Requisitos del control de aplicaciones 7 prestaciones fundamentales para que los cortafuegos recuperen su efectividad

Transcripción

2 Resumen ejecutivo Aunque han sido durante mucho tiempo el pilar fundamental de la infraestructura de seguridad de red de la mayoría de las empresas, los tradicionales cortafuegos de inspección dinámica de paquetes no son capaces de detectar las aplicaciones y amenazas actuales. Este hecho ha puesto a los administradores de TI y de los sistemas de seguridad informática en una situación difícil: Deberían utilizar las funciones de control, poco precisas, de las que disponen actualmente para bloquear puertos o protocolos enteros con el único fin de impedir el acceso a un puñado de aplicaciones peligrosas conocidas? Resultaría efectivo este método? O bien deberían ser más permisivos y autorizar el acceso a todas las aplicaciones necesarias o útiles para el negocio, exponiendo con ello a la organización a un mayor riesgo y a una gran cantidad de aplicaciones no deseadas que minan la productividad de los usuarios y consumen recursos informáticos valiosos? Ninguna de las anteriores propuestas es acertada. Lo que necesitan las organizaciones es un cortafuegos de próxima generación con control de aplicaciones. Entre otras muchas ventajas, el control de aplicaciones devuelve su efectividad a los cortafuegos, permitiendo que el departamento de TI implemente y refuerce políticas granulares para controlar el acceso a las aplicaciones. Asimismo, ayuda a prevenir las amenazas a nivel de aplicación y la exposición indeseada de información sensible. Sin embargo, no hay garantías: Tanto los proveedores de cortafuegos establecidos y conocidos como los nuevos proveedores están adoptando enfoques muy diversos, que les llevan a resultados igualmente dispares. Este libro expone con detalle las prestaciones fundamentales que deben ofrecer los cortafuegos de próxima generación para cumplir las expectativas y los objetivos de las empresas. Por qué es necesario el control de aplicaciones? Lamentablemente, los cortafuegos tradicionales de inspección dinámica de paquetes no son capaces de adaptarse a los continuos cambios que se producen en el ámbito de las aplicaciones y de las amenazas. Para ser más concretos: Criterios y prestaciones fundamentales que definen el control de aplicaciones para los cortafuegos de próxima generación Para garantizar un nivel de eficacia superior y maximizar el rendimiento de la inversión de una empresa, el conjunto de funciones de control de aplicaciones incorporado en los cortafuegos de próxima generación debería incluir las siguientes características y prestaciones: 1. Inteligencia de aplicaciones extensa 2. Información contextual esencial 3. Control granular flexible 4. Prevención de amenazas a nivel de aplicación 5. Cobertura física extensa 6. Gestión eficaz y escalable 7. Eficacia y rendimiento 2010 AimPoint Group, LLC. All rights reserved. 2

3 En la actualidad, muchas aplicaciones presentan el mismo aspecto (por lo menos en la superficie) Teniendo en cuenta la proliferación de las aplicaciones cliente-servidor en Internet y el rápido aumento de la tasa de adopción de servicios Web en nube, no es de extrañar que el HTTP y el HTTPS representen aproximadamente dos tercios del tráfico de red de las empresas de hoy en día. Muchas aplicaciones modernas aprovechan técnicas evasivas El cambio de puertos, el uso de puertos no estándares y los túneles de protocolo han sido frecuentes en las aplicaciones P2P de compartición de archivos desde su inicio. Estas técnicas las suelen utilizar también la mayoría de las redes sociales y aplicaciones de productividad personal que han surgido desde entonces. También hay muchas aplicaciones de negocio que se diseñan hoy para que puedan aplicar estas mismas técnicas con el fin de poder utilizarlas en la mayor variedad posible de escenarios sin que sea necesario realizar cambios en la red y en la infraestructura de seguridad. Muchas aplicaciones pueden clasificarse al mismo tiempo como buenas y como malas Especialmente desde la aparición de Enterprise 2.0, es decir, desde que se usan tecnologías y aplicaciones Web 2.0 por motivos de trabajo legítimos, muchas aplicaciones ya no pueden clasificarse como buenas o malas. Si bien algunas aplicaciones son claramente buenas o claramente malas, otras muchas se encuentran en un término intermedio entre ambos extremos. Asimismo, su clasificación puede variar de una empresa a otra, o incluso dentro de una misma organización según el uso que se le dé. Por supuesto, los maleantes también son conscientes de estos cambios, por lo que llevan tiempo trabajando en el desarrollo de amenazas que no sólo se centran en las aplicaciones en general, sino que también pretenden beneficiarse de su reputación y/o capacidad de evasión. En consecuencia, los cortafuegos que basan su proceso de clasificación principalmente en las direcciones de IP, los puertos y los protocolos, son incapaces de distinguir de manera fiable entre el tráfico de red asociado a aplicaciones utilizadas con fines de trabajo legítimos y el tráfico asociado a aplicaciones utilizadas con otros fines. Otro factor importante es la mayor probabilidad de que se produzcan ataques con éxito. Sobre todo cuando no se inspecciona automáticamente y por defecto todo el tráfico autorizado en busca de amenazas, la clasificación deficiente de las aplicaciones hace que se cuelen sesiones que deberían someterse a un análisis más detallado mediante el motor de inspección profunda de paquetes del cortafuegos. Como resultado, los departamentos de TI y de seguridad informática básicamente han perdido el control. Si continúan confiando en cortafuegos tradicionales, no tendrán a su alcance ninguna opción especialmente atractiva. Podrían intentar bloquear todas las aplicaciones cuestionables, con el consiguiente riesgo de entorpecer el negocio, o bien podrían adoptar una política más permisiva y garantizar el acceso prácticamente a todas las aplicaciones deseadas. Sin embargo, en este último caso, deberán contar también con una gran cantidad de aplicaciones no deseadas, por no hablar de las 2010 AimPoint Group, LLC. All rights reserved. 3

4 amenazas adicionales que éstas pueden introducir. La solución a todos estos problemas es el control de aplicaciones. Se trata de una prestación de los cortafuegos de próxima generación pensada para corregir la falta de precisión de los cortafuegos tradicionales. Proporciona los medios necesarios para averiguar no sólo la aplicación responsable de un determinado flujo de tráfico, sino también otros detalles importantes, como por ejemplo quién se encuentra detrás de una determinada actividad, si sus intenciones son buenas o malas y si la actividad incluye la transmisión de información sensible. Qué deberían tener en cuenta las empresas al decidirse por una solución? Es sabido que las buenas intenciones no siempre llevan a buenos resultados. Además, para dificultar aún más las cosas, no hay dos conjuntos de prestaciones de control de aplicaciones iguales. Las empresas que deseen maximizar los beneficios que aporta este importantísimo componente de los cortafuegos de próxima generación, deberán elegir una solución que incluya los criterios y las prestaciones que se describen en las próximas secciones. Inteligencia de aplicaciones extensa La clave de cualquier conjunto de prestaciones de control de aplicaciones es la capacidad de identificar aplicaciones en el tráfico de red que generan. Evidentemente, deben ser capaces de detectar una amplia variedad de tipos de aplicaciones y soportar desde aplicaciones Web, Web 2.0 y aplicaciones clienteservidor convencionales hasta aplicaciones empresariales y no empresariales, pasando por cualquier tipo de aplicación intermedia. Al mismo tiempo, el control de aplicaciones también debe ofrecer una visión detallada que permita distinguir las funciones individuales de las distintas aplicaciones. Por ejemplo, debe ser capaz de diferenciar entre las sesiones de chat ordinarias y el tráfico de transferencia de archivos de las aplicaciones de mensajería instantánea más comunes. Por lo general, la base de estas prestaciones está constituida por una extensa biblioteca de definiciones de aplicaciones, una base de conocimientos de aplicaciones, una base de datos URL, así como por la infraestructura necesaria para mantenerlas. Dicha infraestructura incluye una red mundial de sensores, un equipo de investigación de aplicaciones altamente experimentado y servidores de actualización distribuidos geográficamente. En algunos casos también pueden utilizarse algoritmos heurísticos y conductuales para complementar las definiciones de las aplicaciones, si bien éstos generalmente ofrecen un menor nivel de precisión en la detección y no son en absoluto suficientes por sí mismos. Otro factor importante a tener en cuenta es el modo en que se implementan los diversos mecanismos de detección. Concretamente, debe hacerse de manera que queden inmunizados contra las técnicas de evasión más frecuentes, e idealmente deberían proporcionarse al mismo tiempo los medios necesarios para tratar con eficacia sesiones cifradas AimPoint Group, LLC. All rights reserved. 4

5 Información contextual esencial Dado que muchas aplicaciones pueden ser tanto buenas como malas, la mera identificación de las aplicaciones ya no es suficiente. Para ser efectiva, una solución también debe ser capaz de obtener información contextual adicional que pueda utilizarse para determinar si una sesión de una aplicación, y las actividades individuales que la componen, son o no apropiadas. En este sentido, el atributo más útil es la identidad del usuario no sólo su nombre de usuario, sino también su rol y sus afiliaciones de grupo. Lo ideal sería que la solución aprovechara de forma sencilla y transparente las fuentes de este tipo de información que la empresa tiene a su disposición, y ofreciese al mismo tiempo la posibilidad de agregar usuarios invitados. Otros atributos que la solución debería tener en cuenta antes de aplicar posibles reacciones son, entre otros: el tipo, el propietario y el estado de seguridad de los dispositivos terminales utilizados; la ubicación del usuario; el tipo de conexión de red utilizado; el tipo y el volumen del contenido involucrado; la hora del día, el día de la semana, el mes o el trimestre; y la reputación del usuario o del sitio que se halla en el otro extremo. Control granular flexible Otro inconveniente de las aplicaciones modernas es que ya no basta simplemente denegar o autorizar el acceso. Para hacer frente a la gran cantidad de situaciones que pueden surgir, el conjunto de acciones a adoptar ha de ser más variado y granular. Aparte de permitir algunas funciones de las distintas aplicaciones y bloquear otras, las soluciones también deberían poder consultar cualquiera de los datos contextuales mencionados en la sección anterior para especificar las condiciones que deben cumplirse para obtener acceso total o incluso parcial. La gestión del ancho de banda de las aplicaciones es otro mecanismo que los administradores de TI deberían tener a su disposición. En otras palabras, deberían poder priorizar los procesos y/o asignar niveles de rendimiento para determinados usuarios, grupos, aplicaciones, etc. De este modo, las aplicaciones de estilo de vida con un elevado consumo de ancho de banda que soportan la transmisión de video como YouTube pueden ser degradadas en beneficio de las aplicaciones críticas de negocio, a las que se pueden conceder diferentes niveles de servicio. Prevención de amenazas a nivel de aplicación Un grave defecto de los cortafuegos tradicionales es que las sesiones de comunicación permitidas pueden incluir malware y otros tipos de amenazas capaces de infectar y dañar la red corporativa. Por ello, el objetivo principal de la prevención de amenazas a nivel de aplicación es solventar este problema de seguridad, especialmente para prevenir amenazas dirigidas a explotar vulnerabilidades a nivel de aplicación (nota: las amenazas centradas en el nivel de red se hallan fuera del dominio del control de aplicaciones, por lo que deberían estar cubiertas por otro componente de la solución). Ello 2010 AimPoint Group, LLC. All rights reserved. 5

6 requiere la existencia de múltiples mecanismos de detección de amenazas/malware en tiempo real, frecuentes en los sistemas modernos de antivirus en pasarela y prevención de intrusiones independientes, como los motores de análisis basados en las definiciones, en las anomalías de protocolo o en las anomalías de conducta. Altamente eficaz, este método de inspección de amenazas elimina la necesidad de contar con un dispositivo o una solución separados y reduce las necesidades de medios adicionales al limitar la inspección únicamente al tráfico que no ha sido bloqueado por las demás funciones. Un segundo objetivo de esta prestación es la prevención de filtración de información sensible. Se trata de aprovechar las rutinas de identificación de aplicaciones y de inspección profunda para examinar el tráfico también en busca de fragmentos de datos, documentos enteros, extractos de documentos o tipos de archivos enteros que puedan bloquearse según sea necesario. Para ofrecer la máxima eficacia, esta función no debería estar limitada a un subconjunto de protocolos, como SMTP, FTP, y HTTP como ocurre a menudo con muchas otras herramientas y conjuntos de prestaciones de prevención de filtración de datos (DLP, del inglés data leak prevention). Cobertura física extensa Los criterios y las prestaciones que hemos descrito hasta el momento son de carácter más bien básico y fundamental. Si bien en los ámbitos mencionados pueden hacerse leves diferenciaciones, la clave para que una solución se desmarque de la competencia consiste en proporcionar una extensa cobertura física y una gestión efectiva y escalable. La amplia cobertura física es imprescindible, ya que las organizaciones necesitan implementar el control de aplicaciones de forma uniforme en todo su entorno informático: desde las sedes centrales y regionales hasta las sucursales e instalaciones más pequeñas. Para ello, se requiere una gama variada de dispositivos de control de aplicaciones con diferentes modelos y relaciones precio-rendimiento. Asimismo, no debería proporcionarse cobertura tan solo para los usuarios de redes LAN fijas, sino también para: Los usuarios móviles, como los usuarios invitados y los empleados itinerantes por ejemplo utilizando un método eficaz para alojar a los usuarios desconocidos y políticas específicas de usuario que puedan seguir a los usuarios de una ubicación a otra Usuarios WLAN por ejemplo ofreciendo soporte integral para funciones de controlador inalámbrico, o mediante la integración con controladores independientes comunes Usuarios remotos, como teletrabajadores por ejemplo ofreciendo soporte integral para una SSL VPN equipada con todas las prestaciones Por supuesto, para soportar esta prestación también se requieren funciones de gestión robustas, distribuidas y delegadas, que analizaremos con detalle en la próxima sección AimPoint Group, LLC. All rights reserved. 6

7 Gestión eficaz y escalable Para lograr una gestión eficaz y escalable son necesarias tres funciones principales: la visualización, la creación de políticas escalables y una gestión distribuida y escalable. Visualización Los informes, las funciones de navegación de datos y las herramientas analíticas sirven para ayudar a entender lo que ocurre en la red: qué aplicaciones se están utilizando, qué usuarios las utilizan, cuándo, en qué medida, etc. Esta información es necesaria para refinar las políticas y establecer normas, así como para ilustrar el impacto del refuerzo de normas y la necesidad de realizar cambios a medida que pasa el tiempo. Las prestaciones mínimas incluyen la monitorización en tiempo real, resúmenes de la actividad inteligentemente organizados con la opción de mostrar más detalles, y acceso flexible como mínimo a una modesta cantidad de datos históricos (p.ej. de 30 a 60 días). Creación de políticas escalables Una consecuencia importante del control de aplicaciones a la que a menudo no se da suficiente importancia es que los administradores tienen que procesar bastante más información y atributos a la hora de formular las políticas de acceso. Para poder hacerlo, necesitan una solución con un modelo organizado lógicamente, basado en objetos y centrado en personas/grupos, aplicaciones/categorías y acciones como elementos principales de las políticas. También es imprescindible contar con potentes funciones de agrupación y con una biblioteca de aplicaciones que soporte la categorización en numerosas dimensiones, como el tipo, el nivel de riesgo, el impacto en la productividad, el uso de recursos, etc. Otro elemento esencial para la creación de políticas escalables es utilizar un modelo unificado. El objetivo consiste en tener un conjunto homogéneo de políticas en lugar de un conjunto de políticas de un cortafuegos tradicional en una parte del producto y políticas de control de aplicaciones en otra. La falta de un conjunto homogéneo de políticas es una clara señal de que el control de las aplicaciones no se ha integrado como un componente básico de la arquitectura del cortafuegos, sino que ha sido añadido a posteriori, lo cual conlleva diversos inconvenientes, como irregularidades en la inspección y en las funciones de control, un rendimiento inadecuado y un método de configuración de políticas poco práctico y propenso a los errores. Gestión distribuida y escalable Este requisito deriva de la necesidad de proporcionar una cobertura física extensa. El sistema de gestión debería ser capaz de administrar de forma centralizada cortafuegos hospedados distribuidos, tanto individualmente como por grupos. Asimismo, la capacidad de fijar políticas globales de control de aplicaciones debería estar complementada por una gestión delegada que permita la personalización localizada especialmente de la gestión del acceso y ancho de banda de las aplicaciones. Eficacia y rendimiento El control de aplicaciones incluye un conjunto de procesos y prestaciones con un elevado consumo de recursos informáticos. Por este motivo, también es preciso que la solución pueda ofrecer todas las 2010 AimPoint Group, LLC. All rights reserved. 7

8 prestaciones de inspección y control a un alto nivel de rendimiento y con la menor latencia posible. En este sentido, existen numerosos indicadores que pueden ayudar a identificar una solución de alto rendimiento. Es importante que las soluciones cuenten, por ejemplo, con técnicas innovadoras de inspección de baja latencia, una capa de gestión dedicada y procesadores especializados. Sin embargo, lo más importante es (a) que la solución haya sido diseñada (o rediseñada) desde el principio para soportar el control de aplicaciones, es decir, que dicha prestación no haya sido añadida a posteriori, y (b) contrastar los resultados reales del rendimiento, preferiblemente obtenidos a través de una prueba piloto realizada en la red de su propia organización. Ventajas para las empresas La conclusión es que los cambios que se han producido tanto en las aplicaciones como en las amenazas han deteriorado la eficacia de los cortafuegos tradicionales de inspección dinámica de paquetes. Ante esta situación, lo mejor que pueden hacer las empresas es adquirir e implementar un cortafuegos de próxima generación con prestaciones de control de aplicaciones. Sin embargo, para obtener resultados óptimos, el conjunto de prestaciones de control de aplicaciones debe cumplir los criterios e incluir las funciones descritas en el presente libro blanco como requisitos de una solución eficaz de clase empresarial. Las empresas que implementen cortafuegos de próxima generación equipados de la forma arriba descrita estarán en condiciones de: Utilizar todas las aplicaciones que se requieren para las actividades de negocio legítimas independientemente del tipo o de la reputación, incluidas las aplicaciones Web 2.0 y de redes sociales, tan difíciles de clasificar Bloquear todas las aplicaciones malas, e incluso las buenas que se utilicen de forma ilegítima Prevenir el malware, los ataques y la filtración de datos a través del tráfico de las aplicaciones permitidas sin necesidad de añadir dispositivos/soluciones independientes Priorizar el tráfico de las aplicaciones permitidas basándose en su importancia relativa para el negocio Demostrar no sólo que cumplen las regulaciones legales en materia de implementación de cortafuegos, segmentación de la red y/o control de acceso basado en los usuarios y/o las aplicaciones, sino que además dominan y controlan este tema por completo 2010 AimPoint Group, LLC. All rights reserved. 8

9 Sobre el autor Mark Bouchard, CISSP, es el fundador de AimPoint Group, una empresa de investigación y análisis de TI especializada en seguridad informática, gestión de cumplimiento de normas, suministro de aplicaciones y optimización de infraestructuras. Mark, que anteriormente trabajaba como analista para META Group, ha analizado las tendencias de los negocios y de las tecnologías en el ámbito de las redes y de la seguridad informática durante más de 14 años. Ha ayudado a cientos de organizaciones en todo el mundo con iniciativas estratégicas y tácticas, desde el desarrollo de estrategias multianuales y arquitecturas de alto nivel, hasta el análisis, la selección y la operación de soluciones de seguridad y de red. A Mark, veterano de la Marina de los Estados Unidos, le apasiona ayudar a las empresas a superar sus retos de TI AimPoint Group, LLC. All rights reserved. 9