“Hace algunos años teníamos ataques genéricos, que se disparaban para ver qué información se podía robar, o qué host se podía capturar para tenerlo dentro de una botnet”, explica Marcelo Mayorga, gerente de Ingeniería para Sudamérica de Fortinet, en referencia a los ataques genéricos que ocurren desde hace varios años (al hablar de botnet, por ejemplo, se refiere a redes de computadoras que son infiltradas por malware y que son operadas remotamente para realizar operaciones tales como distribución de malware u otros tipos de ataques, popularmente se las conoce como “zombies”, porque operan sin que el usuario lo sepa).
Con todo, el perfil de ataques de hoy en día es más específico, y se los conoce como Advanced Persistent Threat (APT – ataques persistentes avanzados). “La diferencia con un APT es que están destinados a una compañía, un dispositivo, o un segmento vertical específico. Y, como su nombre lo indica, son avanzados. No es un ataque que alguien pueda hacer muy simplemente. Son ataques que usan vulnerabilidades de Día Cero (que a la fecha del ataque no fueron resueltas, o incluso no fueron descubiertas siquiera por los desarrolladores), con lo cual es necesario cierto tipo de conocimiento para explotarlas. No es algo simple. Además, son persistentes porque intentan mantenerse dentro de una red, o de un sistema, o de un dispositivo, o de un servidor, ´bajo el radar´, extrayendo información o causando daño sin que nadie lo note”, agrega Matorga.
Ejemplo de esta clase de ataques es Stuxnet, diseñado para atacar sistemas SCADA industriales y concretamente PLCs de una determinada marca y modelo. O, más recientemente, compañías de retail (como el reciente ataque recibido por Target, en los Estados Unidos). De este último ataque queda claro que no basta cumplir con las certificaciones, sino que hay que ser capaces de respo0nder dinámicamente a las eventuales amenazas, muchas de las cuales explotan vulnerabilidades nuevas (de Día Cero), que aún no son reconocidas por los dispositivos de seguridad tradicionales (que funcionan a través de reconocimiento de patrones de código, o firmas).
Jugando en la caja de arena
Fortinet pone al servicio de sus clientes una poderosa herramienta de sandboxing que permite automatizar una clase específica de análisis, ideal para tratar con ataques persistentes avanzados. En los FortiGuard Labs de Fortinet —una entidad de I+D que hoy tiene más de 150 analistas de seguridad alrededor del mundo—, se practica un proceso llamado “sandboxing” que consiste en ejecutar una aplicación o código binario en un entorno controlado y aislado para ver cómo se comporta: si hace llamadas a ciertos sistemas, qué archivos o permisos pretende modificar, si intenta reproducirse en la red, si quiere comunicarse hacia un sitio que pudiera ser un Command and Control (el servidor de control de una botnet), etc. A través de esta verificación en ese entorno aislado puede determinar si potencialmente se trata de un ataque informático. Ahora, Fortinet transformó este expertise en un producto que puede realizar ese “sandboxing” de manera automatizada, e integrada con otras soluciones de la marca: FortiSandbox.
“FortiSandbox puede ser implementado en formato standalone, y podés empezar a analizar lo que pasa en la red. Pero también se puede integrar con dispositivos de Fortinet existentes dentro de la red, como FortiGate o FortiMail, de esta forma se evita poner otro dispositivo más en el medio —acota Mayorga—. Por ejemplo, FotiGate puede hacer un primer análisis para determinar si un archivo o binario es considerado potencialmente malicioso. Y si es así, lo manda a una revisión más exhaustiva que podría hacer el FortiSandbox”.
¿Qué es lo que pasa cuando un sistema de sandboxing detecta un archivo que puede ser un ataque? Normalmente los sistemas proveen información forense al administrador de seguridad: cómo se comportó el ataque dentro de la red, qué archivos abrió, qué llamadas hizo, etc. Esta información es a posteriori, permite evitar ataques futuros de manera manual. “En el caso de FortiSandbox, al detectar un archivo potencialmente maligno inmediatamente comunica esta detección a FortiGuard, y allí, en tiempo real, se desarrolla una firma para los IPSs, para los antivirus y el control de aplicaciones, y hasta puede alimentar la base de datos de reputación de IP para prevenir ese ataque”, explica Mayorga. De esta forma, si el FortiSandbox forma parte de un despliegue más amplio que incluye otros dispositivos Fortinet, la información que obtiene termina realimentándose en éstos para perfeccionar la protección de los ataques avanzados y persistentes.
Potenciando la seguridad desde el sistema operativo
Esta evolución hacia las APTs también está contemplada también en el sistema operativo que corre dentro de los dispositivos de Fortinet, como el FortiGate. La nueva versión de FortiOS recientemente anunciada, la v5.2, mejora la visibilidad de la red para que esas amenazas queden en evidencia. “En esta nueva versión del sistema operativo vamos a encontrar una sección nueva que se llama FortiView que justamente permite ver en tiempo real e histórico toda la información de lo que FortiGate ha ido detectando y viendo en el ciclo de vida, desde que el equipo está activo. De esta manera se les da a los administradores más visibilidad de la que tenían antes, y no sólo visibilidad: ahora podrán también interactuar con esa información, identificar más claramente quiénes son los destinatarios o fuentes de cierto tipo de tráfico, malicioso o no”, dice Mayorga.
“Otro aspecto importante para mencionar es el tema de la performance, en particular desde el aspecto de la seguridad en la inspección de SSL. Una de las problemáticas que tienen hoy en día los dispositivos de seguridad de red es que los tráficos encriptados con SSL con cualquiera de los protocolos que lo implementen se están convirtiendo en un estándar de transporte de tráfico. Y eso puede ser tráfico ´bueno´ y puede haber también tráfico malicioso. Los atacantes tratan que la comunicación con el servidor Command and Control o que esa información que intentan sacar de la compañía sea por caminos encriptados porque saben que en cierta forma están cegando a los dispositivos de red”, establece el experto de Fortinet.
Revisar esta suerte de “valija diplomática” del tráfico de información desde y hacia la empresa requiere una operación de tipo “Man in the Middle”, o sea: interrumpir el tráfico, desencriptarlo, revisarlo, y volverlo a encriptar de cara al receptor de la información. Pero eso insume un gran poder de cómputo. Fortinet desarrolló para sus dispositivos hardware de propósito específico, y con “FortiOS 5.2 se usa mejor el hardware de propósito específico que Fortinet tiene”, puntualiza Mayorga. “FortiOS 5.2 obtiene mayor beneficio de esa aceleración para incrementar el desempeño de la inspección de contenido de SSL”. De esta forma, esta tecnología algo que s epodría implementar de manera más generalizada.
Más información
FortiOS 5.2
http://www.fortinet.com/technology/network-os-fortios.html
FortiSandbox
http://www.fortinet.com/products/fortisandbox/
