¿”Denegar por defecto” significa “Negarlo todo”?

En los últimos doce años, la comunidad informática clandestina se ha transformado y ha pasado de ser un grupo que practicaba una actividad de diversión adolescente y entretenimiento dañino (divertido para ellos, no tanto para las víctimas), dieron paso a cíber-bandas internacionales organizadas y patrocinadas por los estados, que dirigen ataques sofisticados de “advanced persistent threat” a  la infraestructura vital de varios países. ¡Menuda metamorfosis!

En los días de diversión previos, por varias razones, los cíber-miserables intentaban infectar a los ordenadores que podían, y los sistemas de software antivirus tradicional se diseñaban precisamente para desviar ataques masivos de ese tipo (y realizaban su trabajo bastante bien). Hoy en día, las nuevas amenazas son todo lo contrario.

Los cibercriminales saben exactamente cómo funcionan las tecnologías anti-malware, por lo que intentan pasar inadvertidos, a menudo, optando a objetivos particulares – con metas muy precisas. Y todo esto es muy lógico desde un punto de vista comercial.

Así que, sí, el inframundo ha cambiado, sin embargo, el paradigma de la seguridad, por desgracia, sigue siendo el mismo: la mayoría de las empresas continúan usando tecnologías diseñadas para las epidemias de masa – es decir, protección anticuada – para hacer frente a las amenazas de hoy. En consecuencia, mayoritariamente las compañías mantienen posturas reactivas y defensivas en la lucha contra el malware, por lo que siempre están un paso por detrás de los atacantes. En la actualidad, nos encontramos cada vez más con amenazas desconocidas para las que todavía no se ha desarrollado ningún archivo de detección, ni ningún rastreador de comportamiento, por lo que, frecuentemente, el software antivirus no puede detectar las amenazas.

Al mismo tiempo, los cíber-mocosos (por no hablar de los sucios militares del mundo www) comprueban meticulosamente bien cuándo sus programas maliciosos logran permanecer totalmente ocultos a de los AV. Esto no está bien. Está muy mal.

Todo esto se vuelve aún más paradójico cuando se descubre que en los arsenales de la industria de la seguridad de hoy en día, existen suficientes funciones alternativas de protección integrada en los productos –funciones capaces de hacer frente a las nuevas amenazas desconocidas.

Hoy os voy a hablar sobre una función así…

Así pues: en la ingeniería de la seguridad informática hay dos posiciones por defecto que una empresa puede adoptar con respecto a la seguridad: “Permitir por defecto”, todo (todo el software)  lo que no está explícitamente prohibido, se puede instalar en los ordenadores; y “Denegar por defecto”, todo lo que no está expresamente permitido, está prohibido (lo que mencioné brevemente en otros post mío).

Como ya habrás imaginado, con respecto a la seguridad, estas dos posturas representan los dos polos opuestos a los que es “útil” y a lo que es “seguro”.  Con “Permitir por defecto”, todas las aplicaciones tienen la libertad de hacer lo que les dé la gana en el ordenador y/o en la red, y el AV aquí asume el papel del que va por ahí tapando agujeros por los que se escapa el agua, poniendo los dedos en los agujeros frenéticamente (los agujeros son de diferentes tamaños (gravedad) y  aparecen con regularidad).

Con la posición “Denegar por defecto”, la situación es justamente contraria: se impide la instalación de cualquier software – a menos que estén incluido en la lista de la empresa de software de confianza. No hay agujeros – pero también es probable que no se dañe mucho, porque no hay muchas cosas que puedan causar daño.
Aparte de que continúe apareciendo el malware desconocido, las empresas (y, en particular, sus departamentos de IT) tiene otros muchos problemas con la posición “Permitir por defecto”.

Primero: la instalación de software y servicios no productivos (juegos, programas de comunicación, los P2P … –  el número de los cuales depende de la política de una organización determinada); Segundo: la instalación no verificada y, por lo tanto, potencialmente peligrosa (vulnerable) a través de la cual los cíber-sinvergüenzas pueden meterse dentro de una red corporativa, y Tercero: la instalación de software de administración remota, que facilita el acceso a un ordenador sin el permiso del usuario. La respuesta a los dos primeros rompe-cabeza es bastante clara. En cuanto a la tercera, ¡permíteme aclararlo un poco con una de mis explicaciones tecnológicas de la marca EK!

Recientemente, se realizó una encuesta a empresas en las que se les planteó la siguiente pregunta “¿Cómo incumplen los empleados las normas de seguridad de IT vigentes, mediante la instalación de aplicaciones no autorizadas?” Los resultados que obtuvimos están resumidos en el gráfico circular que encontrarás más abajo. Como se puede ver, la mitad de los casos son de administración remota. Esto significa que los empleados o los administradores del sistema instalan programas de acceso remoto para acceder a recursos internos o para acceder a ordenadores para diagnósticos y/o “reparaciones”.

Las cifras hablan por sí solas: se trata de un gran problema. Curiosamente, la encuesta no han podido  aclarar cuándo, por qué o quién había instalado los programas de administración remota (los empleados respondieron, a menudo, que los habían instalado sus predecesores).

El peligro es que estos programas son bloqueados por los AV tradicionales. Además, probablemente nadie les hará caso porque gran parte de estos programas ya están instalados en muchos PCs.

E incluso si se sabe – no se hace nada al respecto, ya que se asume que han sido instalados por los de IT. Esta situación es típica en las redes internas, independientemente de su tamaño. Resulta que un empleado puede instalarle a un colega un programa y queda desapercibido. O bien, el empleado puede tener acceso a su equipo desde una red externa. Lo que es aún más peligroso es que este vacío legal de actividad casi-legítima puede ser abusado por los cíber-sin-vergüenzas y por ex-empleados con malas intenciones, con la misma facilidad que los empleados actuales.

En la situación de “Permitir por defecto”, la red de la empresa se convierte en una jungla, una maleza caótica y densa, llena de todo tipo de software extraño y fantástico, sin que nadie se acuerde cuándo, por qué o por quién han sido instalados. La única manera de evitar este follón es la función de “Denegar por defecto”.

A primera vista, la función de “Denegar por defecto” parece bastante simple. Pero hay más detrás de esto. En la práctica es una tarea que es todo- menos sencilla. Consta de tres componentes principales: (1) una gran base de datos bien organizada de programas que se consideran legítimos, (2) un conjunto de tecnologías que proporcionan la máxima automatización del proceso de implementación, y (3) herramientas fáciles de usar para la gestión post-implementación de la posición “Denegar todo”.

Y ahora, un poco de publicidad. En otras palabras, te voy a contar que pasa con los tres componentes mencionados en nuestros productos para empresa.

En resumen, el proceso es éste:

La primera etapa de inventario automático –el sistema de recopilación de información sobre todas las aplicaciones instaladas en ordenadores unipersonales y recursos de la red. Entonces, las aplicaciones localizadas están todas categorizadas (además, se realiza automáticamente).  Esto es ayudado por nuestra base de datos de software verificado (listas blancas) de la nube, la cual contiene información sobre más de 350 millones de archivos fiables divididos en 96 categorías; esto es lo que ayuda a la Tecnología Informática IT a decidir lo que es bueno y lo que es malo. Ya en esta etapa hay formada una buena visión de lo que realmente está pasando en la red –y quién no se está portando bien.

Siguiente –clasificación: etiquetado del software que es de “Confianza” o “Prohibido” según la política de seguridad,  teniendo en cuenta los “derechos” de ciertos empleados y sus grupos.

Por ejemplo, la categoría “multimedia” puede ser accesible sólo a los departamentos de marketing y departamentos PR, pero inaccesibles a todos los demás. También es posible configurar una programación para cada aplicación y empleado – para cuándo, por quién y para qué el software puede ser utilizado.  Por ejemplo, cuando las horas del trabajo se acaban –cualquier persona puede lanzar…SETI@Home. Si realmente sienten la necesidad.

Además, antes de Permitir por Defecto que trabaja en pleno funcionamiento nosotros necesitamos la implementación de testits. Con base en las pruebas, nosotros obtenemos un informe sobre quién lo tiene desactivado tras introducir cada norma específica. Estarás de acuerdo que, por ejemplo, no sea la mejor idea privar a un jefe de departamento del contacto con la Civilización J Y, por supuesto, esta prueba también se realiza de manera automática.

Y finalmente, después de la aplicación de Permitir por Defecto viene la monitorización rutinaria y el mantenimiento. Con la ayuda de la tecnología Trusted Updater, las aplicaciones de confianza son actualizadas a medida que aparecen actualizaciones. Se da información detallada sobre qué y cuándo fue procesada para ser lanzado a la lista prohibida –y por quién. Además, los usuarios pueden enviar una solicitud para la concesión de permiso para instalar tal o cual aplicación directamente en el cliente KES.

Después de todo lo leído anteriormente sería justo preguntarse “¿Por qué molestarse, en absoluto, con el antivirus, si tienes este tipo de políticas estrictas?

Bueno, en primer lugar, desde el punto de vista tecnológico –y esto puede resultar una sorpresa –un concepto como el “antivirus” no ha existido durante mucho tiempo, ¡incluso, hoy en día, se piensa que todavía es una categoría de software!

Esta (no-existencia) se debe al hecho de que incluso el “sencillo” producto para el hogar (estoy hablando sobre nosotros – nuestro Anti-Virus) son piezas sofisticadas y complejas del kit, mientras representan  las funciones de las soluciones del antivirus clásico, ¡ooh! vamos a ver, probablemente sólo el 10-15% de seguridad en general.

El resto está compuesto por sistemas de prevención de ataques de red, búsqueda de vulnerabilidades, protección proactiva, administración centralizada, el tráfico web y el control de dispositivo exterior, y mucho más; además no olvidemos la Aplicación de Control involucrada en la súper-cuidadosa ejecución del modo Permitir por Defecto.

Sin embargo, el antivirus, como una tecnología de análisis de firmas todavía existe y que es todavía significativo. Esto es una herramienta eficaz para el tratamiento de infecciones activas y la recuperación de archivos, y sigue siendo una parte indispensable de la protección multinivel.

Restablecer la Permitir por Defecto… esto debería parecer a primera vista que se trata de una cuestión de adoptarlo, usarlo y disfrutarlo. Pero en realidad, la situación no es tan sencilla. No importa lo mucho que hable a nuestros chicos de ventas y clientes, el público en general tiene prejuicios contra esta tecnología –como con todas las cosas nuevas.

A menudo escucho “la nuestra es una empresa creativa, y no queremos limitar a los empleados en su elección del software. Tenemos una cultura de la libertad… y bien, ¿no has oído hablar sobre BYOD? Espera un minuto. ¿Qué te está dando la lata?

¡Permite todo lo que consideres necesario y seguro! Todo lo que necesitas es entrar en la nueva aplicación de la base de datos o poner una marca en la consola de gestión en el lugar correcto en el Centro de Seguridad¡diez segundos! La mayoría de la gente actúa en función de prejuicios, y es justo. Pero Permitir por Defecto simplemente protege a la gente de cometer errores.

Así que sí, como te darás cuenta fácilmente –recomiendo encarecidamente Permitir por Defecto. Ha sido probado y elogiado por West Coast Labsy Gartner regularmente nombra el enfoque (la propuesta) como el futuro de la seguridad de IT. Estoy seguro que el mundo está a punto de la adopción mayoritaria de esta tecnología, y se establecerá para poder reforzar la lucha contra el ciber-mal. En lugar de reaccionar a las nuevas amenazas como las que ellos presentan, las empresas podrán establecer sus propias reglas del juego y estar a un paso de la comunidad informática clandestina.

Todo lo que necesitas es reflexionar un poco sobre prohibir las acciones imprudentes.

LEER COMENTARIOS 1
Comentarios 0 Deja una nota
Trackback 1

KIS 2014 – Modo Aplicaciones de Confianza | Nota Bene | El blog oficial de Eugene Kaspersky en español

Deja una nota