La seguridad en la red
Desde las infecciones iniciales de “Brain” propagadas en disquetes hasta el ataque más complejo perpetrado por una APT en la actualidad se han sucedido en el tiempo en una guerra eterna entre los ciberdelincuentes o ciberatacantes y los que se dedican a poner freno a estos ataques, entre ellos analistas de malware, programadores, científicos de datos… En este post vamos a ver cómo unos y otros han hecho avanzar la tecnología para evitar ser víctimas de malware o intrusiones, pero primero debemos tener claro dos conceptos;
¿Qué es un endpoint?
Cualquier dispositivo final como un portátil o un teléfono de trabajo. Sin embargo, en la actualidad y debido a la explosión del internet de las cosas, podemos considerar endpoints casi a cualquier dispositivo, como por ejemplo un termostato conectado en línea, o ese frigo “tan cool” que tenemos en la cocina.
¿Cuál es la importancia de los endpoint?
Son el punto de entrada más fácil a la red, ¿Por qué intentar burlar un firewall para acceder a la red si consigo directamente acceso a un dispositivo final? El principal vector de ataque de los endpoint ha sido tradicionalmente el de la ingeniería social. La cantidad de sitios a la que necesitamos conectarnos en nuestro día a día no para de aumentar, y todavía se abre otro abanico más amplio con la temática de la pandemia, multiplicándose así los posibles vectores de entrada y por tanto aumentando el riesgo al que estamos expuestos.
¿Qué es un firewall?
Como su nombre indica, el corta fuegos es el sistema que decide qué deja pasar y qué no. Podríamos considerarlo el <> de nuestras redes.
Cuando las redes comenzaron a conectar a internet no había ningún tipo de control sobre la red. No existía ese portero de discoteca y se permitía pasara todo el mundo.
Primera generación de defensas
Inicialmente bastaba con insertar un disquete, cd o USB infectado para infectar un endpoint. Para combatir esta situación nacieron los antivirus de primera generación o “basados en firmas”. Éstos se basan en buscar “huellas digitales”, o firmas de los virus. Si encontraban coincidencias con su base de datos entonces eliminaban o ponían en cuarentena el programa sospechoso. Además, para evitar conexiones a sitios maliciosos o páginas donde fuera posible contraer malware surgieron los primeros firewalls de filtrado de paquetes. Éstos contaban con reglas de filtrado basadas en dirección de red origen y destino, protocolos y número de los puertos. Eran los únicos parámetros que usaban la primera generación de firewall para decidir si permitíamos pasar el tráfico o no.
Defensas de segunda generación
Con la expansión de la redes domésticas y por supuesto la interconexión a internet de los ámbitos profesionales, se multiplicaron los vectores de entrada, el phishing comenzó a ser un vector de entrada muy atractivo, pero también le siguieron sitios web infectados, llevar dispositivos personales al trabajo y las redes sociales, elementos que en conjunto pasaron a multiplicar las posibilidades de ataque y pasar de aparecer decenas de miles de malware en un año a cientos de miles de malware en un día.
Pronto la primera generación de defensas quedó obsoleta ante las nuevas técnicas de ataque. Si no fuera suficiente con una superficie de ataque que no hacía más que crecer también tuvimos que enfrentarnos al <<malware polimórfico>>.
¿Qué es el malware polimórfico?
Es un tipo de malware que consigue adaptar y variar su comportamiento por el mismo, sin la interacción de ningún otro elemento, de esta forma los antivirus de primera generación no encontrarían patrones comunes en sus bases de datos con los nuevos comportamientos y éste pasaría a realizar sus funciones dañinas sin ser detectado.
EPP (Endpoint Protection Platform)
Para poner una solución se tuvieron que crear las EPP (Endpoint Protection Platform). El principal objetivo de las EPP era bloquear el malware antes de que se ejecutara en el dispositivo, para ello contaba con antivirus basados en firmas, firewall de dispositivos, filtros de contenido web, protección mediante cifrado y un control sobre dispositivos que permite analizar dispositivos extraíbles, como un pen-drive, antes de cargar y ejecutar alguno de sus archivos.
Firewall basado en estados
Mientras tanto los firewalls de primera generación mantenían un enfoque único, y se veía cómo eran fácil de burlar, por ejemplo mediante inyección de paquetes falsos a través de puertos aceptables o aprovechando errores de una aplicación con tráfico legítimo. Esto derivó en la segunda generación de firewall, lo que conocemos como el «Firewall basado en estados». A diferencia de sus predecesores, éstos analizaban la conversación entre los dispositivos, si se detectaba alguna anomalía se desconectaba la comunicación. Sin embargo, aunque suponían una mejora sustancial seguía sin solucionar el tráfico malintencionado a puertos legítimos con protocolos legítimos.
Firewalls de tercera generación
A pesar del avance que supusieron las EPP y la segunda generación de firewall, fue insuficiente. El control de contenido web permitía a los administradores de sistemas denegar el tráfico a ciertos sitios que son conocidamente maliciosos, pero los malware pueden venir también a través de sitios legítimos y pestañas publicitarias que podemos encontrar en cualquier sitio . Sumado a este problema, el uso de HTTP para contenido de texto, comercio electrónico, alojamiento de archivos, aplicaciones web… la explosión del HTTP o el boom de la “world wide web” empeoraba este problema. Surge entonces la necesidad de analizar más en profundidad los datos de cada comunicación, aunque seguía siendo basado en estado, aparece entonces el firewall de tercera generación que era capaz de diferenciar el tráfico en la capa de aplicación, pudiendo distinguir qué tráfico estaba pasando a través de él (una red social, un e-commerce, detalles de los mismos, etc.).
EL EDR (Enpoint Detection and Response)
Aun con estas mejoras, el resumen hasta ahora es que es imposible predecir por dónde puede venir un malware, hay que asumir que puede venir por cualquier vía y que es imposible controlar todos y cada uno de los malware que aparecen cada día. Por eso el entorno de la ciberseguridad tuvo que idear una nueva solución, hablamos de una solución de nueva generación: El EDR (Endpoint Detection and Response).
Seguro que el termino os suena, cada vez más los especialistas en ciberseguridad optan por esta solución para la protección de los endpoints, son soluciones de vanguardia y el futuro de la ciberseguridad más inmediata, pero…
¿Qué es un EDR?¿Por qué es diferente de un antivirus?
EPP te deja entrar en el equipo o no, es una primera línea de defensa que protege el perímetro, en cambio el EDR monitoriza el comportamiento del sistema detectando anomalías y bloqueando cualquier comportamiento indebido. EPP es PREVENTIVO y el EDR es PROACTIVO. Podríamos decir que el EPP necesita conocer el malware para detectarlo y prevenirlo, mientras el EDR puede actuar contra malware no conocido gracias a IOCS, mecanismos de inteligencia artificial, análisis del comportamiento e inteligencia frente ciberamenzas (CTI).
El EDR pone el foco, como su nombre indica, en buscar e identificar posibles ataques para actuar sobre ellos, se basan en indicadores de compromiso o IoC, son capaces de actuar de forma proactiva, bloqueando no solo programas, si no tareas, servicios… además de hacer uso activo del sandboxing (realizar pruebas en un entorno aislado y estudiarlo antes de que el endpoint ejecute la acción, todo esto a tiempo real) para combatir los ataques de ZeroDay (ataques que explotan vulnerabilidades desconocidas) y además generan gran cantidad de información para realizar nuestras propias investigaciones forenses o mejorar el comportamiento de nuestra red.
Anteriormente un malware podía estar trabajando durante meses o años en algunas organizaciones. Con un entorno EDR podemos detectar ataques en curso a tiempo real además de tener herramientas de contra medidas que nos permiten bloquear direcciones IP/MAC , aislar hosts comprometidos, obtener más información, bloquear tareas concretas… entre otras actividades.
Por lo que parece, el EDR es una solución real a los problemas de ciberseguridad actual, sin embargo, la primera generación de EDR requiere monitoreo continuado, detecta muchos falsos positivos y puede ser difícil de gestionar.
Una vez más el sector de la ciberseguridad ha dado respuesta a esta problemática mediante una segunda generación de EDR a través del MDR (managed detection and response), una plataforma centralizada que permite automatizar toda la gestión de los endpoint mediante políticas y actuaciones automatizadas, lanzando análisis a todos ellos desde un único sitio, tomando actuaciones sobre ellos desde este entorno centralizado y minimizando la interacción humana necesaria para controlar un entorno EDR una vez configurado, podemos configurar alertas si se detectan “x” comportamientos y pueden prevenir y revertir los ataques de ransomwere a tiempo real incluso regresar un endpoint a un estado anterior y seguro entre otras muchas de sus virtudes.
Las soluciones EDR suelen requerir personal técnico que supervise la cantidad de telemetrías, avisos y notificaciones que estos entornos producen para así priorizar actuaciones y comprender mejor nuestro entorno de red.
Las EPP y la EDR no son sustitutivas, si no complementarias. Lo ideal, en mi opinión, es buscar soluciones muy potentes de EDR que incluyan los servicios de una EPP, como por ejemplo los servicios de forticlient (Legitec es partner de Fortinet) que aúnan ambas funcionalidades en un mismo cliente, facilitando el despliegue y configuración.
Entre otras de sus virtudes, el entorno EDR nos ayuda a higienizar nuestra ciberseguridad, por ejemplo alertándonos cuando un equipo no haya aplicado su último parche de seguridad, lo que ayudará mucho al sector de IT a mantener el control de sus activos.
¿Y los firewall se quedaron en la tercera generación? ¿Que es un NGFW?
Pues no, para dar una respuesta a la altura surgieron los NGFW o firewall de última generación. En los últimos años los firewall han seguido avanzando, además de lo que hemos visto anteriormente, en cada paquete un firewall, según la regla, permite o deniega el tráfico, en caso de permitirlo realiza una inspección profunda para inspeccionar su contenido, si hay elementos sospechosos pueden enviar este contenido a un sandbox para protegernos de zerodays, brindando así una capa de seguridad adicional.
También pueden discriminar por dispositivos y usuarios, flexibilizando las reglas para que seamos tan granulares como queramos, garantizando la ley de acceso mínimo para cada entidad de nuestra red, minimizando así la superficie de ataque.
Permiten una inspección de alto rendimiento con una mayor visibilidad de la red, para ser conscientes de todo lo que pasa en nuestro entorno, y resoluciones DNS a servicios que cuentan con listas negras de malware, botnets, spam… que se actualizan dinámicamente gracias a la IA de los dispositivos desplegados por todo el mundo, asegurándote de que, aunque sea por error o descuido, un usuario no puede acceder a un sitio malicioso.
Además de esto, incorporan otras muchas funcionalidades de seguridad como Anti-malware (anti-virus, anti-spyware, anti-spam), IPS (Sistema de Prevención anti Intrusiones), VPN (Red Privada Virtual), entre otras. Soluciones completas que a través de un análisis exhaustivo del tráfico de su red permiten detectar y minimizar riesgos activos, problemas de seguridad, actividades sospechosas, fugas de datos (gracias a los DLP), etc.
En definitiva, en mi opinión, invertir en un firewall NFGW y un entorno EDR es garantía de estar a la última en ciberseguridad, de dotar a tu organización de todas las armas disponibles y sobre todo de invertir en tranquilidad.
En Legitec podemos ayudarte a decidir la mejor opción en ciberseguridad para tu organización y recomendarte el Firewall + solución EDR que mejor se adapte a tu organización. No dudes en consultarnos cualquier duda que te surja al respecto.
Estaremos encantados de ayudarte.
Alejandro Cano
Consultor y Auditor de Legitec Ciberseguridad
