En el artículo del mes pasado desarrollamos la idea (Conciencia de Red) sobre lo que las empresas deberían tomar en cuenta en relación a la infraestructura de comunicaciones, específicamente la red de computadoras de una empresa. Y ahora nos preguntamos:
¿Qué es lo que hace que las Compañías no puedan darse cuenta?
Cazar un fantasma
Un elemento clave para asegurar un ambiente es la Conciencia de Red. Una vez más, tener un cuadro claro del diseño de la Red hace que los administradores puedan tomar no solamente buenas decisiones, sino que también puedan reaccionar rápidamente si la Red cae bajo ataque. Reconociendo las amenazas permite a los organizadores aislar el problema y ahorrar tanto tiempo como dinero.
Por ejemplo, imagínese un virus como la causa de viruela en los pollos: los síntomas son reconocibles, y cuando se hace aparente que un miembro es infectado, se hace el aislamiento del individuo para evitar la diseminación del virus. Sin embargo, como todo virus, los tiempos de incubación varían, y la exposición con otros miembros del grupo es inevitable. Para el tiempo que el crío esté aislado, numerosos individuos ya han sido infectados. Durante este lapso es imperativo registrar las actividades del crío así como sus quehaceres, a fin de aislar el brote. Aunque todos los esfuerzos se hayan hecho para prevenir un brote, desafortunadamente es inevitable dado que la infección ya se ha diseminado.
Lo que la gente se demora en darse cuenta es que ellos están cazando un fantasma: por ejemplo, las definiciones de virus pueden estar al día, se pueden configurar apropiadamente firewalls basados en el servidor y huésped, patches y softwares actualizados, y aún se puede seguir siendo vulnerable a alguna exposición viral de origen desconocido: el antivirus no es la solución sino una única medida preventiva. Cada vez que un periódico reporta un nuevo virus, se informa como la peor infección ocurrida a la fecha. A lo largo de los años, los virus se han vuelto más rápidos, desde Code Red que requería de 37 minutos para diseminarse, hasta SQL Slammer que sólo requiere 8.5 segundos. Y pequeños: desde los 60000 bites de NIMDA hasta los 367 bites de SQL Slammer. Así como sofisticados: por ejemplo el adjunto I LOVE YOU y el Bagle.AQ.
Protección Versus Monitoreo
Usted no puede proteger su ambiente de cada amenaza única. El primer paso en defenderse contra una amenaza es reconocer que la amenaza existe. En el estado mental de la conciencia de red, uno debe darse cuenta de que nada puede ser perfectamente protegido. Una vez que uno logre defenderse, la amenaza siempre estará cambiando, y uno debe aceptar que no existe el mecanismo infalible de defensa. Así que la única manera de identificar y aislar la amenaza es monitorear la actividad y ajustarse en concordancia al modelo de amenaza.
Manejo de problemas comunes en red
Tal como sucede en ambientes de red comunes, las cuestiones comienzan a surgir a medida que la red y la organización se ve forzada a crecer. En muchos casos, el diseño de red original se vuelve tan sólo un vestigio, dando espacio a migraciones de servidor actuales, integración de partners, tecnologías modernas de acceso remoto y personal adicional así como recursos adicionales. Con frecuencia el administrador de red actual es responsable del mantenimiento, manejo y actualización de una red de la que no ha tomado parte en el diseño original. La ausencia de un mapa de red actual es un escenario muy común. Estos hechos pueden retar al administrador de redes promedio, siendo aceptado comúnmente como parte del trabajo.
El manejo de una red en constante evolución es similar al manejo de una ciudad en crecimiento. A medida que un sistema se desarrolla, las necesidades comunes son las mismas. La demanda de más recursos (gente, hardware, software e integración), nuevos departamentos, infraestructura y mecanismos de ingreso para monitorear y mantener a la organización en crecimiento puede ser sobrecogedora.
La Conciencia de Red ayuda al administrador a darle una perspectiva holística que le permite visualizar el legado de su progenitor.
Soluciones
¡Recuerde que la Conciencia de Red es la visualización del ambiente entero!
Los intrusos experimentados atacan las redes trazando mapas y a través del entendimiento del ambiente. El adagio “conoced a vuestro enemigo” describe con precisión el modo de pensar de la Conciencia de Red. No asuma que el intruso está jugando las mismas reglas de juego que su objetivo, o que se esté desempeñando por reglas conocidas. El estudio de un oponente a fin de encontrar sus debilidades depende de la exactitud de la información.
Los agresores con frecuencia conocen el ambiente de sus blancos mejor que sus administradores responsables de su mantenimiento y protección. Ellos conocen las versiones de software en ejecución, las plataformas SO, los servicios en cada huésped, y el tráfico típico que atraviesa la Red. También van a enumerar cada máquina a diferentes momentos del día a fin de medir el flujo del tráfico, incluyendo incluso el momento en el que los individuos están en sus máquinas, ejecutando softwares, desarrollando, enviando mensajes instantáneos y e-mails. También conocerán los puntos débiles de sus blancos y los monitorearán. Un agresor, cuyo objetivo sea robar información de su blanco, tendrá mucho cuidado de no activar alarmas o activar sistemas populares IDS/IPS. El intruso permanecerá sin ser descubierto el mayor tiempo posible en la red de su blanco.
¿Puede un administrador dedicar tanto tiempo como el agresor? ¿Puede acaso una organización conocer lo suficiente acerca de defensa y seguridad? ¿Puede esperar una organización defenderse de todas las amenazas? Es poco probable que las personas posean tanto tiempo, conocimiento y recursos para proteger lo que se encuentra en riesgo en su organización. Aunque no es imposible, un apropiado modo de pensar puede asegurar la mejor defensa posible.
Digamos que su organización pueda estar comprometida por amenazas. Asuma un modo de pensar de mapeo, monitoreo, entendimiento y adaptación a cualquier amenaza mediante la disposición de la misma información que su agresor pudiera reunir. Mantenga esta información actual, visualizando de qué manera se adecua una a la otra. Lave, enjuague y repita:
Conozca las amenazas, acepte los riesgos. Entienda la Red como un todo
- ¿Dónde está el mapa de Red? ¿Refleja la estructura actual de la Red? Si es que no existiera, o no estuviera actualizado. ¡Créalo ahora mismo! Esto es crítico. Muchas organizaciones no poseen un mapa operacional de su red para ser usado como punto inicial de referencia. Sin esto, cómo podría uno esperar corregir o incluso entender cualquier problema dado que éste es el nivel a partir del cual todo lo demás emerge.
- ¿Qué servidores, host, dispositivos de conectividad de red, impresoras se encuentran en uso en la red? ¿Cómo es que el riesgo puede ser aceptado, mitigado, o transferido si es que no se puede medir correctamente? Los administradores deben tener una información detallada de estos ítems. Esto debería ser actualizado con la mayor frecuencia posible ya que cada componente introduce un riesgo en la organización.
- ¿Se encuentran todos los dispositivos en uso dispuestos al nivel actual de sus SO? ¿Se encuentran todos los dispositivos utilizando un firmware actualizado? Cada software del servidor debería ser también revisado para ver actualizaciones y patches. ¿Está cualquiera de ellos editado en modo auto-patch? ¿Se encuentra este proceso verificado y documentado? En un ambiente donde muchos huéspedes se encuentran ejecutando servicios ajustados, aplicaciones o SO, si una única vulnerabilidad golpea a una máquina, la red entera se verá afectada. Este es otro paso simple para incrementar el perfil de seguridad total.
- ¿Qué tipo de servicios está ofreciendo estos dispositivos? Cada servicio debe ser revisado y verificado. El administrador debe conocer cada uno de los servicios que son ofrecidos en su red.
- ¿Quién está accediendo a la red y a sus recursos? ¿Se encuentran los usuarios en un registro de acceso? ¿Cuál es el proceso para usuarios para ganar acceso a recursos IT corporativos? ¿Son los usuarios VPN/remoto tratados como usuarios locales y sujetos a los mismos controles de restricción? ¿Cumplen esos usuarios con las políticas de seguridad?
- ¿Se encuentran las máquinas configuradas correctamente? La mala configuración es otro punto de errores. Una política de seguridad apropiadamente implementada debería detallar las configuraciones base para cualquier dispositivo que ofrezca servicios en la Red. Mantener una configuración estandarizada, actualizada para servicios comúnmente utilizados puede ahorrar tiempo y recursos.
- El ingreso al sistema (logging) es la herramienta que muchas organizaciones no entienden c usan incorrectamente. El logging es únicamente útil a medida que los individuos lo revisen continuamente. ¿Si un árbol cae en el bosque, acaso alguien lo oye? El impacto de revisar los logs puede ser imperativo. Considere esto. Incidentes aislados notificados a tiempo pueden prevenir fallos en cascada. Los logs no son sólo para alarmas, ellos son componentes críticos en la visualización de una actividad como un todo.
- El monitoreo cercano al tiempo real, o a tiempo real es una herramienta invaluable para cualquier organización. El reconocimiento de que toda organización tiene sus propias limitaciones trae a su vez objetivos óptimos a ejecutar:
- Todo tráfico típico es monitoreado
- Logging y análisis oportuno es provisto para una vista general de interactividad de operaciones y los patrones de conducta típicos de la red son identificados
- Reconstrucción, decodificación y presentación útil y análisis de datos es reunida para el propósito de identificar, aislar y mitigar cualquier tipo de problema
En todo proceso de seguridad existe un ciclo de evaluación y cambio que es necesario mantener
Al nivel más básico, utilice el modelo de Conciencia de Red CCI para ser iniciado.
Conciencia.- tome conciencia del ambiente y los protagonistas que lo habitan. Mediante el desarrollo de este lineamiento básico de conocimiento y extrayendo el perfil de seguridad actual, la organización puede empezar a entender qué correcciones son necesitadas.
Corrija.- inicie el proceso de corrección y ajuste de manera coordinada. Examine las correcciones propuestas y luego diseñe un plan de Implement.
Implemente.- Implemente aquellas correcciones y empiece el proceso de nuevo con la Conciencia.
No obstante, la Conciencia de Red es un estado mental. El logro de uno de los objetivos de reunir información, a partir de la cual se pudiera empezar a construir un lineamiento de seguridad para trabajar, probablemente pueda depender del uso apropiado de herramientas. Hay un número significativo de herramientas comerciales y de fuente libre, que existen para ayudar en este esfuerzo.
La elección de herramientas puede ser tan importante como la elección de empleados en una organización. Un significativo nivel de confianza debe existir, debido al nivel de dependencia que pueda surgir. En un ambiente seguro, esto es de máxima importancia.
Herramientas útiles para la empresa podrían incluir: herramientas para mapear, documentar, reportar, auditar, monitorear, mantener y manejar a sus usuarios, redes, logs, comunicación, y la presentación de información. Quizás una de las herramientas más críticas y necesarias para completar la lista es un mecanismo que pueda automatizar y registrar estas tareas, repitiéndolas con la frecuencia necesaria.
Conclusión
La Conciencia de Red es un cambio de pensamiento necesario. El paradigma “de qué manera me puede afectar a mí”, no se puede aplicar más. Sin una figura clara de lo que está sucediendo, lo que ha sucedido, y lo que pueda pasar en un ambiente específico, las empresas se encontrarán en una severa desventaja. La capacidad de analizar y concentrar los esfuerzos detenidamente en los problemas generándose o actuales, rendirá significativos resultados e cualquier inversión, comercial o de fuente abierta. Armados de conocimiento, conciencia y capacidad, cualquier organización puede evitar las amenazas en la continuidad del negocio.
|
