| Otras Ediciones: |
- HISTORIAS DE EXITO
- Banco Atlántida - El proyecto de bancarización más grande
- Tribunal Supremo Electoral - Nuevo récord en transmisión de datos electorales
- McDonald’s - Mesoamérica crece y confía en GBM
- Caja de Ahorros de Panamá - Minimizando tiempos en el DRP (Disaster Recovery Plan)
- OPINION
- Diseñar empresas
- SOA Governance
- TENDENCIAS
- Cambio en las Prácticas de Negocios (Parte 2)
- La inteligencia de seguridad en redes empresariales
- IBM lidera una iniciativa para hacer de dominio público patentes ecológicas
- SOA: El futuro de las empresas
- IBM Lotus Software Social – Web 2.0 - Aumento de productividad o pérdida de tiempo
- HARDWARE - SOFTWARE - SERVICIOS
- IBM POWER 6 - El procesador más rápido del mundo
- Mainsoft .Net Extensions for Websphere Portal
- Próximo release v6R1 de i5/OS y algo más
- IBM Tivoli Software para auto-atención
- IBM System x -Nuevo x3350
- IBM System x -Última generación de x-Architecture
- SOA -Un caso de agilización de procesos
- PORTADA
Stephen Fallas
CISM – CISS - LA7799 – GIAC PCI – ISS-CA
Security Solution Architect
sfallas@us.ibm.com
IBM Internet Security System
Dicen que la información es poder. Cuando hablamos de redes de seguridad de información este dicho puede probarse en la práctica. Cuanto más información posea el equipo de monitoreo y seguridad, sobre vulnerabilidades, ataques y sobre lo que está transitando en la red, más puede actuar – preventivamente o en último caso, reactivamente – para garantizar la seguridad de los activos digitales. Cuanto más información tiene el equipo de la red sobre los patrones de tráfico puede actuar mejor para garantizar y aumentar la eficiencia y el desempeño de la red, al mismo tiempo que evita problemas e interrupciones de comunicación. Cuanta más información posee el equipo de administración de seguridad más puede actuar para garantizar el cumplimiento de políticas y detectar posibles desmanes.
¿Pero cómo suministrar información sobre lo que está transitando en una red de datos de manera amplia, con las informaciones organizadas de tal manera que la consulta sea rápida y fácil, sin excederse en los presupuestos siempre limitados cuando se trata de hacer inversiones?
La respuesta es difícil pero surge el concepto de la detección de anomalías. Literalmente podríamos decir que cualquier incidente de seguridad es una anomalía, sea éste intencional o no. Por lo tanto, cuando se detectan anomalías se detecta un ataque. Parece fácil, ¿verdad? Pero fácil, de hecho, es justamente lo que no es.
Hay diferentes formas de anomalía, el desafío es cubrir todas estas formas de anomalía de la manera más eficiente posible, como en el caso de un ataque que altera un protocolo de red volviéndolo incompatible con su Request For Comments (RFC).
Esta es una anomalía; un programa que cuando se ejecuta invade otras áreas de memoria o captura datos para enviarlos por Internet. Una anomalía puede ser además un tráfico aparentemente verdadero en la red, que envía comandos al servidor Web o inclusive a un servidor de datos que interactúa con el sitio Web, una red cuyo volumen de tráfico se mantiene estable todos los días y que se reduce abruptamente o aumenta. O una computadora que misteriosamente aparece en la red, comunicándose con Internet y que nadie sabe de quién es o dónde está. Todos estos ejemplos son anomalías, sin embargo, cada uno de ellos exige un método diferente de detección. Pero hay muchas otras anomalías en nuestro mundo digital.
Imaginen a Ramón, un empleado de una gran compañía que trabaja diariamente desde hace varios años de las 9:00 a las 18:00 hrs. He aquí que un día el servidor de recursos humanos, en el que se procesan los pedidos de reembolso empieza a mostrar accesos desde la computadora de Ramón a las 22:00 hrs. Ramón solamente debería usar aquella computadora y eso debería ocurrir antes de las 18:00hrs. ¿Es o no es una anomalía?
Detección de anomalías
La detección de anomalías debe permitir recolectar informaciones del tráfico de la red, organizar un modelo relacional, detectar anomalías a determinados patrones aprendidos o definidos, y alertar e informar sobre desvíos y los patrones de comportamiento de la red. Al alertar e informar sobre desvíos y patrones de tráfico, la detección de anomalías deberá suministra informaciones que le darán a los equipos de red, de monitoreo y de administración de la seguridad, más capacidad para poder ejecutar su trabajo con más eficiencia y precisión.
Recolectar, organizar y analizar
Recolectar informaciones del tráfico de red, organizarlas y analizarlas es la labor fundamental del análisis de anomalías. Inicialmente toma las informaciones del flujo de red – o el flow. Cisco fue la primera empresa que puso a disposición los datos de flow, inicialmente pensando en sistemas de facturación. Actualmente, otros varios proveedores de infraestructura de red también ponen a disposición los datos del flujo de red a partir de sus ruteadores o switches de nivel 3. Básicamente estos datos de flujo son dirección IP origen, dirección IP destino, puerta origen, puerta destino, tipo de protocolo, tipo de servicio e interfaz del ruteador. Cuando los ruteadores y switches de una red no suministran los datos de flow, se pueden generar los datos a partir de la recolección directa del tráfico de red.
Una vez que se hayan tomado los datos de flow llega el momento de organizarlos en una estructura lógica. El componente consolida los datos y los organiza siguiendo un modelo relacional. Por ejemplo, registra para cada cliente y servidor – hora a hora – las tasas promedio, mínima y máxima de paquetes por segundo y bits por segundo. También, entre otros modelados de datos, monitorea y registra relacionamientos y comunicaciones entre clientes, servidores, redes y grupos de estos (definidos por el administrador), suministrando estadísticas y datos de estos relacionamientos – como por ejemplo los protocolos y puertas utilizadas.
Con los datos organizados, se puede analizar contra determinados patrones de comportamiento detectando automáticamente anomalías, además de suministrar estas informaciones organizadas de manera clara para que un administrador pueda detectar manualmente anomalías. Algunos patrones de comportamiento anómalo son comunes a todas las redes y son alimentados al producto a través de grupos de investigación como el X-Force. Ejemplos de comportamientos anómalos son los tráficos asociados con barredoras de reconocimiento de red y con la diseminación de worms.
¿Qué áreas se benefician?
La detección de anomalías es capaz de suministrarle a los administradores de red información importante tal como:
- Mapeo de qué computadoras hablan con qué otras.
- Identificación y previsión de congestionamientos.
- Mapeo de las rutas utilizadas por las sesiones, permitiendo que se detecten rutas indebidas.
- Documentación de la comunicación de red y protocolos utilizados.
- Monitoreo del volumen de tráfico.
- Detección de cambios bruscos en los volúmenes de tráfico a los largo del tiempo (que pueden indicar dispositivos de red defectuosos o simplemente aumento de la demanda de banda de red, o aún un servidor o segmento inoperante).
- Análisis del tipo “¿qué pasaría si?”, automáticamente, en relación a planificación de implementación de filtros en ruteadores, switches o firewalls ya instalados en la red. Reduce de este modo la posibilidad de efectos colaterales en la configuración de reglas. En el caso de los administradores de la seguridad la detección de anomalías le puede brindar la siguiente información:
- Asegurar que los usuarios de la red están
observando las políticas de seguridad, es
uno de los grandes desafíos de los
administradores de seguridad. Para ellos,
se obtiene informaciones como:
- Mal uso interno (usuarios teniendo acceso o que no deberían tenerlo).
- Desvíos de política, como protocolos no autorizados.
- Accesos no autorizados.
- A través de la visibilidad en tiempo real detecta usuarios teniendo acceso a recursos específicos, donde quiera que ellos se encuentren.
- Creación de perímetros virtuales, en los que el sistema alerta cuando se entra remotamente a algún servidor de una manera no prevista.
- Detección vía barredora pasiva de nuevas computadoras conectadas.
Para el área que se encarga del monitoreo de las actividades que ocurren día con día dentro de la infraestructura tecnología, la detección de anomalías le permite:
- Detectar tráfico asociado a works.
- Detectar barredoras de reconocimiento de red y de servicio.
- Detectar cambios bruscos en niveles de tráfico a lo largo del tiempo (que pueden indicar un ataque DoS en ejecución).
- Implementar cuarentena segura de tráfico, evitando efectos colaterales cuando las reglas se aplican a ruteadores y firewalls.
- Detectar computadores desconocidos comunicándose vía red.
Conclusión
La detección de anomalías le debe permitir a las compañías tener una visión clara del comportamiento de la red, detectando rápidamente amenazas activas a la seguridad, comportamientos de usuarios, problemas de rendimiento y actividades no permitidas como violaciones de políticas y cambios de red no aprobados, esto le permitirá a los administradores de IT dar seguimiento a las amenazas antes de que puedan aprovecharse las vulnerabilidades, así ayudar a mantener la continuidad del negocio.