Software basado en comportamiento: A salvo de ataques de "hora cero"
Cada día aumenta el nivel de aceptación del software de seguridad preventiva basado en comportamiento (behavior-based software), un nuevo tipo de soluciones que, pese a su todavía corta andadura en el mercado, ha logrado fascinar a los responsables TIC de las empresas. La clave de su éxito es su capacidad de bloquear código de ataque mediante el reconocimiento de su comportamiento, en lugar de a través de su firma específica como amenaza, lo que las convierte en una alternativa capaz de hacer frente a los temibles ataques de “hora cero”.
El software basado en comportamiento identifica códigos maliciosos, incluidos troyanos, virus y gusanos, por su comportamiento en los ordenadores, como pueden ser los intentos de acceder a un determinado registro. Este método contrasta claramente con los más tradicionales de “firmas”, basados en la identificación, y que buscan una coincidencia con entre el código sospechoso y un código de ataque ya reconocido. Aunque el software basado en comportamiento algunas veces carece de la precisión de las soluciones basadas en firmas, su principal ventaja es que puede bloquear códigos maliciosos de forma más temprana, antes de que hayan sido analizados y catalogados.
Pero, para no quedar defraudado, el responsable TIC que opte por su implementación debe conocer algunas de las incomodidades que este tipo de soluciones pueden llegar a provocar. Básicamente, se derivadas del hecho de que pueden generar una mucho mayor cantidad de falsas alarmas.
Entre los suministradores de este tipo de soluciones se encuentran no sólo grandes y tradicionales fabricantes de soluciones de red, como Cisco Systems, sino también startups, como Bit9, con su software Parity, o WholeSecurity, recientemente adquirida por Symantec. Curiosamente, Bit9 fue creada en 2002 por el mismo equipo –Todd Brennan y Allen Hillery- que fundó Okena, uno de los primeros suministradores de productos de seguridad basada en comportamiento y que fue comprado por Cisco a principios de 2003 por 154 millones de dólares. Como resultado, el producto Okena Storm Watch se transformó en Cisco Security Agent (CSA).
Esta operación resultó clave en la estrategia de seguridad en red de Cisco, que se sustenta en el despliegue de software cliente en los sistemas de sobremesa. La innovadora tecnología de protección basada en el comportamiento de Cisco Security Agent (CSA) y Cisco Trust Agent (CTA) ha sido diseñada para neutralizar las amenazas en los sistemas finales, antes de que pueda empezar su propagación a través de la red. Junto con CSA y CTA, la iniciativa NAC de este fabricante, aboga por la exigencia de la estricta conformidad del punto final con las políticas de seguridad en red corporativas, antes de permitir cualquier admisión a la infraestructura de la empresa.
Sobre el terreno
Westinghouse Electric fue una de las primeras compañías en considerar que el inconveniente de las potenciales falsas alarmas merecía la pena si se obtenían las ventajas prometidas. Ha desplegado software basado en comportamiento de Cisco –en concreto, el producto Cisco Security Agent (CSA)- en 7.000 sistemas de sobremesa. El software, según Tom Moser, director de servicios TI de la organización, probó su eficiencia al parar el reciente gusano Zotob antes de que los suministradores de antivirus lo hubieran identificado y lanzado las correspondientes firmas para su detección.
Pero, aunque subraya la eficiencia de la solución en la pronta identificación de amenazas, también reconoce la generación de una enorme cantidad de falsas alarmas que hicieron perder tiempo a los usuarios finales como al personal de helpdesk. Westinghouse, que comenzó probando el producto con un grupo de 150 usuarios durante un periodo de dos meses, corría en sus sistemas de sobremesa otras aplicaciones de seguridad, incluidos antivirus McAfee, que inducían a CSA a comunicar erróneamente al usuario en su pantalla el mensaje de que la máquina estaba haciendo frente a una amenaza de seguridad desconocida. Según Moser, al principio llegó a generarse la ingente cantidad de unas 30.000 alarmas diarias para el antivirus McAfee, una cantidad que, con la ayuda de los expertos de Cisco, se logró reducir a 50.
En su alerta, CSA da al usuario la oportunidad de invalidar cualquier bloqueo de sospecha de amenaza, por lo que su implementación hace aconsejable al menos una formación mínima al usuario final. Ayudar a miles de empleados a adaptarse al concepto de software basado en comportamiento resultaba todo un reto, exigiendo un considerable esfuerzo en entrenarlos para interactuar con CSA. Westinghouse les indicó que siempre permitieran al producto bloquear la actividad de código detectada, para así aumentar la seguridad. En caso de sospechar que el producto hubiera podido bloquear algo legítimo, los usuarios debían consultar con el servicio de helpdesk.
Westinghouse valora su proyecto de software basado en comportamiento –valorado en unos 50.000 dólares- como un éxito. Cuando Zotob apareció el pasado septiembre, el número de alertas –previamente una media de 1.000 diarias- saltó a más de 8.000, y Westinghouse logró evitar cualquier posible daño.
Esto contrasta con la experiencia que sufrió hace un año y medio con el gusano MyDoom.F, la variante más dañina de mass-mailer MyDoom. De hecho, esta experiencia fue la que decidió a Westinghouse a perseverar en el uso de software basado en comportamiento pese a las dificultades que en ocasiones presentó su despliegue. “Tenía complejos y potentes mecanismos de autopropagación. Infectó 100 PC, 42 servidores y borró 9,3 millones de archivos”. El personal TI de la compañía hubo de mantener la red inactiva durante tres días para limpiar los PC y servidores. Westinghouse, que suministra material y servicios a la industria de potencia nuclear, perdió 11.000 horas de trabajo de sus ingenieros, valoradas en pérdidas de productividad de un millón de dólares. Además, el gusano borró importantes documentos y análisis de seguridad, la mayor parte de los cuales pudieron recuperarse gracias a la política de realización de backups diarios de la compañía.
“Cuando se genera un nuevo ataque, existe un periodo durante el cual, sin estas soluciones, la empresa es absolutamente vulnerable”, asegura Moser, subrayando que los suministradores de antivirus tardan entre dos y tres horas en publicar una firma para la nueva amenaza. No es realista presumir que el software de parcheo de vulnerabilidades puede estar disponible en minutos, dado que el proceso requiere un testeo cuidadoso y el tiempo necesario para su aplicación”.
Con CSA ya en los desktops, la empresa se plantea ahora introducirlo en sus servidores este mismo año. Adicionalmente, la experiencia de trabajo con la nueva tecnología la está haciendo evaluar si Network Admission Control (NAC) de Cisco es viable para la corporación. Si bien es cierto que la compañía considera NAC una tecnología de seguridad que le gustaría desplegar ampliamente, tiene sus dudas respecto a si todo el hardware de su red es lo suficientemente avanzado como para soportarla sin problemas.
NAC requiere el uso de Cisco Trust Agent en el desktop para controlar el acceso a la red vía los routers y conmutadores del fabricante. “También en este caso comenzaremos realizando una prueba piloto con un número reducido de usuarios. Los empleados autorizados para utilizar sus ordenadores particulares para acceder vía remota a la LAN corporativa serán los primeros en probar Cisco Trust Agent.
Westinghouse está desarrollando scripts que permitirán que un mensaje aparezca en la pantalla de los usuarios informándoles cuando sus máquinas requieran actualizaciones antivirus o parches y guiándoles a través del proceso para instalarlos.
El software basado en comportamiento identifica códigos maliciosos, incluidos troyanos, virus y gusanos, por su comportamiento en los ordenadores, como pueden ser los intentos de acceder a un determinado registro. Este método contrasta claramente con los más tradicionales de “firmas”, basados en la identificación, y que buscan una coincidencia con entre el código sospechoso y un código de ataque ya reconocido. Aunque el software basado en comportamiento algunas veces carece de la precisión de las soluciones basadas en firmas, su principal ventaja es que puede bloquear códigos maliciosos de forma más temprana, antes de que hayan sido analizados y catalogados.
Pero, para no quedar defraudado, el responsable TIC que opte por su implementación debe conocer algunas de las incomodidades que este tipo de soluciones pueden llegar a provocar. Básicamente, se derivadas del hecho de que pueden generar una mucho mayor cantidad de falsas alarmas.
Entre los suministradores de este tipo de soluciones se encuentran no sólo grandes y tradicionales fabricantes de soluciones de red, como Cisco Systems, sino también startups, como Bit9, con su software Parity, o WholeSecurity, recientemente adquirida por Symantec. Curiosamente, Bit9 fue creada en 2002 por el mismo equipo –Todd Brennan y Allen Hillery- que fundó Okena, uno de los primeros suministradores de productos de seguridad basada en comportamiento y que fue comprado por Cisco a principios de 2003 por 154 millones de dólares. Como resultado, el producto Okena Storm Watch se transformó en Cisco Security Agent (CSA).
Esta operación resultó clave en la estrategia de seguridad en red de Cisco, que se sustenta en el despliegue de software cliente en los sistemas de sobremesa. La innovadora tecnología de protección basada en el comportamiento de Cisco Security Agent (CSA) y Cisco Trust Agent (CTA) ha sido diseñada para neutralizar las amenazas en los sistemas finales, antes de que pueda empezar su propagación a través de la red. Junto con CSA y CTA, la iniciativa NAC de este fabricante, aboga por la exigencia de la estricta conformidad del punto final con las políticas de seguridad en red corporativas, antes de permitir cualquier admisión a la infraestructura de la empresa.
Sobre el terreno
Westinghouse Electric fue una de las primeras compañías en considerar que el inconveniente de las potenciales falsas alarmas merecía la pena si se obtenían las ventajas prometidas. Ha desplegado software basado en comportamiento de Cisco –en concreto, el producto Cisco Security Agent (CSA)- en 7.000 sistemas de sobremesa. El software, según Tom Moser, director de servicios TI de la organización, probó su eficiencia al parar el reciente gusano Zotob antes de que los suministradores de antivirus lo hubieran identificado y lanzado las correspondientes firmas para su detección.
Pero, aunque subraya la eficiencia de la solución en la pronta identificación de amenazas, también reconoce la generación de una enorme cantidad de falsas alarmas que hicieron perder tiempo a los usuarios finales como al personal de helpdesk. Westinghouse, que comenzó probando el producto con un grupo de 150 usuarios durante un periodo de dos meses, corría en sus sistemas de sobremesa otras aplicaciones de seguridad, incluidos antivirus McAfee, que inducían a CSA a comunicar erróneamente al usuario en su pantalla el mensaje de que la máquina estaba haciendo frente a una amenaza de seguridad desconocida. Según Moser, al principio llegó a generarse la ingente cantidad de unas 30.000 alarmas diarias para el antivirus McAfee, una cantidad que, con la ayuda de los expertos de Cisco, se logró reducir a 50.
En su alerta, CSA da al usuario la oportunidad de invalidar cualquier bloqueo de sospecha de amenaza, por lo que su implementación hace aconsejable al menos una formación mínima al usuario final. Ayudar a miles de empleados a adaptarse al concepto de software basado en comportamiento resultaba todo un reto, exigiendo un considerable esfuerzo en entrenarlos para interactuar con CSA. Westinghouse les indicó que siempre permitieran al producto bloquear la actividad de código detectada, para así aumentar la seguridad. En caso de sospechar que el producto hubiera podido bloquear algo legítimo, los usuarios debían consultar con el servicio de helpdesk.
Westinghouse valora su proyecto de software basado en comportamiento –valorado en unos 50.000 dólares- como un éxito. Cuando Zotob apareció el pasado septiembre, el número de alertas –previamente una media de 1.000 diarias- saltó a más de 8.000, y Westinghouse logró evitar cualquier posible daño.
Esto contrasta con la experiencia que sufrió hace un año y medio con el gusano MyDoom.F, la variante más dañina de mass-mailer MyDoom. De hecho, esta experiencia fue la que decidió a Westinghouse a perseverar en el uso de software basado en comportamiento pese a las dificultades que en ocasiones presentó su despliegue. “Tenía complejos y potentes mecanismos de autopropagación. Infectó 100 PC, 42 servidores y borró 9,3 millones de archivos”. El personal TI de la compañía hubo de mantener la red inactiva durante tres días para limpiar los PC y servidores. Westinghouse, que suministra material y servicios a la industria de potencia nuclear, perdió 11.000 horas de trabajo de sus ingenieros, valoradas en pérdidas de productividad de un millón de dólares. Además, el gusano borró importantes documentos y análisis de seguridad, la mayor parte de los cuales pudieron recuperarse gracias a la política de realización de backups diarios de la compañía.
“Cuando se genera un nuevo ataque, existe un periodo durante el cual, sin estas soluciones, la empresa es absolutamente vulnerable”, asegura Moser, subrayando que los suministradores de antivirus tardan entre dos y tres horas en publicar una firma para la nueva amenaza. No es realista presumir que el software de parcheo de vulnerabilidades puede estar disponible en minutos, dado que el proceso requiere un testeo cuidadoso y el tiempo necesario para su aplicación”.
Con CSA ya en los desktops, la empresa se plantea ahora introducirlo en sus servidores este mismo año. Adicionalmente, la experiencia de trabajo con la nueva tecnología la está haciendo evaluar si Network Admission Control (NAC) de Cisco es viable para la corporación. Si bien es cierto que la compañía considera NAC una tecnología de seguridad que le gustaría desplegar ampliamente, tiene sus dudas respecto a si todo el hardware de su red es lo suficientemente avanzado como para soportarla sin problemas.
NAC requiere el uso de Cisco Trust Agent en el desktop para controlar el acceso a la red vía los routers y conmutadores del fabricante. “También en este caso comenzaremos realizando una prueba piloto con un número reducido de usuarios. Los empleados autorizados para utilizar sus ordenadores particulares para acceder vía remota a la LAN corporativa serán los primeros en probar Cisco Trust Agent.
Westinghouse está desarrollando scripts que permitirán que un mensaje aparezca en la pantalla de los usuarios informándoles cuando sus máquinas requieran actualizaciones antivirus o parches y guiándoles a través del proceso para instalarlos.
