro ejemplo: Vulnerabilidad LSASS de Microsoft Windows y el gusano Sasser:

El día 13 de Abril de 2004 se publicó la información sobre la vulnerabilidad LSASS y horas después ya se disponía del parche virtual correspondiente. El gusano Sasser todavía no existía.

El 30 de Abril de 2004 el gusano Sasser se empezó a propagar por Internet. Una de las compañías afectadas por este gusano tuvo un aumento del consumo de ancho de banda del 50% sólo 15 minutos después de ser atacada por Sasser. Diecisiete horas después de que esta compañía fuera afectada, se estimaron unas pérdidas económicas de 17 millones de dólares por la pérdida y retraso de transacciones. Otros 4 millones de dólares fueron necesarios para las labores de limpieza posteriores.

En resumen, un proceso real de seguridad corporativa no puede basarse tan sólo en productos aislados que sólo funcionan después de que sofisticados ataques procedentes de Internet hayan impactado en los negocios y que, además, no estén diseñados para operar como un único sistema integrado de seguridad corporativa.

Por tanto, solamente con un firme planteamiento de protección de las vulnerabilidades existentes, acompañado de la más alta tecnología en detección y priorización y una buena dosis tecnológica de parches virtuales, obtendremos una plataforma de seguridad corporativa (ESP, Enterprise Security Platform) capaz de hacer frente a cualquier amenaza incluso antes de que ésta aparezca.