Por Trend Micro
Para consumidores y empresas, implementar un modelo de múltiples capas para asegurar una red es esencial para combatir las amenazas. Esto puede lograrse mediante la implementación de soluciones integradas en tres capas separadas:
• En la nube de Internet (antes de que los datos lleguen al gateway de Internet)
• En el gateway de Internet (donde Internet se conecta a una red corporativa o la de un Proveedor de Servicios de Internet)
• En el punto final (en la PC o el servidor)
Capas de Seguridad Integradas
La naturaleza evolutiva de las amenazas Web requiere mecanismos para intercambiar información, en los que la información reunida en una capa del sistema de protección se utilice en otras capas (ver Figura 1).
Figura 1: Las capacidades de Penetración (de arriba a abajo) y de Retroalimentación (flechas) complementan un modelo de múltiples capas que inicia en la nube y continua en el gateway y el punto final.
Por ejemplo, la información aprendida en la función de análisis de comportamiento en el gateway (donde se valora el “comportamiento” de combinaciones de acciones potencialmente maliciosas) puede compartirse, o reciclarse, para actualizar las bases de datos de reputación Web (donde se valora la “reputación” de un sitio Web), así como las capacidades del punto final. De modo similar, la información adquirida en el punto final (por ejemplo, la computadora de escritorio o portátil) puede reciclarse en la capacidad de análisis de archivos y la capacidad de la reputación web en la nube de Intenet. Ambas técnicas son necesarias para adecuar la protección continua.
Para maximizar la eficiencia, los administradores requieren ser capaces de monitorear y manejar todas estas capacidades y las políticas relevantes desde una consola centralizada. Al mismo tiempo, para abordar los aspectos regionales y locales de muchas amenazas Web, los equipos específicos necesitan apuntar a regiones específicas en el mundo. Estos equipos deben estar a la vanguardia en la recopilación de inteligencia, el origen de muestras, la mitigación y prevención y coordinarse con grupos de seguridad locales y agencias de aplicación de justicia en la lucha contra las amenazas Web. Este modelo probablemente resulte en una respuesta más veloz, soluciones a la medida y conciencia cultural.
Ampliando la Seguridad Integrada de Múltiples Capas al Correo Electrónico
Este modelo de múltiples capas también puede ampliarse a la seguridad del correo electrónico. La protección activa en la nube de Internet es importante en el dominio de la mensajería debido a que una vez que el correo electrónico llega al gateway de Internet, los requerimientos regulatorios pueden ordenar su retención por hasta diez años. Prefiltrar el correo electrónico en la nube ahorra ancho de banda, reduce los costos de almacenamiento y mantenimiento, y ayuda a la protección. En esta capa, la protección debe incluir lo siguiente:
• Comprobación de la reputación IP del emisor del correo electrónico
• Comprobación de la reputación IP del dominio
• Firewall de correo electrónico
• Filtrado antispam y antivirus
El firewall de correo electrónico debe hospedarse fuera del servidor de correo para evitar los ataques distribuidos de negación de servicio y los ataques de cosecha de directorios (por ejemplo, ataques que buscan de manera aleatoria direcciones de correo electrónico válidas).
En el gateway de Internet, el software antispam y antivirus debe incluir el análisis de archivos adjuntos para detectar spam que los pudiera contener– una forma relativamente nueva de spam generados por bots que es difícil de identificar, utiliza imágenes para simular spam, consume almacenamiento y normalmente contiene código malicioso. En este nivel, se necesita un motor de políticas que se vincule con el directorio (por ejemplo, LDAP) desde los servidores de correo. Aquí, la tecnología de análisis de comportamiento se utiliza para detectar, por ejemplo, que un usuario nunca responde a un correo electrónico repetido, etiquetándolo como spam para que pueda ser devuelto. También puede realizarse en este nivel el análisis del contenido del correo electrónico para asegurar que los empleados y otros no revelen a las partes no autorizadas información confidencial en el correo electrónico o los archivos adjuntos. Esta funcionalidad también permite la encripción del correo electrónico saliente, y archivar el correo electrónico para cumplir con los requerimientos regulatorios. En el entorno de la mensajería, el tercer nivel (el punto final) es el servidor de correo mismo, porque los buzones residen en el servidor de correo.
Acciones para Mejorar la Postura de Seguridad
Navegar sitios Web, incluso aquellos aparentemente inofensivos, puede tener serias consecuencias para consumidores y empresas.
• Los consumidores pueden aplicar soluciones de seguridad actualizados en la capa de punto final (la PC) para mitigar los ataques provenientes de la Web. Como se mencionó en la última edición de Reporte Primera Línea de Defensa, los consumidores también deben evaluar las medidas de seguridad que ofrecen los proveedores de servicio de Internet (ISPs). Dada la accesibilidad de la conectividad a Internet de bajo costo y alta velocidad, las capacidades de seguridad se están convirtiendo en el diferenciador clave entre los ISPs.
• Las empresas deben implementar soluciones de seguridad en cada capa (en la nube, en el gateway y en el punto final) y debe ampliar esta seguridad de múltiples capas al correo electrónico. Asimismo, se recomienda que las soluciones de cada capa están bien integradas para permitir que se comparta la información de cada una.
Así mismo, Luis Fernando Garzón, Gerente Mid Size Colombia de Trend Micro, determina: “Consideramos esta serie de análisis de información son muy importantes, por comunes que se puedan leer en Internet. Siempre estamos analizando las distintas vulnerabilidad, políticas y procesos de seguridad de los clientes para evitar “cortones” o “saqueos” sigilosos dentro de las redes, tanto de las grandes empresas, así como de las pequeñas”. Por lo cual finalizó “siempre invitamos a todos los usuarios corporativos hasta usuarios finales conocer de temas enfocados a los nuevos ciclos de amenzas web, ya que siempre hay que esperar nuevas y distintos tipos de amenazas”.
• En la nube de Internet (antes de que los datos lleguen al gateway de Internet)
• En el gateway de Internet (donde Internet se conecta a una red corporativa o la de un Proveedor de Servicios de Internet)
• En el punto final (en la PC o el servidor)
Capas de Seguridad Integradas
La naturaleza evolutiva de las amenazas Web requiere mecanismos para intercambiar información, en los que la información reunida en una capa del sistema de protección se utilice en otras capas (ver Figura 1).
Figura 1: Las capacidades de Penetración (de arriba a abajo) y de Retroalimentación (flechas) complementan un modelo de múltiples capas que inicia en la nube y continua en el gateway y el punto final.
Por ejemplo, la información aprendida en la función de análisis de comportamiento en el gateway (donde se valora el “comportamiento” de combinaciones de acciones potencialmente maliciosas) puede compartirse, o reciclarse, para actualizar las bases de datos de reputación Web (donde se valora la “reputación” de un sitio Web), así como las capacidades del punto final. De modo similar, la información adquirida en el punto final (por ejemplo, la computadora de escritorio o portátil) puede reciclarse en la capacidad de análisis de archivos y la capacidad de la reputación web en la nube de Intenet. Ambas técnicas son necesarias para adecuar la protección continua.
Para maximizar la eficiencia, los administradores requieren ser capaces de monitorear y manejar todas estas capacidades y las políticas relevantes desde una consola centralizada. Al mismo tiempo, para abordar los aspectos regionales y locales de muchas amenazas Web, los equipos específicos necesitan apuntar a regiones específicas en el mundo. Estos equipos deben estar a la vanguardia en la recopilación de inteligencia, el origen de muestras, la mitigación y prevención y coordinarse con grupos de seguridad locales y agencias de aplicación de justicia en la lucha contra las amenazas Web. Este modelo probablemente resulte en una respuesta más veloz, soluciones a la medida y conciencia cultural.
Ampliando la Seguridad Integrada de Múltiples Capas al Correo Electrónico
Este modelo de múltiples capas también puede ampliarse a la seguridad del correo electrónico. La protección activa en la nube de Internet es importante en el dominio de la mensajería debido a que una vez que el correo electrónico llega al gateway de Internet, los requerimientos regulatorios pueden ordenar su retención por hasta diez años. Prefiltrar el correo electrónico en la nube ahorra ancho de banda, reduce los costos de almacenamiento y mantenimiento, y ayuda a la protección. En esta capa, la protección debe incluir lo siguiente:
• Comprobación de la reputación IP del emisor del correo electrónico
• Comprobación de la reputación IP del dominio
• Firewall de correo electrónico
• Filtrado antispam y antivirus
El firewall de correo electrónico debe hospedarse fuera del servidor de correo para evitar los ataques distribuidos de negación de servicio y los ataques de cosecha de directorios (por ejemplo, ataques que buscan de manera aleatoria direcciones de correo electrónico válidas).
En el gateway de Internet, el software antispam y antivirus debe incluir el análisis de archivos adjuntos para detectar spam que los pudiera contener– una forma relativamente nueva de spam generados por bots que es difícil de identificar, utiliza imágenes para simular spam, consume almacenamiento y normalmente contiene código malicioso. En este nivel, se necesita un motor de políticas que se vincule con el directorio (por ejemplo, LDAP) desde los servidores de correo. Aquí, la tecnología de análisis de comportamiento se utiliza para detectar, por ejemplo, que un usuario nunca responde a un correo electrónico repetido, etiquetándolo como spam para que pueda ser devuelto. También puede realizarse en este nivel el análisis del contenido del correo electrónico para asegurar que los empleados y otros no revelen a las partes no autorizadas información confidencial en el correo electrónico o los archivos adjuntos. Esta funcionalidad también permite la encripción del correo electrónico saliente, y archivar el correo electrónico para cumplir con los requerimientos regulatorios. En el entorno de la mensajería, el tercer nivel (el punto final) es el servidor de correo mismo, porque los buzones residen en el servidor de correo.
Acciones para Mejorar la Postura de Seguridad
Navegar sitios Web, incluso aquellos aparentemente inofensivos, puede tener serias consecuencias para consumidores y empresas.
• Los consumidores pueden aplicar soluciones de seguridad actualizados en la capa de punto final (la PC) para mitigar los ataques provenientes de la Web. Como se mencionó en la última edición de Reporte Primera Línea de Defensa, los consumidores también deben evaluar las medidas de seguridad que ofrecen los proveedores de servicio de Internet (ISPs). Dada la accesibilidad de la conectividad a Internet de bajo costo y alta velocidad, las capacidades de seguridad se están convirtiendo en el diferenciador clave entre los ISPs.
• Las empresas deben implementar soluciones de seguridad en cada capa (en la nube, en el gateway y en el punto final) y debe ampliar esta seguridad de múltiples capas al correo electrónico. Asimismo, se recomienda que las soluciones de cada capa están bien integradas para permitir que se comparta la información de cada una.
Así mismo, Luis Fernando Garzón, Gerente Mid Size Colombia de Trend Micro, determina: “Consideramos esta serie de análisis de información son muy importantes, por comunes que se puedan leer en Internet. Siempre estamos analizando las distintas vulnerabilidad, políticas y procesos de seguridad de los clientes para evitar “cortones” o “saqueos” sigilosos dentro de las redes, tanto de las grandes empresas, así como de las pequeñas”. Por lo cual finalizó “siempre invitamos a todos los usuarios corporativos hasta usuarios finales conocer de temas enfocados a los nuevos ciclos de amenzas web, ya que siempre hay que esperar nuevas y distintos tipos de amenazas”.
