alphaspirit - Fotolia

Detección de anomalías en la red: la herramienta antimalware esencial

Ahora, las herramientas de detección de anomalías en la red son esenciales en la lucha contra el malware avanzado.

Los firewalls, IDS e IPS no pueden proteger adecuadamente contra malware avanzado; el malware avanzado está diseñado específicamente para derrotar a esos dispositivos. Los firewalls, IDS e IPS se basan en firmas y reglas que definen la actividad de los “malos conocidos", y si bien pueden ser eficaces en la prevención de algunas exfiltraciones de datos después de que el malware ha calado en una red, son inherentemente ineficaces para la detección de malware avanzado durante la entrada inicial a una red.

Como resultado, se necesita un cambio de foco. Los equipos de seguridad deben ir más allá de tratar de detectar y negar el malware en el borde. Se tiene que hacer la suposición de la planificación de que no es posible detectar y negar todas las amenazas de malware avanzado en el borde. En lugar de ello, las herramientas de seguridad ahora deben centrarse en el interior de la red y poseer capacidades de detección de anomalías de la red.

Un enfoque ampliado significa identificar todos los activos de información de misión crítica (como se identifican a través de una evaluación de riesgos de TI) y luego monitorear estos activos para detectar comportamientos no deseados. Cuando decenas de miles de registros de transacciones de clientes y tarjetas de crédito están fluyendo desde una base de datos y saliendo a través del firewall, ¿no es algo que debe ser notado y detenido?

Análisis de tráfico de red con flujo IP

El análisis de tráfico de red, basado en el protocolo Protocolo de Flujo y Exportación de Información de Internet de IETF (IPFIX), es tal vez una herramienta infrautilizada que puede ayudar a identificar el comportamiento no deseado del malware avanzado dentro de la red a pesar de la encriptación que el malware avanzado utiliza para ocultarse.

El análisis del tráfico de red de la computadora, o el análisis de flujo de red, es un método de análisis de tráfico de red basado en el concepto de un flujo de protocolo de Internet (IP Flow).

Cada paquete que se envía dentro de un router o switch es examinado por un conjunto de atributos de paquetes IP. Estos atributos son la identidad del paquete IP, o huella dactilar, y determinan si el paquete es único o similar a otros paquetes.

Tradicionalmente, un flujo IP se basa en un conjunto de seis a siete atributos de paquetes IP. Los atributos de paquetes de un flujo IP son:

  • Dirección de origen de la IP.
  • Dirección de destino de la IP.
  • Puerto de origen.
  • Puerto de destino.
  • Tipo de protocolo de Capa 3.
  • Clase de servicio.
  • Interfaz del router o switch.

Todos los paquetes con la misma dirección IP de origen/destino, puertos origen/destino, interfaz de protocolo y clase de servicio se agrupan en un flujo. Luego se cuentan los paquetes y bytes. Esta metodología de toma de huellas dactilares, o para determinar un flujo, es escalable porque una gran cantidad de información de la red se condensa en una base de datos de información de llamada la caché.

El análisis de tráfico de red de la computadora, por lo tanto, se basa en la recopilación y análisis de los flujos IP para determinar las características de la comunicación de red que está teniendo lugar.

Esta información de flujo es de gran utilidad para comprender el comportamiento de la red por un número de razones:

  • La dirección de origen permite comprender de quién se está originando el tráfico.
  • La dirección de destino dice quién está recibiendo el tráfico.
  • Los puertos caracterizan la aplicación que utiliza el tráfico.
  • La clase de servicio examina la prioridad del tráfico.
  • La interfaz de dispositivo cuenta cómo el tráfico está siendo utilizado por el dispositivo de red.
  • Los paquetes y bytes contados muestran la cantidad de tráfico entre cualquier punto de la red.
  • El flujo de información permite la identificación del sistema operativo, incluyendo la identificación de sistemas operativos falsos.
  • El flujo de información también permite identificar el tráfico de red de las aplicaciones comunes.
  • El tráfico de red desde aplicaciones no deseadas también se puede identificar.
  • El flujo de información puede supervisar la utilización del ancho de banda e identificar el uso de ancho de banda inesperado o excesivo.

Usar una línea de base del tráfico de la red para detectar malware

Esta información de flujo de red permite establecer una línea base del comportamiento normal del tráfico de red. Tal línea de base hace que sea más fácil, entonces,identificar un comportamiento inesperado o no deseado, incluyendo la actividad maliciosa causada por el malware avanzado. En otras palabras, se hace posible para una organización determinar si la cuenta de un usuario está transmitiendo una gran cantidad de correos electrónicos dirigidos por una botnet, o si grandes cantidades de datos de propiedad intelectual están tratando de salir de la red; cuando se compara contra el perfil de actividad de referencia, las transmisiones de datos como estas se verán anómalas.

Del mismo modo, si un usuario tuviera que reiniciar una estación de trabajo en un nuevo entorno operativo –por ejemplo, una máquina virtual o un sistema operativo diferente– el sistema de análisis de tráfico de red podría detectar también ese comportamiento.

Disponibilidad

Hoy en día, todos los routers recientes y muchos switches de capa 3 soportan el protocolo NetFlow de Cisco o el protocolo IPFIX, siendo uno o ambos requisito previo para la creación de la línea de base del tráfico de red que se ha descrito anteriormente; cada vez más, los routers y switches soportan ambos protocolos.

A partir de ahí, los sistemas de recolección y análisis deben implementarse para permitir el análisis de tráfico de red basado en el protocolo que soporte la infraestructura de red. El costo de instalar estos sistemas de recogida y análisis oscila entre cero (para los sistemas de código abierto) a varios cientos de miles de dólares (para los productos comerciales); el costo de la tecnología comercial depende de su alcance y la escala.

Gateway de confianza

El tráfico de red no se puede supervisar si no se puede ver. Considere la consolidación de todo el tráfico de Internet de la empresa a través de un único sistema de gateway de confianza y luego monitoree ese tráfico de forma continua.

La rama ejecutiva del gobierno de Estados Unidos hizo exactamente esto a través de su iniciativa Trusted Internet Connections (TIC). Los 110 departamentos y agencias del poder ejecutivo han consolidado más de 8,000 conexiones a Internet en menos de 100 gateways de Internet en todo el mundo, monitoreados continuamente. Menos puntos de ingreso hacen que sea más fácil controlar lo que entra en la red, haciendo más difícil para el malware colarse.

Además de requerir un gateway de confianza para Internet, TIC también requirió numerosos controles técnicos y de gestión de la seguridad, incluidos los siguientes:

  • Servidores proxy de aplicación para la inspección bidireccional de las aplicaciones web, correo electrónico y de transferencia de archivos.
  • Un sistema de gestión de eventos e información de seguridad (SIEM) para agregar, correlacionar y analizar todas las alertas de eventos de seguridad en todos los dispositivos de seguridad.
  • El Centro de Operaciones de Seguridad, que responde a alertas de los dispositivos de gateway, y el SIEM y actúan como un frente para la capacidad de gestión de incidentes.

Usted también debe crear una única gateway de confianza para su red, y luego monitorear de cerca el tráfico que la atraviesa. Recuerde, sin embargo: Usted debe revisarla continuamente, tanto por el malware de cada día, como por malware avanzado. Es esencial, en otras palabras, que extienda sus controles de seguridad más allá del perímetro, añadiendo capacidades de detección de anomalías en la red a sus otras herramientas de seguridad existentes.

Sobre el autor: Peter Sullivan comenzó su carrera en operaciones de red, seguridad de la información y respuesta a incidentes hace 20 años con el Ejército de Estados Unidos. Durante los últimos diez años, Sullivan ha sido un científico visitante en el Instituto de Ingeniería de Software de la Universidad Carnegie Mellon, donde imparte cursos sobre gestión de riesgos, seguridad de la información y aseguramiento, respuesta a incidentes de seguridad informática y análisis forense digital. Él es también un socio de InfoSecure Solutions, LLC, una consultora con sede en Massachusetts que se especializa en gestión de riesgos de TI y planificación de respuesta a incidentes. Sullivan tiene una certificación CISSP y una certificación CERT/CC para el Manejo de Incidentes de Seguridad Informática (CSIH).

Próximos pasos

Quizás le interese revisar también:

Cinco de cada seis grandes empresas fue blanco de ciberataques en 2014

Fraude de clics una entrada para el ransomware, advierte la firma Damballa

Cómo detectar y mitigar técnicas avanzadas de evasión de malware

Investigue más sobre Seguridad de la información