Tanto las amenazas a las que han estado sometidos los sistemas de información, así como los diferentes enfoques desde los que se han planteado las soluciones a estas amenazas han ido evolucionando con el paso del tiempo.

Primeras amenazas de seguridad: ataques basados en la conexión:

Inicialmente, con la aparición de los primeros ordenadores, la seguridad estaba orientada a proteger el acceso físico a los equipos, y por tanto a la información contenida en ellos. No se contemplaba como una amenaza el acceso lógico a la misma, debido al escaso y controlado acceso a las redes de comunicaciones que interconectaban estas máquinas. A medida que las redes de comunicaciones y el acceso compartido a los recursos se han extendido, los intentos de acceso a información privada han evolucionado hacia los distintos niveles de protocolo. Las redes se han popularizado, tanto dentro de las organizaciones como entre las mismas, permitiendo a los potenciales atacantes entrar en las redes desde el exterior y, utilizando ataques basados en la conexión, alcanzar y poner en compromiso datos y programas internos, o bien simplemente dejar sin servicio redes enteras. Los métodos utilizados son diversos, como IP spoofing, arp spoofing, denegación de servicio (DOS y DDOS) y un sin fin de ataques basados en el nivel de red.

Nuevas amenazas

Ataques basados en el contenido:

El mundo de la seguridad asiste desde hace ya algunos años a lo que podemos considerar como una evolución en la cantidad y severidad de ataques que van más allá de los ataques de conexión: los ataques basados en contenido. Hoy en día las principales amenazas provienen de este tipo de ataques que no requieren conexiones sostenidas para lograr sus objetivos, y que afectan a todo tipo de organizaciones por igual, sin importar su tamaño o sus infraestructuras. Los ataques de contenido se basan en el uso de software malicioso, o agentes, que actúan de forma autónoma una vez introducidos en ordenadores remotos. Cuando un virus, gusano o cualquier ataque de este tipo ha conseguido introducirse en un ordenador que forma parte de una red de datos, éste puede actuar por sí mismo y propagarse sin necesitar ningún tipo de conexión con el atacante original. El formato puede ser de virus, gusano, active web content, troyano, etc. El principal desafió ante amenazas basadas en contenido es que en la mayoría de los casos utilizan conexiones que son inherentemente confiables (correos electrónicos, conexiones web, etc.). Todo apunta a que la tendencia creciente de este tipo de ataques continuará en la medida en que las organizaciones precisan de comunicaciones en tiempo real, así como de aplicaciones internas basadas en aplicaciones web, mensajería instantánea, etc, como mecanismos competitivos en el ámbito empresarial.

Ataques combinados:

Las amenazas actuales más sofisticadas utilizan combinaciones de ataques de red junto con ataques de contenido para explotar las vulnerabilidades de sistemas operativos y aplicaciones de amplia difusión, comprometiendo las redes en las que residen y sus recursos, con resultados en ocasiones devastadores. Los ataques combinados utilizan las características de virus, gusanos, troyanos y código maligno contra las vulnerabilidades de servidores e Internet; este tipo de ataques se transmiten y extienden a través de redes con una velocidad sin precedentes e implican grandes dificultades para una rápida recuperación. Históricamente, los costosos ataques de Nimda y Red Code fueron de los primeros ataques combinados en tener éxito, a partir de los cuales este tipo de ataques han sido ampliamente repetidos. Mientras que las defensas contra amenazas de conexión han dependido tradicionalmente de sistemas desplegados en la red, tales como firewalls o IDS (detectores de intrusus), las primeras respuestas a ataques de contenido se basaron en software de aplicación instalado en ordenadores, tales como antivirus personales y software de detección de intrusiones basados en host.

Esto implicaba despliegues muy complicados, compuestos por un gran número de dispositivos, con una gestión diferente para cada uno y que planteaban serios problemas de diseño a la hora de su implementación.

El coste de los ataques:

Los ataques basados en contenido no van dirigidos contra un sector o tipo de compañía en concreto, sino que el tamaño de las compañías o el valor de sus datos es indiferente para estos ataques cuya dispersión se realiza de forma masiva: toda compañía es vulnerable a este tipo de ataques, ya sea en forma de virus, gusano, spyware, ataques de Denegación de Servicio, Spam, etc.

Uso inapropiado de recursos:

Además de la seguridad, existe otro tipo de situaciones que deben ser contempladas en el entorno profesional: Las organizaciones sufren pérdidas importantes derivadas de la utilización inadecuada de sus recursos de red.

El Spam constituye hoy en día uno de los principales problemas asociados al mal uso de los recursos de la red. El tráfico actual de correo electrónico está inundado por mensajes de Spam, llegando a superar en porcentaje al tráfico de correo legítimo, saturando las líneas de comunicaciones y los servidores de correo.

También el uso inadecuado de los recursos por parte de los propios empleados es un asunto que requiere ser combatido. Actividades no productivas, tales como juegos del Internet, Programas de Mensajería Instantánea, chats, intercambio de música y navegación y descarga de contenido inadecuado mediante aplicaciones Peer to Peer, produce el consumo ingente de valiosos recursos de red y de productividad de los empleados. Cada vez más, las organizaciones públicas y privadas están luchando para controlar el acceso al contenido inapropiado sin restringir, por otro lado, el acceso a material y servicios legítimos. El tráfico no esencial o no crítico puede interferir con la capacidad de desplegar nuevos servicios que mejoren las comunicaciones: muchas compañías realizan mejoras costosas de la red para desplegar servicios de red muy sensibles al ancho de banda disponible, por ejemplo audio, vídeo, y voz. En muchos casos estos servicios se podrían desplegar sin mejoras costosas controlando los recursos utilizados por aplicaciones de consumo intensivo de ancho de banda, como son el correo electrónico, la navegación web y la transferencia de ficheros.

Los Sistemas de Protección

Enfoque convencional:

A lo largo del tiempo las soluciones de seguridad han respondido a las diferentes amenazas desarrollando soluciones parciales que satisfacían lo que en cada momento era requerido.

Cortafuegos, VPN e IDS´s fueron diseñados para ocuparse de ataques basados en la conexión. Estos sistemas trabajan generalmente examinando las cabeceras de los paquetes –esto es, direcciones y protocolos - pero no analizan el contenido de nivel de aplicación de los paquetes. Aunque son efectivos proporcionando protección a nivel de red, firewalls, VPNs e IDSs no cubren las necesidades de protección actuales en los ámbitos telemáticos.

Un primer enfoque de la seguridad se basaba en la inspección de las cabeceras de los paquetes, identificando su origen, destino y servicio al que correspondían. Esta técnica, denominada Statefull Inspection Packet constituye la base de los Cortafuegos. Pero los equipos basados en esta tecnología examinan solamente las cabeceras de cada paquete, sin inspeccionar el contenido del mismo. Por este motivo, existen ataques basados en anomalías desarrolladas sobre los diferentes protocolos que no pueden ser detectados por este tipo de sistemas.

Un segundo enfoque histórico se corresponde con la técnica Deep Packet Inspection, a través de la cual se analiza tanto la cabecera como el contenido de cada paquete. Esta es la base esencial de los Sistemas de Detección de Intrusión o IDS, si bien estos sistemas introducían cierto retardo y fueron privados de la capacidad de tomar decisiones, limitándose a analizar el tráfico de nuestra red con objeto de poder estudiar a posteriori los ataques recibidos. Además, este tipo de sistemas presentan la desventaja de que no recomponen el mensaje completo, sino que solamente analizan el contenido de cada paquete de forma independiente, por lo que los ataques distribuidos o bien los ataques a nivel de aplicación no son detectados; no pueden comprobar el contenido de los mensajes formados por varios paquetes y procesarlo para identificar virus, gusanos u otras amenazas, y por lo tanto son totalmente ineficaces contra ataques basados en el contenido.

Consecuentemente, virus, gusanos y troyanos transmitidos por correo electrónico y tráfico http pasan fácilmente a través de cortafuegos y VPN, pasando a menudo desapercibidos por los sistemas de detección de intrusiones. La defensa contra ataques combinados está más allá de la capacidad de las soluciones convencionales de seguridad de red.

Además, los mecanismos estudiados hasta ahora no pueden proteger a nuestros sistemas contra el uso indebido de los recursos de la red, ya sea protegiéndonos de los mensajes de Spam o bien controlando el uso de los recursos por aplicaciones de mensajería instantánea, aplicaciones Peer to Peer, utilización improductiva del acceso a Internet, etc.

Como resultado de las limitaciones de estos dispositivos, las organizaciones se veían forzadas a implantar una amplia colección de soluciones parciales adicionales:

• Antivirus de pasarela

• Filtrado URL

• Filtrado Antispam

Además, el rendimiento de estas soluciones parciales no está dirigido al análisis en tiempo real del tráfico de una organización, de modo que permiten escanear el tráfico de correo electrónico en búsqueda de virus (el cual admite cierto retardo), pero no el tráfico Web en búsqueda de estas amenazas. Dado que más del 20% de los ataques de hoy en día provienen de tráfico Web (HTTP), esto representa un vacío significativo en la seguridad de las empresas.

Como resultado obtenemos por lo tanto que para obtener una protección casi completa debemos recurrir a la utilización de un sistema heterogéneo compuesto por un alto número de plataformas diferentes, cada una de ellas enfocada a una parte concreta del problema global, y constituyendo una plataforma de seguridad perimetral terriblemente costosa y con una enorme complejidad de gestión, administración y mantenimiento.

Nuestro enfoque

En INNOVATIVE T2B SYSTEMS entendemos que la seguridad debe ser contemplada de un modo global, protegiendo los sistemas de información de los ataques de cualquier tipo, así como del uso indebido o el desaprovechamiento de los recursos. De esta manera, el enfoque de la seguridad de los sistemas de información que implanta It2bSys se basa en la Protección Completa de Contenidos, o CCP (Complete Content Protection) que permite el análisis del contenido completo de cada transmisión, realizando el correspondiente reensamblado de todos los paquetes pertenecientes a una misma transmisión y escaneando el contenido a nivel de aplicación, lo que permite proteger los sistemas de la totalidad de las amenazas existentes.

Los requisitos de rendimiento de las tecnologías basadas en Protección Completa de Contenidos son dos órdenes de magnitud mayores que los de los sistemas tradicionales. Para poder satisfacer estos requerimientos y ofrecer la seguridad requerida sin introducir ningún retardo en las comunicaciones, nuestras soluciones cuenta con el Circuito Integrado de Aplicación Específica que permite acelerar los procesos de análisis a nivel de red y de aplicación, siendo el único equipamiento que goza de dicha funcionalidad y permitiendo disponer de una infraestructura de Protección Completa en tiempo real.

Los equipos que implantamos son la nueva generación de la seguridad multinivel de red en tiempo real. Los equipos son capaces de detectar y eliminar los ataques basados en contenido que se transmiten a través del tráfico web, correo electrónico o transmisiones de ficheros, como virus, gusanos, intrusiones, contenido web no apropiado, etc. en tiempo real y sin degradar el rendimiento de los sistemas de información.