Muchas compañías están prohibiendo a sus empleados utilizar en el lugar de trabajo aplicaciones de mensajería instantánea, acceso a las cuentas personales de correo como Yahoo o Google mail y programas para bajar música y video, para protegerse ante las amenazas de seguridad como epidemias de gusanos y virus. Y es que estos ataques figuran hoy entre las violaciones a la seguridad más comunes en las empresas. Un servidor, un computador portátil o un PDA están expuestos a gusanos y virus en cualquier momento, y pueden propagarlos fácilmente a través de toda una organización.
Infecciones como MyDoom, Blas-ter, Sasser, SQL Slammer, y SoBig han desestabilizado aplicaciones corporativas, web sites, bancos y aerolíneas, y han mostrado lo vulnerables que son las compañías a los ataques. Estos ataques están aumentando en severidad, velocidad y cantidad, dejando a las compañías con la necesidad de contar con mayores recursos de seguridad. Lo anterior, pues pueden costarle a las compañías mucho más que las ventas perdidas o que la productividad de sus empleados. Algunos gusanos y virus pueden dejar puertas abiertas en los computadores personales, las cuales se utilizan para robar información o usar los equipos infectados como ‘zombies’ para propagar más virus, spam u otros ataques. Muchos gusanos actualmente en circulación, por ejemplo, fueron diseñados para generar ataques distribuidos de denegación de servicio (DoS).
Por otro lado, las amenazas a la se-guridad están cambiando constantemente, lo que exige a las defensas adaptarse y cambiar con ellas. En la medida en que la conectividad es cada vez mayor y el ancho de banda aumenta, la dispersión de gusanos y virus ocurre a un ritmo más veloz, complicando el problema. El gusano Blaster/Lovsan infectó a más de 1,4 millones de servidores en el mundo entero, alcanzando los 138 mil infectados a sólo cuatro horas de su liberación.
Los antivirus instalados en los computadores personales y servidores hacen un buen trabajo previniendo gusanos y virus conocidos, pero los ataques nuevos o no conocidos (de día cero) pueden penetrar estas defensas. Por eso, tener un software antivirus es un buen comienzo, pero no resulta suficiente.
Una protección completa
Para impedir efectivamente las alteraciones causadas por ataques de gusanos y virus, las organizaciones deben:
• Proteger los puntos finales: Gusanos y virus atacan a las aplicaciones que corren en computadores de escritorio, servidores y otros puntos finales de la red. Aún cuando los antivirus y los firewall son efectivos contra las amenazas con firmas reconocibles, esto no suele ser suficiente. Hay soluciones que comprueban el comportamiento del dispositivo para identificar y prevenir comportamientos maliciosos o anómalos en los puntos finales. Es una solución que analiza el comportamiento del sistema, y que puede eli-minar tanto los riesgos conocidos como los no conocidos, de acuerdo con el comportamiento de sus aplicaciones.
• Controlar la Admisión a la Red: Esta funcionalidad permite habilitar el acceso a la red sólo a aquellos dispositivos finales confiables y en cumplimiento de las políticas establecidas, y restringir el acceso de los dispositivos que no cumplen con estos requisitos. Esta decisión se basa en la información existente acerca del dispositivo, como su estatus antivirus y el nivel de parches de su sistema operativo.
• Limitar el contagio de la infección: Algunas veces, y a pesar de los esfuerzos de una organización, un gusano o virus entra en la red. Dado que los virus y gusanos de hoy en día se esparcen muy velozmente, es necesario tener una respuesta rápida y automatizada para defenderse de ellos. Esto sólo es posible a través de capacidades de seguridad integradas dentro de la red misma.
• Encender alarmas: Sin una identificación y reacción instantánea ante la epidemia, una red puede ser derribada en minutos. Los sistemas de prevención y detección de intrusio-nes basados en red logran identificar, clasificar y frenar el tráfico malicioso en tiempo real y con exactitud. Una red con inteligencia apropiada puede analizar todo el tráfico que la atraviesa, reconocer un ataque, evaluar su severidad, encender las alarmas apropiadas que alerten a los administradores y tomar acciones correctivas.
• Segmentar la red en ‘islas’ de seguridad: Los firewalls se usan tradicionalmente en el perímetro de la red de una organización, como puede ser una conexión a Internet, para prevenir tráfico malicioso o innecesario, o incluso impedir que los usuarios entren a la misma. Son igualmente útiles para proteger la red interior. Los firewalls pueden ser configurados para reconocer y bloquear gusanos conocidos y puertos que no deberían ser usados en segmentos particulares de la red. Cuando se produce un ataque de gusanos o virus, los firewalls previenen la expansión de la infección por medio de la segmentación de la red interna en islotes de seguridad.
• Monitorear y administrar el estado de seguridad de la red: En redes grandes y distribuidas, una visión consolidada de todos los dispositivos, de red y de seguridad, y de los servicios de seguridad, permite al equipo de TI monitorear eficien-temente la red otorgándole información en tiempo real de su estado.
Todas estas funcionalidades y medidas posibilitan trabajar la seguridad de redes a nivel de sistema, de manera colaborativa entre todos los dispositivos y adaptándose a las amenazas presentes y futuras.
Agosto de 2006
