Tendencias en Seguridad de red para 2010 y 2011

El objetivo principal de los cibercriminales es encontrar maneras de “apropiarse indebidamente” de las empresas y los usuarios para su propio beneficio, cuya motivación puede ser financiera o publicitaria, incluso. En este sentido, una de las amenazas más comunes utilizadas por los hackers es el ataque basado en la no vulnerabilidad. Hoy en día, el cibercrimen no explota vulnerabilidades conocidas o desconocidas, sino que utilizan las transacciones de las aplicaciones para su actividad maliciosa, por lo que no se detectan mediante las herramientas estándar de seguridad de red. Algunos ejemplos este tipo de ataques son aquellos cuyo objetivo es derrotar a un esquema de autenticación de negocios. Pero también las inundaciones de páginas HTTP, procedentes de botnets y de los recursos del servidor de aplicaciones, así como el hackeo de aplicaciones web que escanean una página web en busca de vulnerabilidades.

Hace ahora un año, los ataques cibernéticos a páginas gubernamentales y comerciales de EEUU y Corea del Sur nos recordaron además que los ataques DDoS son una gran amenaza para la industria online: tanto para el e-commerce como para infraestructuras críticas y para los gobiernos. Algunos ejemplos de este tipo de casos en los últimos dos o tres años han sido el cierre de servidores de juego (2007), ataques de denegación de servicio en Estonia (2007) y Georgia (2008) o el ataque protesta por las elecciones en Irán el año pasado. Para lo que queda de 2010 y para 2011, esperamos experimentar ataques DDoS en la misma línea que entre 2007 y 2009. Sin embargo, la magnitud de los ataques será diferente. En 2009, el volumen en ataques de este tipo alcanzó un par de Gigabits. En 2010 y 2011, se esperan ataques por encima de 10 gigabits.

Los nuevos tipos de ataques, incluyendo el uso indebido de aplicaciones, están siendogenerados por direcciones IP reales, aunque sin ser los usuarios reales. Este tipo de actuación, que se conoce como usuario “artificial”, impacta directamente en las empresas con negocio online, tanto con ataques DoS en la capa de aplicaciones avanzadas como en la inteligencia competitiva, como ataques a casinos online, clicks en anuncios publicitarios, Spam, actividades SPIT (spam en teléfono por Internet), o el mal uso de la memoria de aplicaciones y los recursos del CPU que tengan un efecto negativo inmediato en los ingresos de la empresa.

La protección de la empresa: seguridad “todo incluido”

Las herramientas de seguridad de red tienden a confiar en la tecnología de detección de firmas. Sin embargo, esta tecnología tiene casi 20 años y fue diseñada para detectar los ataques que explotan vulnerabilidades de aplicaciones conocidas. Pero los criminales de hoy son demasiado inteligentes: el despliegue de sus ataques están basados en no.vulnerabilidades y en ataques de nivel de aplicación que no pueden ser detectados por la tecnología de firma estática.

Por lo tanto, la solución pasa por emplear tecnología de análisis de comportamiento que crea una base de usuarios normales, con las transacciones de aplicaciones y el comportamiento de ancho de banda de red. Un motor de comportamiento tiene la capacidad de detectar, en tiempo real, los ataques que ejecutan un uso indebido de las aplicaciones, así como los  recursos de red o la explotación de nuevas vulnerabilidades de la aplicación. A continuación, crea automáticamente una firma en tiempo real que detecta con precisión el patrón de ataque, para filtrar la actividad maliciosa, sin que se bloquee el tráfico de usuarios legítimos para no afectar a la disponibilidad de los servicios a través de Internet.

Como la mayoría de las empresas dependen de las aplicaciones web para generar sus ingresos, también es esencial implementar un Web Application Firewall (WAF). El WAF complementa la detección de firma estándar para prevenir la conocida manipulación de aplicaciones y la tecnología de análisis de comportamiento (NBA) que impide los ataques basados en lo desconocido y en la no vulnerabilidad. El WAF protege contra los ataques web más comunes, tales como la vulnerabilidad de aplicaciones web, cross site scripting (XSS) y SQL Injection mediante la detección de uso de la aplicación anormal.