Beneficios de la seguridad de informacin basada en host

Conceptos tecnolgicos y consideraciones empresariales

Resumen

Este libro blanco considera la seguridad de la informacin como el punto de mira desde la proteccin del permetro hasta la redefinicin del ecosistema de TI con el objetivo de conseguir un control ms exhaustivo sobre ms activos lo que nos conduce a operaciones de TI y al cumplimiento de inspecciones ms efectivas y eficaces. septiembre 2009

Copyright 2009 EMC Corporation. Reservados todos los derechos. EMC cree que la informacin de esta publicacin es precisa a partir de su fecha de publicacin. La informacin est sujeta a cambios sin aviso. LA INFORMACIN DE ESTA PUBLICACIN SE PROPORCIONA TAL CUAL. EMC CORPORATION NO REPRESENTA NI OFRECE GARANTAS DE NINGN TIPO SOBRE LA INFORMACIN DE ESTA PUBLICACIN Y, DE MANERA ESPECFICA RENUNCIA A TODAS LAS GARANTAS DE COMERCIALIZACIN Y ADECUACIN PARA UN FIN DETERMINADO. El uso, la copia y la distribucin de cualquier software de EMC descrito en esta publicacin requiere la licencia de software correspondiente. Para obtener una lista actualizada de los nombres de productos de EMC, consulte EMC Corporation Trademarks en EMC.com. Las restantes marcas registradas utilizadas aqu son propiedad de sus respectivos propietarios. Nmero de referencia h6501

Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio

Tabla de contenido
Resumen ejecutivo ........................................................................................4 Introduccin ...................................................................................................4
Pblico ................................................................................................................................... 4

Definiciones de permetros y ecosistemas de TI ........................................4 Examen de los ataques a ordenadores........................................................7 Control y supervisin de hosts ....................................................................7 Conclusin .....................................................................................................9

Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio

Resumen ejecutivo
La mayora de los entornos de TI actuales contienen un amplio abanico de diferentes tecnologas: plataformas de servidores y de estaciones de trabajo (Microsoft Windows, UNIX, Linux), dispositivos de red como los enrutadores y los switches, dispositivos de red dedicados a la seguridad como servidores de seguridad y sistemas de deteccin de intrusiones, as como numerosas aplicaciones y bases de datos. Desde el punto de vista de la seguridad de la informacin, qu elementos nos enfocamos en proteger en caso de que el tiempo y los recursos sean limitados? La respuesta ms obvia sera todos, pero no sera prctica. La segunda mejor respuesta sera los recursos ms importantes y susceptibles. Probablemente sta sea la respuesta correcta, pero slo contesta a la pregunta qu. Y qu hay de la pregunta cmo conseguirlo? Existen varias formas de enfrentarse al problema, pero un cambio en el modelo podra ayudarnos a ver las cosas de un modo diferente. En primer lugar, piense en los distintos escenarios de ataques relacionados con los equipos. A excepcin de los ataques por denegacin de servicio (DoS) que afectan a la disponibilidad y de los ataques pasivos que incluyen el sniffing, la deteccin pasiva o el anlisis de sistemas operativos y de aplicaciones, as como los escenarios del tipo Man-in-the-middle (MiTM), todos los ataques basados en equipos tienen como objetivo algn elemento de la plataforma de hosts. Independientemente de si el ataque se centra en las vulnerabilidades de la aplicacin, el robo a bases de datos, los errores en un servicio o en algn sistema operativo o complemento que conceda acceso, o bien en cualquier brecha en el blindaje, el objetivo ltimo es acceder a un host o a los equipos de almacenamiento de datos correspondientes. Por lo tanto, piense que cuanto ms control ejerza sobre el objeto de ataque, ms probabilidades existirn de poder evitar y detectar de forma directa dichos ataques mediante la reduccin del campo de ataque fortaleciendo la superficie, aplicando revisiones y realizando supervisiones.

Introduccin
Este libro blanco considera la seguridad de la informacin como el punto de mira desde la proteccin del permetro hasta la redefinicin del ecosistema de TI con el objetivo de conseguir un control ms exhaustivo sobre ms activos lo que nos conduce a operaciones de TI y al cumplimiento de inspecciones ms efectivas y eficaces.

Pblico
Este libro blanco va dirigido a los gerentes de operaciones de TI, a los gerentes de seguridad de TI y a aqullos con responsabilidades de gestin de configuracin de servidores en entornos de TI a gran escala.

Definiciones de permetros y ecosistemas de TI

Las mejores prcticas de la seguridad tradicional especifican que los equipos de seguridad deberan detectar las amenazas siempre yendo un paso ms all del permetro de la red. Cuando se detecta que la amenaza se encuentra muy cerca del host, las opciones de prevencin y correccin decrecen ya que el enemigo est a las puertas. Ciertamente se trata de un buen enfoque, mediante la deteccin y la respuesta a las amenazas tan pronto como sea posible, se reduce la probabilidad de que se ponga en peligro el sistema. Sin embargo, existe otro modo de ver los entornos de TI: como ecosistemas con distintos grados de control. El primer tipo de ecosistema es el entorno macro, o la infraestructura de TI como un todo. Se incluyen los componentes de TI: equipos de sobremesa, servidores, aplicaciones, dispositivos de red, etc. A menudo, los responsables de la seguridad de TI tienden a centrarse en la proteccin de esta infraestructura colocando los controles y la supervisin de seguridad en ubicaciones estratgicas distribuidas por todo el entorno. Entre los ejemplos se incluyen los servidores de seguridad en el permetro y en los puntos de segmentacin de red, los sensores de intrusin-deteccin en los puntos de acceso, las zonas DMZ, as como otras reas susceptibles, y los motores de deteccin de vulnerabilidad colocados donde puedan evaluar un mayor nmero de subredes. Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio

Ecosistema macro de TI

Internet

Enrutador de borde

Sensor de intrusiones

Red interna

Sensor de intrusiones

Enrutador interno Zona DMZ Web Firewall externo Firewall interno

Figura 1. Ecosistema macro de TI con controles Este nivel macro de la infraestructura de TI se caracteriza por varias consideraciones importantes para los profesionales de la seguridad de TI: Hosts: cada servidor y dispositivo de red representan un sistema que deber ser configurado, gestionado y protegido. Cada uno de estos sistemas se pueden comportar de forma un tanto independiente respecto a los otros. Redes: la planificacin y el diseo de las redes se deben realizar de modo que admitan el volumen de trfico dentro de la infraestructura y deben segregarse para permitir el mximo control sobre los puntos importantes de conexin. Servicios y aplicaciones: los servicios y las aplicaciones que residen en los hosts interactuarn con los otros sistemas y aplicaciones de varios modos. Comportamiento: la suma total de todos los sistemas que interactan dentro de un entorno de red conduce a modelos y tendencias de comportamiento que se pueden y deben supervisar.

Aunque se trata de una visin simplificada de los aspectos del entorno que se deben tener en cuenta, se destaca el hecho de que resulta difcil analizar la seguridad de la informacin en el nivel macro, ya que existen diferentes elementos en movimiento que hay que proteger. Debido a esto, resulta beneficioso disear una estrategia de seguridad en el nivel micro, donde cada sistema de host es un ecosistema en miniatura en s mismo y donde los profesionales de la seguridad puedan ejercer un nivel mayor de control. De hecho, aunque el tiempo de respuesta se puede reducir a medida que los ataques se encuentran ms cerca del host, el grado de control para proteger el sistema y los datos realmente aumenta, tal y como se muestra en la Figura 2.

Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio

Figura 2. El control de seguridad aumenta a medida que se encuentra ms cerca del host La mayora de plataformas y sistemas tienen un nmero de atributos comunes: Conexiones de red: puntos de acceso y de salida Sistemas de archivos Usuarios, grupos y roles/permisos Servicios o aplicaciones que se ejecutan en el sistema o dentro del mismo Componentes de plataformas como claves de registro, as como parmetros y archivos de kernel

Interfaz de red

Procesos y aplicaciones Procesos y aplicaciones Procesos y aplicaciones Sistema de archivos

Usuarios y grupos

Componentes de plataforma

Figura 3. Ecosistema micro de TI (hosts) Adems, los entornos de TI ms grandes presentan un grado de homogeneidad o similitud con otros sistemas. Pueden existir hasta seis compilaciones de Windows estndar diferentes para equipos de sobremesa, pero estas seis compilaciones representan la configuracin de 30.000 estaciones de trabajo de forma global. Existen estndares parecidos para los servidores Web, los servidores de archivos, los enrutadores, los switches, etc. Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio

Examen de los ataques a ordenadores

Existen varias categoras importantes de ataques contra ordenadores y redes: Vulnerabilidades de seguridad de servicios y aplicaciones: las vulnerabilidades del cdigo de los servicios o las aplicaciones de plataformas que residen en stas aparecern localmente o de manera remota. Esto garantiza el acceso de los usuarios malintencionados a los datos y les proporciona un punto central desde donde pueden efectuar ms ataques dentro de la red. Denegacin de servicio (DoS): podr ser local o basado en la red. En caso de ataques por DoS local, un usuario malintencionado intenta consumir todos los recursos disponibles en un sistema, anulando la disponibilidad de ste. En un ataque por DoS basado en red, la capacidad de la red se ve reducida por grandes cantidades de trfico. Otro caso relacionado, son los ataques locales o remotos especficos contra dispositivos de red, que impiden el flujo de trfico a travs de ellos.

Ataques pasivos: los ataques pasivos se centran principalmente en la recopilacin de informacin. Espiar el trfico de red y encaminar las comunicaciones a travs de un intermediario (MiTM, manin-the-middle) son ejemplos de ataques pasivos. stos se aprovechan despus para ejecutar ataques adicionales excepto en el caso de intercepcin y robo de datos intencionados, ya que en esta situacin un ataque pasivo podra satisfacer el objetivo completo. A pesar de que, efectivamente, existen otros tipos de ataques, la mayora de ellos derivan de estos tres tipos enumerados anteriormente. Al revisar estos tipos de ataques, la mayora de ellos (excepto los ataques de DoS basados en red) tienen un aspecto en comn: se centran en el host. El host es el lugar donde se almacenan los datos, se ejecutan las aplicaciones y los servicios, y es ms probable que se produzcan vulnerabilidades. La manipulacin del trfico de red en trnsito es posible, pero sencillamente implica que un usuario malintencionado tiene libre acceso a los enlaces de red, quizs porque ha obtenido acceso a un switch o por otros medios. Un usuario malintencionado que haya evitado los controles de acceso de red para entrar en el ecosistema de red no se puede ocultar en la red, es sencillamente imposible. Debe existir un punto de destino que arriesgue la seguridad y proporcione proteccin al usuario malintencionado. Adems, a menos que la DoS sea el propsito, de alguna forma, el objetivo de un atacante siempre estar dirigido a un host: los datos a una base de datos o los datos almacenados en un sistema de archivos, las cuentas de usuario que proporcionan acceso a los hosts, el acceso a las aplicaciones, etc.

Control y supervisin de hosts

Teniendo en cuenta los tipos de permetros definidos anteriormente, as como la tendencia de los ataques centrados en host, los profesionales de la seguridad de la informacin deberan intentar primero ocuparse de los ecosistemas micro en sus entornos. Mediante el control y la seguridad eficaces de cada host, los equipos de seguridad pueden garantizar que los sistemas, las aplicaciones y los datos estn protegidos lo ms cerca posible de la fuente. Esto parece pasar desapercibido ante las mejores prcticas de seguridad con eficacia probada, sin embargo, no deberamos centrarnos en las medidas de seguridad, siempre que sea posible, para proporcionar ms tiempo para la reaccin y deteccin? Aunque las medidas de seguridad de red tradicionales son un componente vital de la estrategia de la seguridad global en cualquier organizacin, la respuesta es negativa. Debemos centrarnos en primer lugar en la seguridad y el control de los hosts. Ya en 2004, John Pescatore de Gartner escribi que las plataformas crticas para la empresa requieren una seguridad basada en los hosts para proteger el permetro empresarial de expansin. 1 El permetro sigue expandindose, por tanto, por qu esto no se ha convertido en una mxima a seguir? La razn principal de que la configuracin, la seguridad y las prcticas de supervisin efectivas basadas en host no sean frecuentes es sencilla: creemos que es difcil. Es mucho ms fcil colocar varios servidores de seguridad y sensores de deteccin contra la intrusin en puntos de nuestras redes, asegurarnos de que puedan ver el trfico, ajustar un poco el conjunto de reglas y despus supervisar una consola. Asegurar decenas o cientos de hosts? Creemos que es mucho ms difcil. Adems, el nmero de elementos de configuracin (CI, en lenguaje ITIL) para un sistema operativo o aplicacin actual puede ser desalentador. Un servidor de Windows sencillo tiene ms de 80.000 botones que se pueden activar o desactivar. Cmo podemos gestionar todas estas opciones?
1

Its Time for Host-Based Security Platforms, http://www.gartner.com/DisplayDocument?doc_cd=119940

Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio

La respuesta es la gestin de configuraciones. Existen varios componentes principales para una estrategia de gestin de configuraciones slida: Un agente de sobrecarga baja en cada sistema: aunque a nadie le gustan los agentes, tener acceso local libre a todos los recursos del ecosistema del host es crtico para la visibilidad y el control de cada elemento de configuracin del host. Normativa: intentar decidir exactamente cmo configurar cada host y aplicacin puede suponer una enorme tarea. Por este motivo, es importante aprovechar la existencia de la normativa de mejores prcticas como las del Center for Internet Security 2 y Defense Information Systems Agency (DISA) 3 , y las directrices especficas para proveedores como Microsoft, VMware y otras empresas. Revisiones Software (Parcheado): un mecanismo de revisin (parcheado) automatizado y sencillo es una de las piedras angulares de la vulnerabilidad y de las disciplinas de gestin de configuracin. Simplemente hay demasiadas vulnerabilidades en la mayora de los paquetes de software modernos para dejar este problema en manos de la suerte. Descubrimiento: el ecosistema macro es dinmico, en cambio constantemente. Para mantener un inventario razonable de hosts, es necesario algn tipo de mecanismo de deteccin o descubrimiento para garantizar que los hosts se identifiquen rpidamente y se sometan a una gestin centralizada lo antes posible. Gestin de cambios: la primera causa de problemas e incidentes en las organizaciones es el cambio no planeado. Esto se puede deber a infecciones por malware, fallos de equipos, una accin maliciosa deliberada o simplemente a que alguien con prisa evite los procesos de gestin de cambios aprobados. Cualquiera que sea el caso, la integracin de la gestin de configuraciones en un flujo de trabajo de gestin de cambios bien definido permitir a los sistemas y a los administradores de sistemas mantener los cambios que supuestamente deberan ocurrir, al tiempo que se evitan rpidamente y anulan aquellos que no deberan haber ocurrido.

Control y supervisin centralizados: sin la capacidad de gestionar de manera centralizada todos los detalles de configuracin de host, la cuestin de cmo gestionaremos de manera eficaz los ecosistemas micro se convierte en un problema. Por tanto, todos los agentes de sistemas locales deberan informar a un sistema central donde los administradores puedan controlar el estado del host, identificar los elementos de configuracin que estn fuera de la normativa o que no coinciden con las polticas y realizar estos cambios desde el interior de la consola. Esta consola se debera integrar con los sistemas de gestin de cambios para garantizar una continuidad de las acciones en el entorno macro. Se podran enumerar muchos ms aspectos de la gestin de la configuracin, pero estos son los principales que conciernen a la seguridad de la informacin. Por ejemplo, si se lanza una nueva vulnerabilidad de seguridad que pone en peligro los sistemas que no disponen de una revisin determinada de Microsoft Windows, es ms prctico para los equipos de seguridad detectar aquellos sistemas que no tengan la revisin ni la configuracin correctas en una consola que esperar a que se detecten los intentos de la vulnerabilidad en la red. Con una solicitud, todos los hosts podran informar de si se ha establecido correctamente el elemento de configuracin especfico permitiendo a los profesionales de la seguridad implementar estos cambios y proteger todos los hosts. Si nos centramos ms all del permetro de red, se podrn detectar o bloquear estos intentos de ataques pero, qu sucede si la vulnerabilidad sigue cambiando? Es mucho menos efectivo mantener actualizadas las firmas de intrusiones de redes que simplemente buscar y solucionar el problema a nivel de host. Nos gustara resaltar de nuevo que la intencin no es disuadir a nadie de implementar medidas de seguridad para las redes, sin embargo, centrarse en ello sin tener en cuenta el host, es una batalla perdida.

http://www.cisecurity.org http://www.disa.mil/

Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio

Conclusin
Como parte de una estrategia completa de seguridad para la infraestructura, es importante asumir que el objetivo principal de todo programa de seguridad es proteger la informacin confidencial. Dicha informacin, aunque sea posible interceptarla o modificarla en trnsito, en gran parte se mantiene y accedemos en los sistemas de host; as que, la necesidad de disponer de un programa slido de gestin y seguridad para la configuracin basada en host es primordial. El nmero de controles que se pueden implementar y modificar en cada host aumenta a un ritmo constante a medida que aumenta la complejidad de las plataformas. Esta flexibilidad tambin presenta un inconveniente: los administradores y los profesionales de la seguridad tienen que mantenerse actualizados en cuanto a las mejores prcticas sobre configuracin y mantenimiento de las miles de opciones disponibles en cada sistema. Una vez establecida una estrategia para asegurar y configurar los hosts, el centrarse en los ecosistemas micro de TI dentro del entorno aportar beneficios ya que permitirn que se implementen controles de seguridad ms exhaustivos. Aunque puedan disminuir los tiempos de respuesta a los ataques tradicionales (en el supuesto de que las herramientas de seguridad de permetros y redes fallen), en la mayora de los casos, no tendr importancia si los sistemas disponen de las ltimas revisiones y estn configurados correctamente.

Beneficios de la seguridad de informacin basada en host Conceptos Tecnolgicos y Consideraciones de Negocio