• Artículo

Seguridad

Cuatro tecnologías de seguridad que toda organización de TI debe tener

Matt Clapham and Todd Thompson

 

Resumen:

  • Panel de administración de riesgos
  • Antimalware
  • Detección de anomalías de red

En lo que se refiere a la seguridad de TI, la mayoría de las empresas tienen que enfrentar en realidad casi los mismos problemas. Microsoft no es la excepción. Pasamos dos años en el equipo de administración de riesgos y conformidad de

Microsoft® Managed Solutions (MMS). (Consulte "Microsoft da una recarga de energía a su división de TI" para obtener más información sobre MMS).

El equipo de administración de riesgos y conformidad está encargado de definir, supervisar y corregir la postura de riesgo de todos los entornos de MMS (tanto para los servicios orientados al cliente como para la coordinación de infraestructura). Desde el principio, nuestro administrador, Arjuna Shunn, reconoció que necesitábamos una solución de tecnología que ofreciera de forma centralizada y cohesiva los controles y la supervisión deseados. Las tecnologías que analizaremos aquí son el resultado directo de nuestras primeras ideas, unidas a dos años de experiencia en el uso de distintos productos de Microsoft y de terceros en nuestras operaciones.

Antes que nada, necesitamos tecnologías de seguridad que abarquen los tres tipos principales de control (prevención, detección y corrección), así como proporcionar auditoria e informes. Vimos esta colección de herramientas divididas en cuatro categorías: panel de administración de riesgos, antimalware, detección de anomalías de red y administración de la configuración deseada. Intentamos incluir por lo menos un representante de cada categoría en nuestras operaciones de administración de riesgos. Y encontramos que al aprovechar las tecnologías de cada una de las cuatro áreas, el equipo de seguridad de TI puede lograr un equilibrio razonable entre costo y eficacia.

Nuestras dos operaciones principales de administración de riesgos (respuesta a incidentes de seguridad y administración del cumplimiento) se han beneficiado mucho con este enfoque, pero todavía tenemos camino por delante en lograr la coordinación entre las herramientas que en última instancia deseamos. Un conjunto cohesivo de tecnologías puede ofrecer mucha más eficacia operativa, pero lamentablemente todavía el sector no dispone de este sistema integrado.

Afortunadamente, no todo está perdido para los equipos de seguridad de TI; es sólo cuestión de tiempo antes de que los cuatro sistemas comiencen a trabajar juntos e interoperar para un efecto mayor. Una vez que estos sistemas trabajen juntos, no sólo permitirán la supervisión activa de la postura de seguridad del sistema, sino que también serán de utilidad durante las auditorias u otras operaciones rutinarias de TI. En este artículo, describimos la función ideal de cada sistema, interponiendo algunos ejemplos de nuestro uso del tiempo de ejecución.

Panel de administración de riesgos

En nuestra opinión, un panel de administración de riesgos (RMD) es absolutamente esencial. Es la tecnología singular más importante para el funcionamiento de un equipo de seguridad de TI. Los riesgos de confidencialidad, integridad, disponibilidad y responsabilidad (CIA2) en una empresa frecuentemente son supervisados por sistemas y procesos separados que no cuentan con una interfaz única para la agregación de los datos, su correlación y la corrección de riesgos. Además, los requisitos de las disposiciones legales especifican niveles cada vez más difíciles de transparencia de datos empresariales, y no existe un sistema perfeccionado para realizar fácilmente un seguimiento de directivas desde la creación hasta su ejecución en la empresa. Esto se pone en evidencia con las dificultades comunes de las empresas en la adquisición, correlación, evaluación, corrección y cumplimiento de los datos. (Aunque no es una solución completa de RMD como la que resumimos aquí, System Center Operations Manager 2007, tal como se muestra en la figura 1, ofrece una interfaz única para supervisar múltiples recursos y recopilar las alertas relacionadas).

Figura 1 System Center Operations Manager 2007 ofrece una interfaz única para visualizar alertas y administrar recursos a través de la red

Figura 1** System Center Operations Manager 2007 ofrece una interfaz única para visualizar alertas y administrar recursos a través de la red **(Hacer clic en la imagen para ampliarla)

La adquisición de datos se dificulta debido a la incapacidad de agregar y normalizar datos procedentes de orígenes diferentes. La agregación de datos ya de por sí es un desafío, porque requiere salir del frecuente enfoque de silos para recopilar e notificar datos. Aunque la agregación de datos se consiga, la normalización continúa siendo un desafío todavía mayor, porque es muy difícil establecer el marco común necesario para admitir la normalización de los datos. Sin esta normalización, no se puede comparar de una manera coherente eventos de seguridad y relacionados al estado que procedan de diferentes sistemas.

Para llevar a cabo la automatización necesaria, el panel de administración de riesgos debe tener acceso a suministros de datos de otros orígenes que los de las tecnologías de seguridad que se describen aquí. Una gran cantidad de datos que no son de seguridad se puede usar para determinar la postura general de riesgo. Elementos de información, tales como registros de enrutador, seguimiento de activos, estado de revisiones, usuarios que tienen una sesión iniciada, informes de rendimiento y datos de administración de cambios, pueden ofrecer información pertinente para el investigador del incidente. Por lo tanto, el sistema general necesita tener acceso a todos estos datos. Sabemos que incluso las infraestructuras de empresa más centradas en Microsoft incluyen tecnologías que no son de Microsoft, de modo que el RMD necesita aceptar suministros de dichas tecnologías a través de alguna interfaz común.

Si los datos se pueden adquirir y normalizar, el paso siguiente es correlacionarlos. El objetivo es poner en correlación una secuencia de eventos (tal como un evento de anomalía de red, un evento de informe de antivirus y un evento de variación de configuración deseada) en datos relacionados con riesgos que se puedan procesar. Esto requiere un trabajo manual intensivo para generar la lógica de correlación que tendrá como resultado una alerta coherente basada en riesgos. Según las tecnologías actualmente disponibles, esta lógica de correlación es, en el mejor de los casos, difícil de lograr.

Valorar los datos también requiere un trabajo manual intensivo. En el caso en que sucede la correlación, un analista debe todavía mirar los datos correlacionados para determinar su eficacia. La eficacia de los datos correlacionados será solamente tan fuerte como las reglas en que se basan. Esto conduce a un análisis personal posterior de los datos correlacionados para valorar el riesgo del entorno de TI. Un marco de trabajo claro y codificado de administración de riesgos podría ayudar a reducir en este caso la cantidad de intervención manual necesaria para alcanzar un nivel de selección. Sin este marco, el desarrollo de un conjunto práctico de reglas de correlación en una implementación dada es dificultoso.

Si se supone que un sistema ha alcanzado el punto de evaluación del riesgo, el paso siguiente es la corrección automatizada. Hoy, en realidad, ésta sólo existe en las empresas, y aún así se ha realizado en un conjunto limitado de tecnologías, tal como la administración de revisiones o antivirus. La corrección automatizada encabezada por el sistema RMD ofrecerá a la administración de TI una extraordinaria capacidad para mantener niveles de riesgo de TI aceptables. Cuando varios riesgos se identifican de forma simultánea, la lógica de correlación debe tener la capacidad de ayudar a establecer prioridades en la respuesta al incidente basada en datos de clasificación de activos.

Por último, ofrecer evidencia del cumplimiento con los distintos requisitos de las disposiciones legales es un gigantesco desafío para los departamentos de TI y, como hemos mencionado, este sistema debe admitir dicha funcionalidad. Un sistema centralizado de administración de riesgos vinculado a las directivas puede ser un gran activo para la generación de informes y evidencia del cumplimiento. Pero la directiva necesita abarcar más que los dónde y porqué. Para facilitar la corrección automatizada, la directiva se debe traducir en un conjunto de estándares que el panel pueda supervisar y aplicar, así como proporcionar comentarios sobre ellos.

De modo que podemos resumir el panel de administración de riesgos ideal como una manera de ofrecer una interfaz unificada para la evaluación del estado de la empresa, del cumplimiento de disposiciones legales y directivas y de los procesos de administración de riesgos. Esto se logra al combinar información de productos y orígenes diferentes relacionados con el estado y la seguridad del sistema en una pantalla cohesiva de todo lo que tiene relación con el riesgo. Una buena solución RMD necesita realizar lo siguiente:

  • Agregar, normalizar y poner en correlación datos de orígenes dispares
  • Proporcionar recopilación de información y evaluación de riesgo automatizadas
  • Asignar requisitos de las disposiciones legales a las directivas y admitir auditorias e informes
  • Proporcionar un marco unificado que se pueda modificar para adaptarse a las necesidades de la empresa

El panel debe permitir organizar y visualizar datos con significado, mostrando, por ejemplo, principales incidentes por sistema de origen, incidentes pendientes, incidentes resueltos, etc. También debe permitir explorar cada elemento de la línea del informe para obtener mayores detalles. Cuando observe un evento, el usuario debe tener fácil acceso a cualquiera de los datos relacionados y a su totalidad. Esto mejorará las decisiones y permitirá que éstas se tomen con mayor rapidez.

Debemos remarcar que el RMD también es útil para los administradores que no pertenecen al equipo de seguridad. Dado que el panel abarca una vista integral del entorno, el RMD puede actuar como un punto centralizado para que todo el personal visualice el estado actual. El panel puede, por ejemplo, alertar al equipo de mensajería sobre un ataque de denegación de servicio en la puerta de enlace SMTP. Aunque se trate de un incidente de seguridad para el equipo de administración de riesgos, el equipo de mensajería lo verá como un incidente de disponibilidad. Si bien es posible que el equipo de mensajería no sea responsable de analizar y resolver tal incidente, querrá por lo menos estar enterado de incidentes como éste que afectan a los activos que administra el equipo.

Tecnologías antimalware

Un sistema completo antimalware es importante para proteger su infraestructura contra amenazas ocultas en código y acciones de usuarios imprevistas. En la actualidad, existen generalmente dos tipos diferentes de herramientas para la protección contra malware: antivirus y antispyware. (Windows® Defender, por ejemplo, mostrado en la figura 2, se incluye en la segunda categoría). Ambos evitan, detectan y corrigen diferentes tipos de infección de forma eficaz. Sin embargo, es sólo cuestión de tiempo antes de que estos dos tipos de protección se unifiquen en una única solución y en un sistema habrá sólo una pila antimalware.

Figura 2 Windows Defender ayuda a proteger a los clientes del spyware

Figura 2** Windows Defender ayuda a proteger a los clientes del spyware **(Hacer clic en la imagen para ampliarla)

Una solución completa antimalware necesita supervisar en tiempo real y realizar análisis de forma periódica. Debe informar de forma centralizada sobre malware conocido (incluidos virus, spyware y rootkits) y desconocido en función de comportamientos típicos de riesgo. Una tecnología robusta antimalware observa todos los puntos de entrada clásicos (incluidos el sistema de archivos, Registro, shell, explorador, correo electrónico y aplicaciones conectadas) a través de una estricta integración con el sistema operativo y las aplicaciones.

Adicionalmente, una solución antimalware debe abarcar más que sólo la seguridad del host. Necesita observar los servicios comunes de mensajería y colaboración por los cuales pasan con frecuencia archivos infectados, tales como SharePoint® y mensajería instantánea. También debe proporcionar una prevención automatizada deteniendo operaciones (conocidas y bajo sospecha) y analizando cuidadosamente los datos del usuario para eliminar, por ejemplo. virus de macros que se ocultan en documentos del usuario y que todavía no infectaron el sistema.

No hace falta decir que el antimalware es inútil sin actualizaciones. El sistema debe mantener actualizados su firma digital y sistemas de eliminación para adelantarse a las últimas amenazas. Si aparece una nueva amenaza, el proveedor debe establecer protecciones adicionales antes de la siguiente interrupción de la amenaza de día cero. Una solución antimalware fácil de administrar también se configura y actualiza de forma centralizada.

Por supuesto, esta protección no se puede realizar a costo del rendimiento. Si el rendimiento sufre, la productividad también lo hará. Incluso es posible que los usuarios intenten deshabilitar la solución antimalware, conduciendo a una ausencia total de protección.

Por último, no pase por alto la importancia de tecnologías auxiliares para asistir al sistema antimalware. Firewalls, limitación de privilegios del usuario y otras estrategias mejoran también la protección contra código y acciones de usuario malintencionados.

Detección de anomalías de red

Mientras el antimalware cuida los sistemas, la detección de anomalías de red (NAD) supervisa los caminos comunes al observar indicadores conocidos de comportamiento sospechoso e informar al RMD para su corrección. (Un firewall, por ejemplo, tal como se muestra en la figura 3, se podría incluir en esta categoría). Los comportamientos sospechosos podrían ser tráfico de ataques conocidos (tal como un gusano o una denegación de servicio) o datos que se adaptan a cierto patrón (tales como los números de Seguridad Social de EE.UU.) que se envían por correo electrónico.

Figura 3 Un firewall es una parte importante de una solución de detección de anomalías de red

Figura 3** Un firewall es una parte importante de una solución de detección de anomalías de red **(Hacer clic en la imagen para ampliarla)

A pesar de los mejores esfuerzos de la administración de TI, cualquier red de una gran empresa inevitablemente tendrá un incidente ocasional con malware. NAD puede ofrecer un sistema de alerta temprana que puede ayudar a acelerar la corrección. Además, las capacidades de supervisión de datos de NAD y su habilidad para identificar y detener la pérdida de información confidencial, son herramientas útiles para la protección de información en un entorno preocupado por pérdidas de datos y cumplimiento de las disposiciones legales.

Como sucede con las tecnologías antimalware, NAD se debe adaptar constantemente al último conjunto de amenazas y tipos de datos confidenciales o su valor disminuirá apreciablemente. Además, un buen sistema NAD debe entender bastante sobre verdaderas anomalías para minimizar el número de falsos positivos informados. De lo contrario, los administradores pueden comenzar a omitir los informes provenientes de NAD, porque suponen que se trata de otra falsa alarma.

Después de un poco de optimización o entrenamiento, el sistema NAD conoce y supervisa los patrones típicos de uso de tráfico. Esto es importante porque los nuevos tipos de malware y otros ataques pueden revelarse a sí mismos con un cambio en los patrones de uso. Los equipos de red juegan un papel significativo en el sistema NAD general, porque la solución debe procesar datos de enrutadores, conmutadores y firewalls. Las alertas de NAD se pueden procesar con el motor de correlación en el RMD.

Existe aquí una posibilidad interesante de integrar los detectores de anomalías de red en el software antimalware o firewall del host y arrojar una red de protección en donde todos los equipos incluidos ayudan a observar y potencialmente a detener los ataques antes de que se propaguen.

Administración de la configuración deseada

Uno de los mayores desafíos a los que se enfrentan los departamentos de TI en las grandes empresas es mantener los sistemas apropiadamente configurados. Existen muchas motivaciones para querer mantener las configuraciones del sistema; facilitar la administración, simplificar la escalabilidad, garantizar el cumplimiento, bloquear las distintas formas de intrusión y promover la productividad, por nombrar algunas. Muchas de estas razones se toman en cuenta en la seguridad.

La administración de la configuración deseada es un área en gran parte sin explotar en la mayoría de las empresas debido a su complejidad y costos iniciales. Pero los estudios demuestran que a largo plazo, el mantenimiento de los sistemas conduce a ahorros de costos y a una confiabilidad mejorada. Una solución de supervisión de configuración deseada (DCM) puede ayudar.

Un buen sistema DCM debe analizar automáticamente la red para garantizar que los nuevos sistemas se implementan según lo deseado y comprobar además que los sistemas establecidos permanecen en cumplimiento. Tanto si desea estar seguro de la implementación de la última revisión como si pretende minimizar el número de usuarios que tienen privilegio de dominio, una solución completa de DCM debe configurar sistemas, analizarlos y notificar la proximidad de cada configuración de la ideal. Las correcciones pueden ser sencillas (como por ejemplo, aplicar la revisión a nuevos sistemas en la red en el momento que se implementan) o enérgicas (como por ejemplo, implementar la configuración del cliente de correo electrónico para usuarios). La clave está en vincularlas a las directivas y a la postura de la organización sobre las disposiciones legales. (DCM también puede ayudar a identificar e eliminar infecciones provocadas por malware, porque los tipos sencillos se muestran con facilidad en los resultados de la exploración).

DCM es uno de los principales notificadores de datos del motor de correlación del RMD y ofrece detalles importantes sobre cómo el host en cuestión varía respecto a la normalidad. La vigencia de sus datos puede fijar la diferencia entre un incidente de seguridad de una o cinco alarmas, por lo que un activo se debe analizar con una frecuencia proporcional a su valor; por ejemplo un activo con baja sensibilidad se puede analizar mensualmente, mientras que un activo de sensibilidad moderada se analiza semanalmente, y uno de alta sensibilidad se comprueba por lo menos una vez al día.

La instalación de un DCM también es una parte fundamental de un buen mecanismo de protección de acceso a redes (NAP). Esto es así para que el sistema pueda comprobar que todos los sistemas conectados están configurados apropiadamente y bloquear sistemas nuevos o desconocidos hasta que se validen. Además, DCM deberá buscar vulnerabilidades de configuración (tales como listas deficientes de control de acceso en un recurso compartido) para que los administradores puedan tomar las medidas apropiadas.

No imagine que DCM se aplica sólo a hosts tales como clientes o servidores. Los dispositivos de red y el núcleo del directorio en sí mismo son candidatos para incorporar DCM. Cuando existe un diseño de red razonablemente bien entendido, la aplicación de estándares en los dispositivos asociados debe ser un problema trivial para el sistema DCM ideal. ¡Imagine las posibilidades! En vez de ajustar configuraciones de enrutadores de forma manual, el DCM puede controlar la implementación. O bien, digamos que un conjunto de configuraciones estándar de directivas de grupo está asociado a un conjunto específico de servidores o clientes. El DCM los debe supervisar y enviar una alerta si se producen cambios en las configuraciones del dominio.

Los datos que recopila el DCM deben ser lo suficientemente robustos como para que se puedan usar en una auditoria de TI. Un buen DCM debe tener enlaces a la administración de cambios y a los controles de cumplimiento de disposiciones legales para poder tomar medidas sobre las necesidades de auditoria de manera oportuna, y casi continua. Por ejemplo, una de nuestras verificaciones de control rutinario es comprobar que la pertenencia del administrador local en los servidores MMS no cambie. ¡El cumplimiento de esta regla es la razón por la cual DCM fue diseñado!

Aún si su departamento de TI no está listo para un sistema DCM de corrección automática, se puede implementar una variación conocida como supervisión de configuración deseada que ofrece buenos resultados. También ofrece informes y alertas sobre problemas de configuración, pero no se logran necesariamente las mismas economías de escala porque la corrección es fundamentalmente manual. Lo que importa, sin embargo, es que la notificación y los datos que necesita RMD estarán disponibles para la correlación.

No obstante, cabe ofrecer una palabra de advertencia. DCM, en cualquiera de las formas que he descrito, se tiene que limitar sólo a los elementos mínimos de importancia para la configuración junto con los datos estándar de recopilación de activos. De lo contrario, puede afectar a la flexibilidad que necesita el equipo de TI. Si las guías de configuración de DCM se retrasan, DCM será considerado rápidamente como una carga operativa en lugar de una herramienta útil. De modo que es importante mantenerse al tanto de las últimas ideas sobre cómo configurar óptimamente los activos. Aún más, sugerimos que el sistema DCM incluya actualizaciones regulares a sus guías de configuración de acuerdo a las prácticas recomendadas para activos o aplicaciones en cuestión.

Conclusión

Independientemente de si se crea en la empresa o se adquiera a un proveedor acreditado, el panel es esencial, ya que actúa como la herramienta principal de su equipo para respuesta a incidentes. El antimalware también es esencial y le ayudará a protegerse contra las amenazas que se multiplican a diario. La detección de anomalías de red está al borde del cambio, de sólo incluir las firmas digitales de malware y detección de intrusiones en hosts, a incorporar el descubrimiento de pérdida de datos; y esta última función puede ayudar a impedir las futuras infracciones de red bien publicitadas. La administración de la configuración deseada, aunque todavía nueva, pronto será fundamental para la supervisión y el mantenimiento de configuraciones. Independientemente de quién ofrece estas herramientas, ¡debe contar por lo menos con alguna de ellas en cada una de las cuatro categorías!

De lo visto hasta ahora, ningún proveedor de forma individual (incluido Microsoft) ofrece una única solución integrada que resuelva los cuatro espacios. Depende de usted la selección de productos que se adaptarán a sus necesidades específicas. En este artículo sólo quisimos ofrecerle una perspectiva de qué es lo que necesita considerar, qué debería intentar lograr y qué es lo que realizará una solución ideal.

Matt Clapham es un ingeniero de seguridad en el grupo Infrastructure and Security de la división TI de Microsoft. Con anterioridad trabajó durante dos años en el equipo de administración de riesgos y conformidad de Microsoft Managed Solutions.

Todd Thompson es ingeniero de seguridad en el grupo Infrastructure and Security de la división TI de Microsoft. Con anterioridad trabajó durante dos años en el equipo de administración de riesgos y conformidad de Microsoft Managed Solutions.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.