La gestión del rendimiento de las aplicaciones alcanza la madurez

3. La seguridad.

La mayoría de las herramientas de seguridad se centran en la prevención: acceso no autorizado, actividad no deseada y demás. Pero para evitar un peligro, primero tenemos que saber que ese peligro existe. Necesitamos poder detectar aquello que es desconocido e inesperado.

Sencillamente, con amenazas cada vez más numerosas y precisas, no podemos seguir confiando en las herramientas estáticas de firmas que toda la industria utiliza y que cubren las vulnerabilidades ya conocidas. Estas medidas defensivas, como cortafuegos, IDS/IPS (sistemas de prevención y detección de intrusos), etc. siguen siendo necesarias, por supuesto, pero resultan insuficientes por sí mismas, ya que no pueden hacer frente a ataques desconocidos como los que se producen internamente.

Por este motivo, analistas como Gartner recomiendan a las empresas que se replanteen sus prioridades y su inversión en seguridad para estimular la parte de detección y monitorización (1). El problema es que en la mayoría de los casos no podemos recurrir a los foros externos de información, sino que tenemos que averiguar por nosotros mismos qué es lo que está amenazando a nuestra red. Requiere un gran esfuerzo reducir los mensajes de error, ajustar los sistemas de detección de intrusos para que se adapten al entorno local y añadir el contexto necesario.

Es en estos casos donde los sistemas de análisis de comportamiento pueden suponer una valor añadido importante. Interesa detectar los comportamientos inusuales de la red, comportamientos que pueden indicar que hay un problema de rendimiento en una aplicación o una brecha de seguridad o de su política, por ejemplo. Para la detección de estas anormalidades, el uso de una herramienta de análisis es fundamental.

En definitiva, se demuestra que la convergencia entre las redes y las operaciones de seguridad es una realidad. Ambas son ya inseparables. La seguridad debe ser intrínseca a la red, no algo que se añade o en lo que se piensa después. Y Cascade ofrece una solución que se encarga de las dos.

Detectar amenazas

Los motores de análisis de comportamiento Cascade Detecting Thread monitorizan y analizan el tráfico de la red, en busca de situaciones que pudieran indicar un abuso de la misma u otros problemas, quizás incluso un ataque de día cero. Sirvan como ejemplo los casos en los que el servidor envía demasiadas peticiones o trata de conectarse a Internet en medio de la noche. Lo que hace Cascade es añadir una capa más de seguridad, ya que además de detectar los ataques conocidos en el escaneo antimalware, ayuda a encontrar vulnerabilidades y amenazas aún no catalogadas, incluso antes de que la red sufra las consecuencias del ataque o una pérdida significativa de información.

Cascade reconoce cuál es el comportamiento normal de una red y después monitoriza el tráfico que tiene para ver si hay algo que ha cambiado o que se sale de lo que ella considera normal. En vez de limitarse a utilizar un indicador de referencia de los que existen en el mercado para calificar el comportamiento normal, su capacidad de aprendizaje le permite identificar ciclos dentro del comportamiento de la red e incluirlos en los ciclos normalizados que resultan del funcionamiento periódico de la aplicación. Porque es cierto que nadie quiere ver alertas de seguridad cada vez que el sistema inicia su copia de seguridad semanal, por ejemplo.

Sin embargo, si un servidor que suele utilizarse poco empieza a propagar muchas peticiones o si un anfitrión interno realiza una llamada a un servidor de Internet, Cascade sospechará que puede haberse producido el ataque de un gusano o troyano. Las brechas en la política de seguridad del sistema, como sucede cuando el tráfico de la aplicación de la empresa utiliza el puerto 80 de la Web en vez de usar como cortafuego uno de los puertos de seguridad, puede también hacer sonar las alarmas. Los responsables de seguridad de red utilizarán después sus herramientas de gestión para bloquear o poner en cuarentena el tráfico, o para aplicar un filtro o una lista de control de acceso.

Amenazas más buscadas

Existen tres comportamientos de la red que podrían ser una amenaza para la seguridad:

– Paquetes de protocolo demasiado cortos, con opciones ambiguas o que no cumplen con los protocolos de aplicación específicos. Pueden significar ataques al servidor anfitrión.

-Amenazas basadas en tasas, como aumentos desmesurados del tráfico, que suele significar un ataque de denegación de servicio.

-Amenazas relacionales o de comportamiento. Implican cambios en la manera en la que los anfitriones o los grupos de anfitriones interactúan en una red. Esto puede indicar una gran variedad de problemas, como malware o abuso interno.

Como Cascade busca cambios en el comportamiento de la red en vez de centrarse en ataques con nombre específico, es capaz de identificar los ataques de día cero que aún carecen de nombre, así como los abusos de red internos y las violaciones de las políticas de seguridad. El método de aprendizaje de Cascade le hace también ser menos propenso a recibir mensajes de error, lo que a su vez hace que requiera poco mantenimiento, a diferencia de otras tecnologías de seguridad tradicionales.

Un reto para todos

Cascade ayuda a desplegar una red segura incluso en los centros de trabajo remotos. En lugar de desplegar agentes de software por todos los servidores anfitrión (tarea que por otro lado resulta extremadamente cara y difícil porque una red distribuida grande puede tener decenas o incluso centenas de sitios) o instalar sensores IDS/IPS en cada lugar remoto, Cascade utiliza la infraestructura de red ya existente. Esto se consigue utilizando simplemente el flujo de datos que llega del router del sitio o del dispositivo de optimización WAN Steelheadde Riverbed colocado allí.