Brechas en la empresa: la solución integrada multinivel

advertisement
Brechas en la empresa: la solución integrada multinivel
contra el contenido malicioso
Monográfico de Sophos
Julio 2005
Existe la creencia generalizada de que la forma más eficaz de proteger la red de una empresa es emplear programas de
diferentes fabricantes. Sin embargo, la naturaleza cada vez más compleja de las amenazas de rápida expansión cambia
de forma radical los criterios de defensa y requiere una gestión integrada multinivel contra las amenazas. Este
monográfico expone cómo los conocimientos de SophosLabsTM sobre amenazas de todo tipo y su rapidez de respuesta
ante nuevos programas maliciosos y campañas de spam coloca a Sophos en una posición única para ofrecer una gestión
integrada de todas las amenazas, independientemente del origen o método de propagación.
El reto ante la creciente velocidad de las amenazas
Desde la aparición en 1986 del primer virus informático
Brain, que infectaba el sector de arranque del ordenador, la
naturaleza de las amenazas ha cambiado enormemente y a
una velocidad cada vez mayor. A los virus de sector de
arranque les siguieron otros tipos de virus, como los virus de
archivos ejecutables y los virus polimórficos. Más tarde, con
los virus de macro que infectan archivos de Microsoft Office se
disparó el número de virus y la velocidad de propagación. La
aparición de los primeros virus de email, Melissa en 1999 y
Lovebug en 2000, aceleró aún más la situación: la densidad
del tráfico de mensajes saturó los sistemas de correo y causó
el derrumbamiento de redes no protegidas. Después el spam
entró en escena y, con él, todo tipo de amenazas nuevas.
El número de amenazas nuevas sigue creciendo a una
velocidad que, al principio, fue considerada insostenible. De
hecho, la velocidad a la que aparecen nuevas amenazas
aumenta día a día y Sophos Anti-Virus identifica ya más de
100.000 virus diferentes, tal como muestra la figura 1.
Peligros nuevos y en evolución
Actualmente, el término “virus” se aplica a una gama cada
vez mayor de amenazas y su definición original ha
evolucionado para englobar gusanos y troyanos. Además, han
aparecido nuevos términos como “programa espía”,
“marcador telefónico” y “capturador de teclado”, la mayoría
de los cuales se han agrupado hasta ahora bajo el término
genérico “troyano”.
105
100
95
85
80
75
70
65
5
l0
Ju
En
e
05
4
l0
Ju
04
e
En
l0
Ju
03
e
En
3
60
2
Nº de virus (miles)
90
l0
"Las empresas que han intentado elaborar las
mejores estrategias de seguridad se han
encontrado a veces con que su entorno
heterogéneo complica las cosas. Para algunas,
la gestión de productos de diferentes
fabricantes ha sido un fiasco informático."
Chris Christiansen, IDC VP de Security Products,
Junio 2005
110
Ju
El principal reto para los responsables de la protección de las
redes de una empresa es enfrentarse a la rápida evolución tanto
de las amenazas contra las que intentan protegerse como de
las redes que protegen. Hasta ahora, la práctica común ha sido
tratar las diferentes partes del problema con productos de
diferentes fabricantes. Sin embargo, este enfoque ya no es
adecuado y aparecen brechas en las estrategias de defensa.
Figura 1: Aumento de virus entre julio de 2002 y julio de 2005
El spam, otrora considerado simplemente como una irritante
forma de publicidad no solicitada que satura los sistemas de
mensajería, se ha convertido en una amenaza más sofisticada
que nunca. Los ataques de pesca de información, en un
principio un subconjunto del spam, recurren a tácticas
alarmistas para engañar a los usuarios y obtener así
información confidencial. Hoy en día, además de usar técnicas
psicológicas, utilizan troyanos, gusanos y virus para instalar
MONOGRÁFICO DE SOPHOS
programas que graban las pulsaciones del teclado y otros
programas espía que de forma silenciosa almacenan códigos
de acceso y contraseñas del usuario y escanean el disco duro
y las redes en busca de información confidencial. Del mismo
modo, los “marcadores telefónicos”, que se conectan de
forma clandestina a números de teléfono de elevado coste y
aumentan considerablemente la factura telefónica del usuario,
son generalmente troyanos camuflados en una aplicación
atractiva para embaucar al usuario a ejecutarla en su sistema.
La aparición de estos ataques con motivos económicos
intensifica el problema de la seguridad informática. Los
vándalos informáticos de ayer se han convertido en los
criminales informáticos de hoy. Mientras que antes los virus
eran en mayor parte obra de aficionados, el aliciente
económico ha traído una mayor organización y sofisticación al
negocio de infiltrarse en los ordenadores y redes de otros, y la
convergencia de amenazas de virus y spam hace imperativa
una protección integrada.
La convergencia de las amenazas de virus y
spam hace imperativa una solución de
protección integrada.
Difusión global en cuestión de segundos
No sólo ha aumentado la cantidad y diversidad de las
amenazas, sino que la velocidad a la que se propagan los
nuevos ataques también ha crecido considerablemente.
Aprovechándose de defectos en el software, gusanos de
Internet como Blaster y Slammer, que usaron las
vulnerabilidades en los sistemas operativos y aplicaciones
Windows, llegaron a infectar miles de ordenadores en todo el
mundo en menos de una hora.
100
80
Probabilidad de infección
2
60
40
20
0
media
últimas 24 h
0
10
50
60
Figura 2: Tiempo medio de infección
Una comunicación fuera de control
A la creciente diversidad y sofisticación de la amenaza se une
el rápido crecimiento de los tipos de vías de comunicación
utilizadas, tal como se muestra en la figura 3. Éste es el
resultado de las demandas de los sistemas informáticos tales
como la movilidad, la flexibilidad y la compatibilidad entre
hardware y software.
Por lo general, el email es el principal medio para infiltrar
contenido malicioso en los sistemas. Por consiguiente, los
profesionales de la seguridad informática se han centrado
principalmente en una protección basada en el gateway de
email. Si bien es cierto que esta protección desempeña una
función clave en la protección de los sistemas, no ofrece
protección alguna contra otras vías de comunicación.
Hoy en día, el contenido malicioso se introduce en una
empresa tanto mediante descargas desde Internet como
Instant
messaging
El tiempo medio de infección de equipos con una protección
insuficiente es más breve que nunca. Un estudio de Sophos
demuestra que un equipo no protegido y sin parches de
seguridad conectado a Internet se expone a un riesgo de
infección del 50% en menos de 10 minutos, y aumenta al
90% tras 45 minutos (véase figura 2). Ni siquiera hay tiempo
para descargar e instalar parches de seguridad o cortafuegos.
El problema de una infección inmediata no afecta
directamente a los usuarios corporativos que disponen de
cortafuegos. Sin embargo, en Internet abundan los programas
que buscan sistemas vulnerables, y los ordenadores de los
usuarios conectados continuamente son un objetivo ideal.
Cada vez hay más casos de ordenadores secuestrados
empleados para lanzar ataques de diferente tipo contra
usuarios corporativos. Estos ordenadores forman las “redes
zombis” usadas (y vendidas) para eludir los filtros de spam que
se basan en la identificación de direcciones de fuentes
sospechosas o de campañas de mensajes enviados en masa.
20
30
40
Tiempo de conexión a Internet (minutos)
Sophos Anti-Virus
PureMessage
Server
Desktop/
laptop
Email server
HTTP
Firewall
Offsite
computer
Removable
storage
Mobile
devices
Emerging
comms
protocols
Figura 3: Los diversos puntos de entrada de amenazas
BRECHAS EN LA EMPRESA: LA SOLUCIÓN INTEGRADA MULTINIVEL CONTRA EL CONTENIDO MALICIOSO
mediante aplicaciones de mensajería instantánea (MI) tales
como AIM y Skype. De hecho, las aplicaciones de MI son a
menudo diseñadas para burlar los sistemas de seguridad de
las empresas y son extremadamente difíciles de controlar. La
mayoría de organizaciones que creen que no disponen de
mensajería instantánea en sus redes simplemente no lo han
comprobado. Las aplicaciones de MI actuales permiten el
intercambio de archivos y en el caso de que una organización
tenga estrictas medidas de seguridad en su sistema de
mensajería, a menudo son los jefes o directores los que
conectan a la MI por motivos prácticos.
Además de cambiar las redes de comunicaciones, un número
incalculable de dispositivos pueden transferir archivos a través
de varios protocolos diferentes, sin la ayuda de un software
cliente o incluso conexión física. El control de cada CD-ROM,
dispositivo de almacenamiento USB, tarjeta de memoria,
teléfono de última generación y lector MP3 presentes cerca
de los ordenadores de una empresa es prácticamente
imposible; no obstante, todos ellos representan puntos de
entrada potenciales de contenido malicioso. La protección de
las estaciones de trabajo o de punto final nunca ha sido tan
importante como lo es hoy. Una protección realmente eficaz
exige la combinación de la protección de punto final y de
gateway.
Las nuevas amenazas híbridas se
aprovechan de la responsabilidad
fragmentada en la protección para abrir
brechas en la defensa de la red de la
empresa.
El arsenal multinivel
La idea de que se necesitan múltiples niveles de defensa para
proteger contra el contenido malicioso es generalmente
aceptada. Sin embargo, el peligro reside en el hecho de que
puede haber brechas en la estructura de defensa, que no son
fruto de las limitaciones del producto sino de la práctica
común de enfrentarse al contenido malicioso como una serie
de problemas distintos. Los asaltantes no ponen sus ataques
en el mismo saco; por lo tanto, los responsables de la
seguridad tampoco pueden permitirse tal lujo.
Bofra y las brechas de seguridad
Las amenazas híbridas actuales no siempre se prestan
fácilmente a la clasificación en términos de “virus” o “spam”.
Bofra, por ejemplo, que apareció en noviembre de 2004,
ilustra la dificultad y peligro de organizar una defensa según
unas categorías que ya no son válidas. Bofra es diferente del
resto de virus de email. En vez de enviar copias de sí mismo a
direcciones que ha recolectado, envía un mensaje que
contiene un enlace a un servidor Web que está activo en el
ordenador del remitente y que contiene el código malicioso.
Sus acciones pueden resumirse en las siguientes fases:
1
Crea un servidor Web en un ordenador recién infectado
2
Recolecta direcciones de email en el equipo infectado
3
Envía mensajes con un enlace al servidor Web
4
El destinatario abre el email en un equipo no infectado y
hace clic en el enlace (que afirma contener material
para adultos)
5
El enlace se aprovecha de la vulnerabilidad en Internet
Explorer IFrame para infectar el equipo y crear un
servidor Web...
... y así continúa el proceso de infección.
Desde un punto de vista técnico, Bofra es un gusano, pero lo
más importante es que sea bloqueado, no de qué manera se
catalogue. Las soluciones antivirus de gateway de email no
son eficaces contra Bofra ya que el virus no se halla en el
email. El mensaje tan sólo contiene un enlace. No obstante,
el mensaje que envía Bofra tiene varias características de
spam contra las que Sophos ofreció una protección temprana
gracias a los filtros anti-spam de Sophos PureMessage.
¿Quién es el responsable de la protección de una empresa
contra Bofra? ¿El equipo antivirus? ¿El equipo anti-spam? ¿El
equipo Web? ¿La gestión de parches de seguridad?...
Mitos superados
La mayoría de empresas organizan su defensa según estos
límites artificiales, lo que complica responsabilidades y las
expone al peligro de las amenazas que usan este enfoque
fragmentado. El mito tan extendido de que la mejor manera
de proteger estos límites es con productos de diferentes
fabricantes está pasado de moda. Este enfoque de múltiples
distribuidores no sólo es costoso por lo que se refiere a dinero
y recursos administrativos; lo que es más importante: ofrece
una protección más débil.
La combinación de tecnología y experiencia de
SophosLabs permite a sus analistas altamente
cualificados responder de forma rápida y eficaz
ante nuevas amenazas, independientemente
del conjunto de técnicas que éstas utilicen para
propagarse.
Una forma de garantizar una defensa más eficaz es
contemplar el problema de forma global. Si se recurre a las
funciones de detección antivirus y anti-spam de Sophos, que
dispone de una gran visión global de la actividad de amenazas
nuevas y emergentes, la empresa refuerza de forma
3
4
MONOGRÁFICO DE SOPHOS
considerable su protección. Las aplicaciones que solamente se
concentran en partes del problema no pueden ofrecer el
mismo nivel de protección.
A medida que el problema de contenido malicioso adopta
varias dimensiones al mismo tiempo, es esencial adoptar un
enfoque integrado y multidimensional de la protección. Es
hora de pasar de la protección inconexa de la figura 4a a la
gestión integrada de las amenazas de la figura 4b. Tan sólo de
este modo puede resolverse el carácter imprevisible del
dilema entre virus y spam.
La protección integrada de Sophos
Con 20 años de experiencia en la defensa contra amenazas,
Sophos cuenta con amplios conocimientos en materia de
protección de empresas contra todo tipo de contenido
malicioso. Nuestros productos han sido diseñados y
desarrollados para ofrecer una protección consolidada en los
puntos de entrada de amenazas potenciales. Bofra, por
ejemplo, es bloqueado por filtros de spam en el gateway y por
la detección antivirus en las estaciones de trabajo/portátiles.
SophosLabs
Anti-virus
4a
Anti-virus
Server
Company boundary
Desktop
Laptop
Offsite
computer
Anti-spam
4b
Anti-spyware
Integrated threat management
Company boundary
Server
Desktop
SophosLabsTM, una red global de centros de análisis de
amenazas, estratégicamente ubicados alrededor del mundo,
combinan experiencia en análisis tanto de programas
maliciosos como de email para garantizar que todas las
funciones de detección se puedan aplicar a las amenazas
nuevas. Técnicas innovadoras se suman a la detección
temprana y a la protección de alta calidad tradicionales de
Sophos. La tecnología GenotypeTM del motor antivirus y del
motor anti-spam de Sophos ofrece una protección preventiva
contra las nuevas amenazas incluso antes de que aparezcan.
De este modo, se cierra la ventana de vulnerabilidad que
existe entre la aparición de una nueva amenaza y la
disponibilidad de protección basada en firmas digitales.
Gracias a su visión global y a su excepcional combinación de
conocimientos en diferentes amenazas y de tecnologías
sólidas e integradas, SophosLabs ofrece el análisis 24 horas y
la rápida respuesta global que las empresas necesitan para
protegerse contra amenazas cada vez más complejas. (Para
más información, lea el monográfico de Sophos Sophos Labs:
protección de día cero ante amenazas en rápida evolución en
www.esp.sophos.com/virusinfo/whitepapers)
"Sophos ofrece una solución integrada que
consolida una sólida protección de todos los
niveles vulnerables para que el usuario se
ahorre los gastos y la incertidumbre de
integrar varias soluciones de diferentes
fabricantes."
Chris Christiansen, IDC VP de Security Products,
Junio 2005
Laptop
Offsite
computer
Figura 4: La protección que lo engloba todo en la gestión de la
amenaza integrada
Protección de mensajería/gateway: Sophos PureMessage
Sophos PureMessageTM ofrece una gestión completa y flexible
de los mensajes en el gateway. Bloquea hasta un 98% del
spam en flujos de mensajes en varios idiomas y detecta y
desinfecta virus, troyanos, gusanos y programas espía en los
mensajes que escanea. La tecnología de reducción de
amenazas bloquea nuevas amenazas, como los gusanos de
BRECHAS EN LA EMPRESA: LA SOLUCIÓN INTEGRADA MULTINIVEL CONTRA EL CONTENIDO MALICIOSO
PureMessage
Sophos Anti-Virus
Sophos
Server
Desktop
Laptop
Enterprise
Console
Offsite
computer
Sophos Anti-virus
EM Library
Company boundary
Figura 5: La protección integrada de Sophos
email, incluso antes de que exista una detección específica.
Además de detectar y eliminar contenido malicioso,
PureMessage ofrece la posibilidad de implementar sofisticadas
políticas de email con el fin de responder a todas las
necesidades posibles de la empresa y de garantizar el
cumplimiento de las reglas gubernamentales cada vez más
complejas. El programa se actualiza automáticamente desde
Internet con los archivos de detección de virus y reglas de
spam más recientes.
Seguridad de punto final: Sophos Anti-Virus
Sophos Anti-VirusTM detecta y desinfecta virus, troyanos,
gusanos y programas espía en servidores de archivos,
estaciones de trabajo y portátiles en una amplia gama de
plataformas. Junto con las potentes tecnologías integradas en
el motor antivirus de Sophos, incluye sofisticadas
herramientas de gestión como EM LibraryTM y Enterprise
ConsoleTM. EM Library instala y actualiza Sophos Anti-Virus a
través de la red de forma automática. Enterprise Console
ofrece al administrador una gestión completa: permite definir
de forma centralizada la configuración y las políticas de
actualización de Sophos Anti-Virus en toda la red (incluyendo
los ordenadores remotos), mostrar el estado del software en
todos los equipos y generar informes sobre la actividad de los
virus.
Asimismo, todas las licencias cuentan con un servicio de
soporte técnico por teléfono 24 horas y se asientan en los
valores fundamentales de Sophos: satisfacer las necesidades
de los profesionales con soluciones fiables y sólidas para
problemas actuales.
Resumen
La distinción entre los diferentes tipos de amenazas ha dejado
de ser clara y la gestión por separado de las amenazas y de
los puntos de entrada de éstas abre brechas en la seguridad
de la red. El coste y consumo de recursos administrativos que
representa el uso de productos de diferentes fabricantes son
innegables y los conocimientos de Sophos de todos los tipos
de amenazas hace innecesario este enfoque. Sus veinte años
de experiencia, la excelencia de sus análisis y sus sólidas
tecnologías permiten a Sophos responder de forma rápida y
fiable ante las nuevas amenazas y le aportan una facultad
única para ofrecer una solución integrada ante los crecientes
problemas que el contenido malicioso supone para las
empresas.
Para obtener más información sobre Sophos y sobre cómo
nuestros productos pueden proteger su empresa, visite
www.esp.sophos.com.
Infraestructura de soporte
Todas las licencias de Sophos se sirven de un sistema
automatizado para garantizar que las actualizaciones se
distribuyan lo antes posible a estaciones de trabajo y al
gateway.
Boston, EE.UU. • Mainz, Alemania • Milán, Italia • Oxford, GB • París, Francia
Singapur • Sydney, Australia • Vancouver, Canadá • Yokohama, Japón
© Copyright 2005. Sophos Plc.
Todas las marcas registradas reconocidas por Sophos.
Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma,
ni por ningún medio, sin la previa autorización escrita por parte del propietario.
5
Descargar