lunes, 4 de octubre de 2010

Google, malware y el ciclo de gestión de los incidentes de seguridad

Aunque ya lo comenté vía Twitter hace unos días, es de destacar esta inteligente iniciativa del gran buscador por perseguir la lacra del malware. Para ello, han decidido utilizar sus potentes motores que avisan al usuario cuando accede a contenidos maliciosos para notificar al administrador de red responsable de la IP que sirve el contenido de estos hechos. Ello obviamente no va a afectar a aquellos que tienen como parte de su actividad de negocio ser proveedores de contenidos ilícitos pero si va a contribuir a limpiar aquellos equipos donde se ignora que existe malware y el administrador de red también lo desconoce.

El servicio ha sido puesto a disposición de los administradores de sistemas autónomos y requiere previamente el registro en la URL http://safebrowsingalerts.googlelabs.com.

De esta forma ya no pasará desapercibido para aquellos administradores de red que quieran conocer qué tipo de contenidos alojan bajo su direccionamiento qué esconde cada equipo según el examen de seguridad de Google.

Ello enlaza también con otro texto que quería comentar que trata sobre el ciclo de gestión de incidentes. En España todavía las empresas no destinan equipos especiales para la respuesta frente a incidentes y sólo algunas subcontratan este tipo de servicios en los Security Operations Center.

El presente gráfico trata de representar las fases del ciclo de gestión de incidentes y los grupos de atención que deben tratarlo en cada fase. A estas alturas a nadie le sorprenderá ver un ciclo parecido al de Demming (Plan-Do-Check-Act) como eje central de las tareas.

Las distintas fases del ciclo son:
  • Plan: La organización se prepara para defender su infraestructura de TI y los datos mediante la evaluación de sus riesgos y su estado de seguridad. Se trata de entender cuales son las posibles amenazas y si somos o no vulnerables a ellas. El chequeo de vulnerabilidades y los test de intrusión pueden ser actividades de esta fase dado que sirven para evitar la detección ajena del fallo siendo nosotros mismos quienes nos preocupemos por hallar agujeros en nuestra infraestructura. La fase de planificación permite a la organización diseñar una arquitectura de seguridad de la información más robusta frente a los ataques comunes o más triviales. Permite que la Organización no quede al descubierto con los continuos escaneos de vulnerabilidades que se realizan ya a diario a través de Internet buscando potenciales víctimas fáciles.
  • Resistir: Después de haber planeado sus tácticas de defensa y estrategias, e implementar los componentes apropiados de su arquitectura de seguridad, la organización debe resistir los ataques. Esto implica el uso de tecnologías de protección perimetral que hacen de primera barrera y muro de contención frente a ataques ya dirigidos. Los detectores de intrusos y las herramientas más proactivas como los IPS pueden eliminar también mucho ruido de ataques automatizados utilizando herramientas más sofisticadas. Filtrar el tráfico de red no deseado en ambas direcciones entrantes y salientes, las infecciones de malware (en la medida de lo posible), establecer mecanismos de control de acceso a los datos y aplicaciones basadas en métodos de autenticación robustos, etc. Nótese el uso en esta fase del término "resistir", donde ya suponemos que nos toca responder frente a una agresión intencionada.
  • Detectar: Dado que es ingenuo esperar que la organización será capaz de resistir todos los intentos de intrusión, hay que dedicar esfuerzos a detectar los indicios de penetración en nuestros sistemas. Esto implica tener visibilidad y monitorización en todos los niveles de la infraestructura (redes, aplicaciones, datos, etc) y herramientas de detección de intrusos basadas en patrones de uso anómalos mediante la extrusión, la realización de la detección de cambios, la recolección y revisión de los registros, y así sucesivamente. Los datos recogidos en la fase de detección son  fundamentales para investigar el alcance de la intrusión de una vez han sido descubierta. Muchas organizaciones no implementan esta fase correctamente y no recogen evidencias digitales que luego les permita emprender acciones legales si la gravedad del asunto lo requiere.
  • Actuar: Una vez que el incidente ha sido detectado, la organización se moviliza para responder a la intrusión. Este proceso generalmente implica entender el alcance del incidente, la situación y su resolución. El análisis de los hechos una vez resuelto el conflicto debe servir para aprender de los errores y debe contribuir a mejorar la fase de planificación inicial de protecciones del nuevo ciclo que comienza.
Lo que es básico e imprescindible es aprender de los errores. Un incidente no queda solucionado cuando acaba el ataque sino cuando se mitiga cualquier remota posibilidad de que los hechos puedan repetirse. El hombre es el único animal que tropieza dos veces en la misma piedra. Sin embargo, una buena gestión del ciclo de vida de un incidente debe evitar precisamente ese segundo tropiezo. La herramienta que Google pone a disposición de los administradores de red mejorará la fase de detección y por tanto, servirá para hacer que se actúe y fortaleza el organismo frente a los ataques ya detectados.  No se trata de creer que se está seguro sino de tener constancia y datos que lo objetiven. Mantener a cero el marcador de buenos frente a malos es el objetivo. El único problema es que el partido tiene hora de inicio pero nunca hora de fin. Hay que mantener la tensión siempre... porque los malos no llaman a la puerta y buscarán el mínimo descuido para entrar.Existe una enorme desproporción entre el esfuerzo del defensor y del atacante. 



2 comentarios:

Anónimo dijo...

Basicamente lo que hace google es avisar al administrador si una página enlaza a una URL o tiene un código JavaScript malicioso.

Pero claro, si esto ocurre es porque las medidas que se han planificado , no han funciondo, por lo qur no se ha resistido a los ataques y no se ha sido detectado internamente un problema , teniendo que recibir una información externa a nuestro entorno (En este caso el indexador de Google), sobre que ha habido un problema para actuar.

Vamos, que una organización que tenga que confiar en las alertas de google o de cualquier proveedor externo de seguridad debería planterse pensar en este ciclo desde el principio.

Audea Seguridad dijo...

El artículo me ha parecido muy interesante.
La verdad es que todas las medidas para luchar contra el malware son pocas.
En cuanto al ciclo de Gestión de Incidentes, se representan de forma correcta
todos los pasos a seguir de cara a la detección/actuación cuando se produce un
incidente.

Sí que es cierto que se aprende de los fallos, si bien creo que algunos errores
podrían evitarse con la debida concienciación sobre temas de seguridad.

Saludos.

 
;