La nueva Primera Línea de Defensa de las redes

Transcripción

1 LIBRO BLANCO La nueva Primera Línea de Defensa de las redes Los cortafuegos no pueden identificar muchos de los ciberataques actuales. Le mostramos lo que puede hacer para bloquearlos en seco. FIRST LINE OF DEFENSE

2 Introducción En septiembre y octubre de 2012, los sitios web de Bank of America, JPMorgan Chase, Wells Fargo, US Bank, PNC Bank y Capital One sufrieron ralentizaciones que duraron días enteros y, en ocasiones, interrupciones del servicio. Los expertos en seguridad achacan estos incidentes a los ataques maliciosos de denegación de servicio y afirman que este es el mayor ciberataque que han visto. Aparentemente el objetivo de los ataques no era robar datos, sino impedir que los clientes legítimos accedieran a los principales sitios web sobrecargando la infraestructura de TI de los bancos. Los expertos tienen la teoría de que el propósito de ese ataque era interrumpir las transacciones financieras, además de minar la confianza que los clientes tienen en sus entidades financieras. El sector de los servicios financieros, en mayor medida que otras industrias, no escatima esfuerzos a la hora de crear redes seguras supuestamente inmunes a los ataques. Sus clientes minoristas y comerciales confían en la banca en línea y demás servicios financieros ofrecidos en Internet. La ralentización de la red o incluso una pequeña interrupción del servicio pueden tener como consecuencia una pérdida considerable de ingresos para el banco, así como el descontento de los clientes. En algunos casos, los clientes de los bancos pueden llegar incluso a afrontar pérdidas si sus servicios financieros no están disponibles cuando los necesitan. Por desgracia, esta situación no es exclusiva de las entidades financieras. Los ataques de denegación de servicio distribuidos (DDoS) y otros ciberataques avanzados son cada vez más comunes contra prácticamente todo tipo de organizaciones que tienen presencia pública en Internet. Este tipo de ataques son económicos y fáciles de realizar, especialmente porque no es necesario entrar realmente en la red. El conjunto de herramientas DDoS y los extensos botnets disponibles en alquiler facilitan que prácticamente cualquiera que tenga un motivo o resentimiento pueda iniciar y mantener un ataque que impida que los usuarios legítimos puedan acceder a los servicios web de una empresa. Las consecuencias para la empresa en cuestión pueden ser desastrosas, en función de la fuerza y la duración del ataque. Pero los ataques no son la única causa del tráfico web no deseado. Algunas empresas tienen competidores que visitan su sitio web para capturar (screen scraping) información de las páginas web. Por ejemplo, los sitios web de viajes suelen reunir información de múltiples sitios web de empresas para mostrar precios competitivos, ya sea de alquiler de coches o tarifas aéreas (véase la Figura 1). Estos sitios web de viajes envían órdenes a los sitios web de los competidores para que muestren páginas de información que posteriormente es capturada para mostrarla en el sitio web de viajes original. Aunque esto no se considera un ataque de denegación de servicio a un sitio web que se está consultando, sí que puede considerarse tráfico molesto que consume recursos de TI innecesariamente. Figura 1. Los sitios web de comparación de precios crean tráfico no deseado La mayoría de las organizaciones disponen de uno o más cortafuegos que incluyen la primera línea de defensa encargada de detener el tráfico no deseado y malicioso que entra en la red. Seguramente los bancos que fueron atacados tenían cortafuegos en sus perímetros de red. Quizá tenían hasta un mecanismo de detección de ataques DDoS en la nube o un servicio de conexión limpia instalada por su proveedor de servicios Internet (ISP). Qué ocurrió entonces?, cómo pudo el tráfico de ataques burlar las medidas de seguridad existentes para interrumpir completamente el acceso a aplicaciones web críticas?, por qué no funcionaron correctamente los cortafuegos? Lo cierto es que los cortafuegos sí funcionaron correctamente. Estos dispositivos cumplieron la función para la que fueron diseñados: evaluar el tráfico entrante teniendo en cuenta un conjunto de políticas. El problema es que muchos de los tipos de ciberataques actuales se diseñan específicamente para sobrecargar o burlar los cortafuegos -incluso los de próxima generación- para llegar al núcleo mismo del servidor de la red y de la infraestructura de aplicación e interrumpir su funcionamiento normal. Cuando esto sucede, un cortafuegos es completamente inadecuado como primera línea de defensa de la red. Si se había instalado un servicio de prevención de ataques DDoS en la nube u otro servicio ISP, por qué dichos servicios no detuvieron los ataques? Dado que los ciberataques son cada vez más sofisticados y la determinación de los atacantes cada vez mayor, muchos de estos servicios y tecnologías independientes sencillamente no pueden abarcar la profundidad y amplitud de los vectores de ataque actuales, y los atacantes son conscientes de este defecto. Según afirmaciones del proveedor de soluciones de seguridad Kaspersky Labs, más del 70% de los ataques basados en servidores observados hoy en día son ataques DDoS en la capa de aplicación. Estos ataques low and slow están diseñados específicamente para atravesar las defensas basadas en la nube y los IPS y pasar inadvertidos, lo que funde los servidores sin saturar las conexiones de Internet. 1

3 Las soluciones contra ataques DDoS basadas en la nube son excelentes a la hora de bloquear ataques basados en la saturación a gran escala cuya única intención es saturar las conexiones de tráfico de ataques, pero los ataques low and slow esquivan fácilmente las mayoría de las protecciones de los proveedores y pasan completamente inadvertidos. Una vez más, los atacantes lo saben. Los servicios ISP de redes limpias (clean pipe) son excelentes en el sentido de que utilizan el enrutamiento de black hole (rutas nulas) para bloquear a los atacantes en su origen. Lo único que hacen los atacantes es adaptar su táctica para falsificar sus direcciones IP de origen (spoofing) de modo que parezca que proceden de lugares del mundo donde la empresa víctima hace negocios. También falsifican el tráfico para que parezca que procede de socios o clientes de la víctima, de lugares donde la víctima hace negocios, etc. Los atacantes saben que si falsifican estas direcciones, el uso del enrutamiento de black hole bloqueará de forma eficaz tanto el tráfico legítimo como el tráfico de ataques. A fin de cuentas, consiguen denegar el servicio, con lo que causan pérdidas, consiguen que los clientes estén descontentos y que se promueva una mala reputación de la empresa. Las organizaciones tienen que apuntalar su perímetro de red con una nueva línea roja, un dispositivo de seguridad diseñado específicamente para detectar y detener el tráfico no deseado antes de que pueda atravesar el cortafuegos y exponer la infraestructura de TI a problemas de rendimiento o incluso fallos catastróficos. Esta nueva línea de defensa debe ser capaz de distinguir entre el tráfico de ataques malicioso, que imita al tráfico legítimo, y el tráfico de clientes real y verdadero que las empresas desean y reciben con agrado. En este libro blanco, examinamos la necesidad de una nueva primera línea de defensa y el motivo por el que las herramientas de infraestructura existentes, como los cortafuegos y los sistemas de prevención de intrusiones, no satisfacen esta necesidad. Analizamos los pasos clave de protección que un nuevo tipo de mecanismo debe proporcionar para mitigar los tipos de ciberataques actuales. Y por último, analizamos cómo la solución de Primera Línea de Defensa de Corero impide los ataques DDoS y protege las inversiones en la infraestructura existente. Los ataques actuales someten a las infraestructuras de TI a una gran presión Si pensamos en por qué las empresas crean redes, la razón principal es la necesidad de proporcionar acceso a los usuarios legítimos o buenos a los servidores que albergan sus datos y aplicaciones. En el caso de las aplicaciones web, los usuarios acceden a la aplicación a través de Internet, habitualmente con peticiones estructuradas de acceso a páginas web y contenidos específicos. Es posible que estas páginas tengan que acceder a bases de datos y servidores de contenidos que se crean para mantener cierto volumen de tráfico (o peticiones) en un momento dado. La Figura 2 es una ilustración sencilla que representa una topología de red típica de una red de empresa, un centro de datos, un sitio de recuperación en caso de desastre o una infraestructura similar. Figura 2. Ilustración de una topología de red típica En la parte izquierda de la Figura 2 podemos ver un router que proporciona conectividad de Internet a la red. En el extremo derecho están los servidores y las aplicaciones que proporcionan servicios y contenidos a empleados y clientes legítimos. Entre medias están los cortafuegos perimetrales y otros dispositivos esenciales de red, como los sistemas de prevención de intrusiones (IPS), los balanceadores de carga de servidores (SLB) y los cortafuegos de aplicaciones web (WAF). 2

4 En la nube verde que se encuentra a la izquierda están los usuarios buenos que generan el tráfico de clientes deseado. Estos usuarios buenos pueden ser clientes, futuros clientes, socios o empleados. La red se creó para que puedan tener acceso simplificado a los recursos y aplicaciones que necesiten. También se creó por motivos de tiempo de funcionamiento y rendimiento. Por tanto, las políticas de cortafuegos se elaboran generalmente para permitir que el tráfico de estos usuarios circule de forma permanente. Por desgracia, en la actualidad, Internet está plagado de atacantes que conocen las vulnerabilidades existentes en las infraestructuras de TI. Los atacantes aprovechan estas vulnerabilidades utilizando ataques de saturación u otros, entre los que se incluyen los de evasiones avanzadas, las inundaciones SYN, los exploits en el servidor y otros ataques DDoS low and slow en la capa de aplicación, tal y como se muestra en la Figura 3. Figura 3. Topología de red típica sometida a un ataque Durante un ataque DDoS a su infraestructura y sus aplicaciones, el tráfico malo de entrada puede parecerse bastante al tráfico bueno, al menos superficialmente. Por ejemplo, puede producirse una petición de descarga de una página web específica, como una página con una descripción de un producto en un sitio web de venta. Un usuario que solicita esta página una vez o incluso varias veces genera tráfico bueno o deseado porque es probable que esté tratando comprar algo. Pero cuando un usuario (o más probablemente un ordenador robot incluido en una red de bots) o mil ordenadores en un botnet solicitan esa misma página cada uno cien veces en una sucesión rápida, esto se considera tráfico malo. La única razón para solicitar repetidamente esa página es sobrecargar el servidor y la base de datos que deben funcionar para que el usuario pueda ver la página. Cuando ocurre esto, se deniega el servicio de esa aplicación o el sitio web a los usuarios legítimos. Cuando el cortafuegos es la primera línea de defensa contra dichos ataques, pueden ocurrir una serie de cosas a nivel técnico en la infraestructura de red: Los cortafuegos suelen saturarse cuando procesan grandes cantidades de conexiones de tráfico bueno y malo. Incluso un cortafuegos de gran capacidad puede inundarse con mucha actividad y deteriorarse tanto que comience a producir periodos de latencia considerables, o incluso peor, puede empezar a rechazar tráfico bueno. La infraestructura de TI se satura procesando no solo el tráfico bueno, sino también el tráfico malicioso. Los servidores suelen sobrecargarse de tráfico innecesario, lo que hace que las aplicaciones no respondan. Por ejemplo, la CPU de un servidor puede estar al 100% de uso y afectar al rendimiento de cada aplicación que dependa de ese servidor. Aquí pueden incluirse aplicaciones que no tengan nada que ver con el proceso web sometido al ataque, lo que provoca un efecto dominó de tiempo de inactividad en muchas de las aplicaciones de la organización. 3

5 Cuando la infraestructura de TI tiene un rendimiento lento o sencillamente no está disponible, pueden producirse los siguientes efectos negativos en su negocio: Pérdida de ingresos por imposibilidad de realizar las transacciones deseadas Usuarios buenos descontentos que se cansan de esperar debido a que el servicio es lento y no responde Pérdida de confianza y mala reputación cuando el público se entera de que la empresa no puede proteger sus activos informáticos La infraestructura actual no puede hacer frente a estos ataques Los cortafuegos son una pieza necesaria de todas las redes con acceso externo. Estos dispositivos son habitualmente el punto de separación entre la red privada de una organización y el resto. Incluso frente a los nuevos ataques DDoS, como en el ejemplo descrito anteriormente, los cortafuegos siguen siendo un componente de red crítico. Sin embargo, las personas que inician un ataque DDoS y otros ataques modernos conocen las limitaciones de los cortafuegos y saben aprovecharlas. El objetivo principal de un cortafuegos al nivel más básico es controlar el tráfico de red de entrada y salida, analizando los paquetes de datos y determinando si debe permitirse o no su circulación, sobre la base de un conjunto de reglas predeterminadas. La primera generación de cortafuegos se diseñó en un principio para evitar que los puertos de entrada impidieran el acceso no autorizado a datos y servicios. La inspección de paquetes, o filtrado, se limitaba generalmente a las tres primeras capas del modelo de referencia OSI, lo que significa que la mayor parte del trabajo se realiza entre la red y las capas físicas, con un vistazo rápido a la capa de transporte para descubrir números de puertos de origen y destino. Los cortafuegos de segunda generación han añadido la capacidad de operar hasta la capa 4, la capa de transporte del modelo OSI. El cortafuegos registra todas las conexiones que circulan por él en una tabla de estados y determina si un paquete es el inicio de una conexión nueva, una parte de una conexión existente o no forma parte de ninguna conexión. Esto se conoce como inspección de paquetes de estado (stateful inspection). Pese a que las reglas estáticas siguen utilizándose para aprobar o rechazar el tráfico, ahora pueden contener el estado de conexiones como uno de sus criterios de evaluación. El tamaño de las tablas de estados típicas de la mayoría de cortafuegos tiene un número limitado de entradas. Los atacantes lo saben y sacan provecho de ello. Algunos ataques DDoS bombardean el cortafuegos con miles de paquetes falsos de conexiones en un intento de saturarlo llenando su memoria de estado de conexiones. Cuando el cortafuegos se satura, puede empezar a rechazar el tráfico bueno, o incluso peor, reiniciarse para limpiar su tabla de estados. Como esta es la primera línea de defensa de la mayoría de las redes, los cortafuegos sencillamente no tienen la capacidad ni se encargan de la tarea de esquivar grandes ataques de saturación o inundación. Muchos cortafuegos de próxima generación afirman tener un mecanismo de defensa incorporada contra ataques DDoS. Los mensajes comerciales suelen llevar a confusión en relación con las verdaderas capacidades de este mecanismo. Por ejemplo, uno de los proveedores líderes en comercialización de cortafuegos de próxima generación de alta capacidad ha diseñado un mecanismo de protección contra ataques DDoS según el cual el tráfico bueno y el malo se tratan de igual manera cuando el cortafuegos está sometido a un ataque DDoS. Si la cantidad proporcional de tráfico malo es considerablemente mayor que la de tráfico bueno (lo que suele ocurrir casi siempre en caso de ataque), se rechaza una parte del tráfico malo pero una cantidad significativa del mismo atraviesa el cortafuegos e impacta servidores internos, aunque el cortafuegos permanezca activo. Respecto a los demás dispositivos de seguridad detrás del cortafuegos, como el IPS, el SLB y el WAF, se diseñaron para realizar la inspección de paquetes profunda (DPI), el balanceo de carga, el proxy de aplicación, la inspección de entrada, etc. No se diseñaron para eliminar primero el ruido procedente de Internet antes de realizar la inspección. Cuando son atacados directamente o se ven afectados por un ataque en otro lugar de la red, lo cierto es que acaban realizando inspecciones profundas de paquetes de tráfico innecesario en grandes cantidades, lo que aumenta la latencia y reduce el procesado en la red. El denominador común es que, aunque estos dispositivos proporcionan mecanismos específicos de seguridad o rendimiento, siguen teniendo que lidiar con todo el tráfico, bueno y malo, la mayor parte del tiempo. En consecuencia, el tráfico legítimo se ralentiza, los ataques maliciosos pasan inadvertidos y se generan registros excesivos, lo que inunda los sistemas de gestión de eventos (SIEM) e impacta la visibilidad de los informes. Al final, el tráfico de clientes legítimos y deseados se ve afectado negativamente porque el tráfico malo satura la infraestructura de TI. 4

6 Para que el cortafuegos, el IPS, el SLB, el WAF y otros dispositivos semejantes existentes puedan realizar el trabajo que tienen que hacer, es necesario desplegar un nuevo tipo de tecnología en el borde mismo de la red delante del cortafuegos y los demás dispositivos. Esta nueva primera línea de defensa debe impedir de forma eficaz que el tráfico no deseado (es decir, el ruido ) alcance y sature el cortafuegos y demás componentes de la infraestructura. Cuando se elimina el ruido, la red puede cumplir su función: permitir que el tráfico de clientes buenos tenga acceso adecuado a aplicaciones y datos. Pasos clave de protección de cualquier primera línea de defensa Cualquier solución que afirme ser una primera línea de defensa en el escenario actual de amenazas, en continuo cambio, debe poder proporcionar varios pasos clave de protección. Estos pasos profundizan cada vez más dentro de los protocolos para inspeccionar los paquetes más de cerca y tratar muchos más problemas de los que puede mitigar cualquier cortafuegos por sí solo. Además son necesarios para frenar los ataques DDoS y otros ataques avanzados antes de que lleguen a la red. Cuando se bloquea el ruido, una organización puede garantizar mejor que los cortafuegos, los balanceadores de carga, los servidores y las bases de datos funcionan con tráfico verdaderamente deseado, protegiendo de este modo la infraestructura de TI, eliminado el tiempo de inactividad y mejorando la estabilidad de todos los servicios web. Los cinco pasos clave de protección incluyen: 1. Restringir el acceso a la red desde fuentes conocidas como atacantes o que parezcan serlo. 2. Limitar la tasa de entrada del tráfico en la red. 3. Asegurar que el tráfico este conforme con los tipos de comportamiento deseados. 4. Analizar problemas de seguridad conocidos en el tráfico. 5. Proporcionar visibilidad para proteger mejor la red contra amenazas futuras. Figura 4. Los pasos clave de protección de una solución de primera línea de defensa Cada uno de estos pasos se puede abordar a través de una serie de preguntas ayudando a entender porque se requiere una mejor solución de defensa. 1. Cómo puede una organización restringir el acceso a su red? a. El tráfico procede de un atacante conocido? b. El tráfico procede de una localización geográfica de una parte del mundo en la que la organización no hace negocios? c. La persona que ha originado el tráfico aparece en una lista de direcciones IP maliciosas o no deseadas, suministrada por un servicio de inteligencia en la nube o información procedente de un servicio de inteligencia de otro lugar? 5

7 La inspección del tráfico en este nivel implica principalmente analizar direcciones IP de origen y compararlas con direcciones IP malas conocidas a través de listas de reputación, localización geográfica y otras listas específicas de direcciones IP de origen no deseadas, suministradas por el cliente u otras fuentes. Una vez que el tráfico atraviesa la primera puerta de acceso restringido, deben realizarse más inspecciones en relación con la tasa de tráfico para mitigar los ataques de saturación. 2. A qué tasa puede entrar el tráfico en la red? a. El tráfico actúa como si fuera un atacante? Por ejemplo, conexiones medio abiertas, incapaces de completar un protocolo de control de transmisión (TCP) con negociación (handshake) en tres pasos, etc. b. Por qué tiene este usuario miles de conexiones abiertas con un servidor objetivo (víctima)? c. Cómo se puede controlar a los atacantes que mal usan las aplicaciones? La inspección de tráfico en este nivel implica la evaluación dinámica de amenazas como forma de determinar el nivel de amenaza de los atacantes desconocidos. La restricción de las conexiones TCP simultáneas de clientes y grupos de clientes y el análisis de peticiones y comportamientos de respuesta son técnicas que se utilizan para detectar un número demasiado alto de peticiones, de conexiones y demás usos de la red y la capa de aplicación. Si damos por supuesto que el tráfico no se marca para entrar en la red a una tasa anormal, el siguiente paso es examinar su comportamiento. 3. El tráfico se ajusta al comportamiento deseado? a. El tráfico se ajusta a los protocolos establecidos? b. Hay protocolos cuestionables o infracciones de protocolos en el tráfico permitido? c. Puede inspeccionarse el tráfico de manera bidireccional? La inspección del tráfico a este nivel conlleva principalmente el análisis de clientes, servidores, puertos, protocolos, permisos, bloqueos, conjuntos de reglas de IPS y ejecución de políticas de seguridad. En este nivel se encuentra el análisis de protocolos de estado como modo de ejecución de un protocolo, así como la inspección de tráfico bidireccional. Si el tráfico tiene un comportamiento adecuado, el paso siguiente es inspeccionar las cargas reales (payloads). 4. El tráfico contiene problemas de seguridad conocidos? a. Cómo puede protegerse mejor la red contra futuras amenazas? b. Existe algún exploit en el servidor o malware en los encabezados o cargas? c. Se utilizan tácticas de evasión avanzada en ataques combinados? La inspección de tráfico en este nivel supone la inspección profunda de paquetes, las firmas de ataques y vulnerabilidades, las sobrecargas, las inyecciones, la protección de contraseñas por fuerza bruta y la detección de evasiones avanzadas. Cuando el tráfico llega a este punto del proceso de inspección y ha superado todas las pruebas, lo más probable es que sea tráfico de clientes buenos que puede pasar esta primera línea de defensa. No obstante, dado que los ataques cambian continuamente y son cada vez más sofisticados, hay otro paso más de protección que considerar en una solución de primera línea de defensa nueva: el incremento de visibilidad. 5. Cómo puede el aumento de visibilidad proteger mejor mi red frente a futuras amenazas? a. Cómo puede protegerse mejor la red contra futuras amenazas? b. El incremento de visibilidad ayudará a entender mejor lo que ocurre en el perímetro? c. Esta visibilidad aumentará la capacidad de controlar mejor el tráfico? Una solución que pueda abordar estos cinco pasos y profundizar cada vez más en el análisis y aprobación o rechazo de todo el tráfico de red antes de que llegue al cortafuegos eliminará el problema de una infraestructura de IT que está sobrecargada por los métodos de ataques de saturación y otros ataques actuales. 6

8 La Primera Línea de Defensa de Corero ofrece protección en cada uno de los pasos La solución de Primera Línea de Defensa de Corero se ha diseñado específicamente para cumplir todos los criterios de los pasos clave de protección enumerados anteriormente. Corero despliega las mejores prácticas de la industria para responder a cuestiones críticas y desarrollar procesos sofisticados para evaluar de forma exhaustiva el tráfico de red. La solución de Corero, situada en la posición más remota del perímetro de red, incluso más allá del cortafuegos, bloquea los ataques y demás tráfico no deseado, al tiempo que permite que circule el tráfico de clientes buenos (véase la Figura 5). Al filtrar el tráfico malo antes de que ni tan siquiera llegue al cortafuegos, al SLB, al WAF, etc., estos dispositivos pueden cumplir sus funciones de manera más eficaz y efectiva. Figura 5. La Primera Línea de Defensa de Corero está en el perímetro de la red En los apartados siguientes se examina cada uno de los cinco pasos críticos de protección y la forma en que funciona la Primera Línea de Defensa de Corero en cada paso para impedir de modo efectivo los ataques DDoS y demás ciberataques avanzados. Al abarcar mucho más que las capas físicas, de enlace de datos y de red, la solución de Corero gestiona los niveles 3 a 7 del modelo OSI: las capas de transporte, sesión, presentación y aplicación. Paso 1: Restringir el acceso La mejor práctica del sector para controlar el acceso a una red es ejecutar el control sobre la base de la reputación dinámica de las direcciones IP. Existen direcciones IP que se sabe que son malas, fuentes cuestionables y atacantes desconocidos que suponen una amenaza. Por tanto, el primer paso del proceso de Corero es bloquear el tráfico procedente de fuentes que se sabe que son maliciosas y después analizar exhaustivamente el resto del tráfico, teniendo en cuenta su reputación, su localización geográfica y si supone una amenaza. La solución de Primera Línea de Defensa de Corero emplea actualizaciones de reputación en tiempo real, información actualizada sobre localizaciones geográficas y detección de amenazas en tiempo real para evaluar el tráfico entrante. ReputationWatch Los botnets sofisticados y los atacantes de denegación de servicio cambian sus identidades con frecuencia y suelen ocultarse utilizando direcciones IP anónimas. El servicio ReputationWatch de Corero identifica en tiempo real direcciones IP maliciosas en Internet, incluso las que están ocultas, y ofrece al sistema de Primera Línea de Defensa una fuente de datos global continua. ReputationWatch utiliza información basada en IPs y actualizada al minuto para identificar de manera automática y bloquear el acceso desde: Fuentes conocidas que hayan participado en ataques DDoS Bots (ordenadores) incluidos en estructuras de comando de botnet identificadas Sistemas que utilizan exploits creados para iniciar ataques de denegación de servicio, como KillApache Direcciones IP anónimas que se esconden detrás de los proxys anónimos, redes Tor Fuentes identificadas que envían ataques con contenido malicioso incluyendo exploits o malware Fuentes identificadas que realizan escaneos de redes Sitios web de phishing Fuentes de spam 7

9 Por otra parte, ReputationWatch proporciona tecnología de localización geográfica que permite a las organizaciones ejecutar políticas sobre la base del origen nacional de las direcciones IP. Por ejemplo, un administrador puede excluir o aplicar distintas políticas al tráfico de ciertos países donde la empresa no hace negocios o de países asociados con un alto número de atacantes. Bloqueo a petición (Shunning) La solución de Primera Línea de Defensa de Corero puede neutralizar rápida y temporalmente todo el tráfico iniciado por direcciones IP sospechosas de haber iniciado un ataque o cuyo tráfico se identifique que es necesario neutralizar. Esta acción se conoce como Shunning. Si se bloquea la dirección IP de un atacante en un punto de acceso a la red, se reduce la posibilidad de que se expanda el ataque a otros objetivos dentro del entorno protegido por la Primera Línea de Defensa de Corero. El bloqueo se aplica al tráfico cuya fuente IP de origen coincide con una dirección IP bloqueada y puede ser temporal o permanente. Paso 2: Limitar las tasas de tráfico La entrada en una red de una tasa de tráfico anormal suele ser un indicador claro de un ataque. Puede haber usuarios con demasiadas peticiones o conexiones abiertas. Por ejemplo, los ordenadores que forman parte de un botnet pueden solicitar el mismo objeto HTTP una y otra vez, o solicitar objetos que no existen. O bien un botnet puede estar enviando un elevado número de peticiones DNS al servidor o servidores DNS víctimas. Existen muchos tipos de tráfico excesivo que indican un ataque. Según las mejores prácticas del sector, se recomienda identificar los comportamientos anómalos para mitigar dichos ataques basados en la tasa de tráfico. La solución de Primera Línea de Defensa de Corero lo hace utilizando varias técnicas. Evaluación dinámica de amenazas La solución de Primera Línea de Defensa de Corero tiene la capacidad de determinar de manera dinámica el nivel de amenaza de más de 2 millones de direcciones IP de origen en un único dispositivo en tiempo real. Por ejemplo, cuando llega un paquete procedente de una dirección IP nueva o desconocida (lo que quiere decir que la dirección IP de origen no se encuentra en ese momento en la tabla de estados de la unidad de Corero), el dispositivo intenta determinar el nivel de amenaza de este cliente desconocido. Si el cliente muestra un comportamiento bueno, el dispositivo asciende rápidamente al cliente al nivel de Estado de confianza y permitirá el tráfico de este cliente de confianza. Sin embargo, si el cliente muestra un comportamiento malo, el dispositivo degrada rápidamente el nivel del cliente a Estado malicioso y bloquea todo el tráfico procedente del cliente malicioso. Todo este proceso está diseñado para permitir que un usuario bueno acceda a la red, al mismo tiempo que se bloquea un ataque DDoS de inundación, basado en la tasa de tráfico. Análisis comportamental de Peticiones y Respuestas Esta técnica protege contra los comportamientos no deseados en la capa de aplicación. Corero asigna créditos o deméritos según el comportamiento HTTP/HTTPS/DNS de un usuario. De acuerdo con el número de créditos o deméritos asignados, el sistema distingue entre el tráfico de usuarios buenos y tráfico de ataques y permite o bloquea dinámicamente el tráfico de entrada por cliente. Establecimiento de límites al número de conexiones Este proceso protege contra las inundaciones de conexiones TCP controlando el número máximo de conexiones TCP permitidas de cualquier grupo único o de cualquier IP de origen única, tanto en origen como en destino. Análisis avanzado de puntuación de deméritos Los PC que dependen de botnets no siempre funcionan como bots. Esta técnica avanzada de puntuación protege contra botnets que envían un número excesivo de peticiones, pero también permite la restauración periódica de créditos permitiendo la evaluación dinámica, en tiempo real, del tráfico de clientes. Paso 3: Asegurar la adecuación del comportamiento Si el tráfico web ha pasado los dos pasos anteriores, la siguiente medida es analizar si se ajusta al comportamiento deseado. Entre los ejemplos de no adecuación se encuentra el de los usuarios que incumplen las normas de protocolo y uso de la aplicación o las políticas de uso de una empresa, además del tráfico saliente cuestionable que no respeta las políticas ni las normas. La solución de Primera Línea de Defensa de Corero emplea tres técnicas para evaluar el tráfico en esta etapa. Gestión de políticas La solución de Corero ofrece unas capacidades de gestión de políticas sumamente granulares. Corero aborda el posible acceso no deseado a la red y a las aplicaciones adoptando una postura de cortafuegos de estado basada en una política única. Con la solución de Primera Línea de Defensa, Corero proporciona protección contra el abuso de fragmentación IP, el filtrado de capa 2 y capa 3 y el filtrado de cortafuegos de estado. Un administrador puede configurar los filtros del cortafuegos para controlar quién accede a qué servidores y aplicaciones conectados a la red, impidiendo de este modo que un usuario malicioso obtenga acceso para robar o destruir la propiedad intelectual valiosa. 8

10 Análisis de protocolos de estado (Stateful Protocol Analysis) El Análisis de protocolos de estado (SPA) es el proceso de comparación de perfiles predeterminados de definiciones generalmente aceptadas de actividades de protocolos benignas para cada estado de protocolo frente a acontecimientos observados para identificar desviaciones. En otras palabras, SPA es una técnica para inspeccionar todos los paquetes de una transacción de red y comparar el contenido y las características observados con lo que está permitido, lo que se espera o lo que se precisa, sobre la base de las especificaciones de los protocolos de red y las implementaciones conocidas, y adoptando las medidas adecuadas (p. ej., detección/ bloqueo) de las infracciones del SPA. El análisis de protocolos de estado es bastante diferente de la inspección del tráfico comparándolo con una lista de firmas con coincidencia de patrones o la utilización de comprobaciones sencillas y rudimentarias de encabezados de protocolos. SPA proporciona mayor protección contra ciber amenazas desconocidas (de día cero). Se ha demostrado que esta técnica detecta y bloquea canales de puerta trasera y ataques DDoS de paquetes especialmente elaborados. En algunas implementaciones, el SPA puede exigir muchos recursos. Sin embargo, la solución de Primera Línea de Defensa de Corero dispone de la potencia necesaria para inspeccionar el tráfico a velocidades de línea frente a una amplia variedad de Analizadores de protocolos de estado para los protocolos de Internet más utilizados, al tiempo que se mantienen menos de 60 microsegundos de latencia de inspección total. Inspección completa de tráfico La solución de Primera Línea de Defensa de Corero tiene la facultad de realizar inspecciones de tráfico bidireccionales, que desempeñan un papel importante en la detección de comportamientos de uso de aplicaciones no deseados. Por ejemplo, existe una herramienta de ataque DDoS llamada Hulk que inunda los servidores web HTTP con un número indefinido de peticiones aleatorias. Esta herramienta está diseñada para crear una petición nueva diferente de la anterior, una y otra vez. Dado que esta herramienta y otras parecidas están diseñadas para sortear el empleo de técnicas de coincidencia de patrones de carga (payload) de firmas, las transacciones generadas por dichas herramientas son muy difíciles de detectar para las soluciones de seguridad comunes. Como la solución de Corero inspecciona tanto las peticiones entrantes de los clientes como las respuestas salientes de los servidores, las puntuaciones de deméritos pueden aplicarse al cliente sobre la base de una respuesta del servidor. Por ejemplo, si un atacante solicitara un objeto que no existe, el servidor respondería normalmente con un error del tipo 404 página no encontrada, que es detectado de forma bidireccional por la solución de Corero. Los deméritos se asignarían al grupo de créditos de ese cliente. Si el grupo de créditos de un cliente dado disminuye, se bloquea todo el tráfico de ese cliente. Esta es una manera eficaz de detectar las acciones de las herramientas de ataque de tipo aleatorio y el tráfico no deseado. Paso 4: Analizar problemas de seguridad conocidos Por norma general, los problemas de seguridad conocidos son ataques específicamente dirigidos contra la infraestructura del servidor. Entre ellos, el tráfico que contiene desbordamientos de búfer, inyecciones y ataques de contraseña por fuerza bruta. El tráfico de ataques también puede contener malware aleatorio y exploits que forman parte de sus cargas y, aunque no están dirigidas necesariamente a la infraestructura del servidor, estas vulnerabilidades existen y las empresas deben protegerse. Por otra parte, las técnicas de evasión avanzada, como la fragmentación, segmentación y ofuscación, pueden utilizarse para ocultar los ataques. Las técnicas de evasión avanzada suelen utilizarse en ataques combinados. Defensa contra los ataques a aplicaciones La solución de Primera Línea de Defensa de Corero proporciona un abanico de técnicas que protegen contra los ataques a aplicaciones, entre las que se encuentran: La sobrecarga de búfer y la protección de inyección para una amplia variedad de sistemas operativos y aplicaciones web Detección de ataques de fuerza bruta contra las contraseñas de servicios como FTP y SSH La inspección profunda de paquetes (DPI) a alta velocidad que compara el tráfico con un listado de firmas conocidas Herramienta de reordenación de fragmentos única que detecta todos los tipos de técnicas de evasión avanzadas Paso 5: Proporcionar visibilidad Los ciberataques son cada vez más avanzados y frecuentes. Los atacantes utilizan métodos cada vez más sofisticados para sacar provecho de las vulnerabilidades de la red y evitar ser detectados. Para combatir el fuego con fuego, los expertos en seguridad necesitan tener una mayor visión de lo que ocurre en su perímetro de red. Necesitan poder contestar a preguntas como quiénes son los atacantes?, a quién van dirigidos sus ataques?, de qué modo atacan?, dónde están mis vulnerabilidades?, cómo puedo proteger de mejor forma mi red contra amenazas futuras? La solución de Primera Línea de Defensa de Corero incorpora un enfoque polifacético para aumentar la visibilidad. 9

11 Centros de Operaciones de Seguridad (SOC) Muchos negocios carecen de los conocimientos necesarios en lo que respecta a la protección completa del perímetro. La Seguridad de red de Corero palía esta situación con la experiencia y los conocimientos proporcionados por Corero y nuestros Centros de Operaciones de Seguridad asociados. Estos centros combinan estaciones de trabajo punteras de monitorización, conectividad de Internet de alta velocidad y los ingenieros más experimentados de las empresas, que están preparados para ayudar a los clientes a darse cuenta del valor que tienen sus soluciones de seguridad. Gestión centralizada Aunque cada dispositivo de la Primera Línea de Defensa de Corero se encarga de su propia interfaz de usuario gráfica de gestión web, los dispositivos también pueden gestionarse desde la consola central. Esto hace posible una gestión central de las actualizaciones de seguridad, la creación, el control de versiones y la distribución de políticas, el envío de avisos en tiempo real y el análisis de los eventos en profundidad, la aplicación de parches y la distribución de nuevas versiones de firmware. Un administrador obtiene la perspectiva y el control que necesita, incluidas las estadísticas de ataques en tiempo real, la exploración en profundidad de eventos de seguridad y el control de las políticas en tiempo real. Integración con terceros La mayoría de las organizaciones implementan varias capas de seguridad de red. Esto implica a menudo el uso de productos específicos de varios proveedores. Las soluciones de Información de Seguridad y Administración de Eventos (SIEM) tratan de agrupar toda la información relacionada con la seguridad en una herramienta de correlación y análisis para una protección en tiempo real. Corero integra su información de syslog con las herramientas SIEM para ofrecer una visión completa y en tiempo real de los incidentes de seguridad que se producen en el perímetro de red. Esto ofrece una mayor visibilidad del estado de seguridad actual de la red. Resumen de los pasos clave de protección de Corero La solución de Primera Línea de Defensa de Corero abarca los cinco pasos clave de protección de la infraestructura de red de una organización. Problema Protección Solución de Corero Direcciones IP maliciosas conocidas Fuentes cuestionables Direcciones IP atacantes detectadas Direcciones IP desconocidas Ataques HTTP/DNS de saturación Infracciones de protocolo Tráfico saliente cuestionable Sobrecargas de búfer, exploits, malware Ataques de confusión utilizando la fragmentación Análisis limitado del tráfico de ataques Falta de conocimientos y experiencia en seguridad Paso 1 Restringir el acceso Paso 2 Limitar las tasas de tráfico Paso 3 Comprobar la adecuación del comportamiento Paso 4 Impedir las intrusiones Paso 5 Aumentar la visibilidad Actualizaciones de reputación en tiempo real Localización geográfica de direcciones IP en tiempo real Evaluación dinámica de amenazas de direcciones IP Análisis comportamental de Peticiones y Respuestas Incumplimiento del uso específico del protocolo Inspección de tráfico bidireccional Paquetes de protección y firmas Detección de evasiones avanzadas Integración de datos con herramientas SIEM Servicios SecureWatch de Corero La solución de Primera Línea de Defensa de Corero en acción Hace poco una empresa importante de Wall Street sufrió un ataque DDoS persistente e incesante. El cortafuegos consiguió bloquear automáticamente a unos atacantes, y en unas horas dicha cifra ascendió a más de 1.000, lo que superó los límites del cortafuegos. En consecuencia, los clientes legítimos de la empresa no podían acceder a ninguno de los sitios web de la empresa. El equipo de soporte de TI intentó realizar búsquedas inversas para bloquear manualmente las IPs de origen atacantes. Esta acción llevó muchísimo tiempo y requirió mucho trabajo, y lo peor de todo es que resultó ineficaz, ya que la empresa fue asaltada por atacantes de prácticamente todos los países del mundo. El cortafuegos estuvo a funcionando a un 95% durante el ataque continuo, bloqueando todo el tráfico de red. Se reinició el cortafuegos, el tráfico circuló durante unos minutos y después se detuvo de nuevo. La propia protección contra ataques DDoS del cortafuegos tuvo poco efecto a la hora de mitigar el ataque. El proveedor del dispositivo admitió que la defensa contra ataques DDoS era en realidad un mecanismo de marketing diseñado para gestionar ataques de poca importancia. El ataque sobrecargó claramente el cortafuegos, que no logró aliviar la situación. 10

12 Tampoco pudo ofrecer ayuda alguna el proveedor de servicios de Internet de la empresa. El tráfico era el típico de un ataque DDoS en la capa de aplicación, low and slow, que no llega a obstruir el ancho de banda pero sobrecarga el servidor objetivo con peticiones repetidas pero aparentemente legítimas. A menos que el ataque hubiera causado inundaciones de red saturando las conexiones, el proveedor de servicios de Internet no habría podido hacer nada para detener el ataque. La empresa necesitaba una solución, y rápida. Estaba perdiendo dinero por minutos y sus clientes se mostraban cada vez más impacientes con la interrupción de servicio. Se daba el caso de que el equipo de soporte de TI externo de la empresa había estado analizando proveedores de dispositivos de defensa contra ataques DDoS y Corero era su primera opción. La Primera Línea de Defensa de Corero era la solución más innovadora, la que ofrecía una respuesta más rápida y la más económica. Solamente Corero tiene capacidad para detener todos los ataques DDoS, desde los ataques tradicionales en la capa de red, como SYN, UDP e ICMP, hasta los ataques en la capa de aplicación, más sofisticados y difíciles de detectar, que imitan el comportamiento del tráfico legítimo. El equipo de TI instaló un dispositivo de Primera Línea de Defensa de Corero y frenó en seco el ataque DDoS. En palabras de un ejecutivo de TI: Se instaló en 45 minutos y fue como cerrar la llave de paso. Los hackers pararon, los retrasos en el tráfico desaparecieron y el porcentaje de uso del cortafuegos volvió a niveles de un solo dígito. La Primera Línea de Defensa de Corero frena los ataques DDoS y asegura que la infraestructura de TI, como los cortafuegos, los conmutadores y los servidores DNS y web específicos, funcione de la manera prevista. Permite eliminar el tiempo de inactividad y las catastróficas pérdidas provocadas por un ataque DDoS. Conclusiones Pese a que los cortafuegos siguen siendo un componente crítico y necesario de la red, ya no son el mejor tipo de dispositivo para utilizar como primera línea de defensa de la red. Los cortafuegos, incluidos los más modernos llamados de próxima generación, tienen limitaciones en el diseño de sus funciones. Los atacantes conocen estas limitaciones y han ideado ataques que burlan o sobrecargan los cortafuegos, así como los dispositivos secundarios de seguridad tras los cortafuegos, como los de tipo IPS o WAF. Una vez que un atacante traspasa un cortafuegos, puede deshabilitar la infraestructura de forma inmediata. La nueva primera línea de defensa define el perímetro de red para que se ubique delante del cortafuegos. Esta solución de seguridad debe desviar el tráfico no deseado que pretende saturar o dañar la infraestructura de TI, dejándola inaccesible para los usuarios legítimos. La nueva primera línea de defensa debe profundizar en los paquetes de tráfico para inspeccionar las cargas, entender el comportamiento y evaluar y mitigar de forma dinámica las amenazas en tiempo real. La solución de Primera Línea de Defensa de Corero aplica las mejores prácticas del sector, así como técnicas y tecnologías altamente sofisticadas, para inspeccionar exhaustivamente el tráfico de forma bidireccional y detener así los ataques DDoS y otros ataques avanzados. Esta solución protege el funcionamiento de toda la gama de cortafuegos, desde los de la generación actual, de nivel inferior, hasta los dispositivos de próxima generación, de nivel superior. La solución de Corero frena el tráfico no deseado que provoca la ralentización de la infraestructura y la frustración de los usuarios y, durante el proceso, protege la infraestructura existente y alarga hasta el máximo el tiempo de funcionamiento de las aplicaciones de la empresa. Acerca de Corero Network Security Corero Network Security (CNS: LN), la Primera Línea de Defensa de las organizaciones, es una compañía internacional de seguridad, líder en soluciones de Denegación de Servicio Distribuida (DDoS), y de Sistemas de Protección de Intrusiones de Próxima Generación (NGIPS). Como Primera Línea de Defensa, los productos y servicios de Corero bloquean los ataques DDoS, protegen las infraestructuras TI y eliminan el tiempo de caída de los servicios. Entre sus clientes, se incluyen empresas, proveedores de servicios y organizaciones gubernamentales de todo el mundo. Las soluciones de Corero basadas en hardware dedicado son dinámicas y responden automáticamente ante los ataques cibernéticos conocidos y desconocidos permitiendo a las infraestructura de TI como por ejemplo los cortafuegos realizar las funciones para las que están previstas. Los productos de Corero son transparentes a la infraestructura, altamente escalables y cuentan con la latencia más baja y el grado más elevado de confiabilidad en la industria. Corero tiene su sede en Massachusetts, EE.UU, con equipos de ventas y servicios de soporte por todo el mundo. Sede Corporativa 1 Cabot Road Hudson, MA Tel: Sede en EMEA 68 King William Street London, England EC4N 7DZ Tel: +44 (0) España / Latam C/ Ribera del Loira, Madrid España Tel: Copyright 2013 Corero Network Security, Inc. Todos los derechos reservados