El control de ejecución de programas como garantía de seguridad en las redes. Parte 1

Introducción

La seguridad de las redes corporativas es uno de los problemas más agudos de las compañías modernas. Los programas maliciosos causan pérdidas significativas a los negocios de las compañías y su reputación queda comprometida. Las compañías especializadas en seguridad TI ofrecen diferentes soluciones de alto precio, pero en muchos casos su implementación conduce a un aumento significativo en el coste del servicio y mantenimiento de la red. Pero las soluciones tradicionales no siempre pueden garantizar la protección contra las amenazas desconocidas, sobre todo contra los ataques con blancos específicos.

Este artículo está dedicado al método alternativo de protección de redes corporativas que hemos bautizado como Allowlist Security Approach.

Este método es la continuación del desarrollo de la tecnología de control de lanzamiento y ejecución de programas (Control de Aplicaciones) complementado con una implementación de soporte del modo “Denegado por Omisión” (Default Deny) y la innovadora tecnología de listas de admitidos (Dynamic Allowlist).

En Kaspersky Lab consideramos que Allowlist Security Approach es uno de los elementos clave de los medios de defensa de las redes corporativas del futuro. Los productos que cuentan con este método no sólo son capaces de proteger contra las amenazas desconocidas, sino que también ofrecen a los administradores de redes e ingenieros en seguridad informática medios avanzados de monitorización y control del software, incluso de los programas de terceras compañías (que no tienen relación con el trabajo), los programas indeseables y los que no cuentan con licencias.

Premisas de la búsqueda de métodos alternativos de protección

Cada año la cantidad de nuevos programas crece a pasos acelerados. Para garantizar una protección de calidad a sus usuarios, las compañías antivirus deben analizar con rapidez grandes cantidades de información y cada día procesar terabytes de datos, clasificando decenas de millones de archivos. En lo que respecta a la clasificación, el software se puede dividir en tres categorías: software malicioso conocido, software conocido limpio y software desconocido.

El software que las compañías antivirus no han clasificado unívocamente como limpio o como nocivo se considera desconocido.

Una parte del software desconocido contiene código malicioso y son justo estos programas los más peligrosos para los usuarios y los más problemáticos para los antivirus. Es precisamente de ellos que se deben esperar amenazas, ya que los escritores de virus están todo el tiempo perfeccionando sus técnicas y cada vez aparecen nuevos y nuevos programas maliciosos.

En la mayoría de los casos las compañías antivirus tienen que jugar el papel de perseguidores: después de la aparición de nuevas tecnologías creadas por los escritores de virus hay que esperar la aparición de nuevos métodos de defensa. En el presente, para aumentar el nivel de seguridad no sólo se usan las tecnologías de firmas tradicionales, sino también un nuevo arsenal de nuevas tecnologías de defensa. Son los métodos heurísticos proactivos (tanto estáticos como dinámicos), las tecnologías “en la nube” (cloud), que no sólo brindan una reacción inmediata ante las nuevas amenazas, sino que también expanden la potencia estándar de los sistemas de defensa “de caja” con medios de protección de una gran potencia, que no se podía alcanzar antes de la aparición de la infraestructura de servicios online.

El método tradicional de protección supone el bloqueo de las amenazas conocidas, entre ellas los comportamientos maliciosos conocidos. Pero la historia con los troyanos Stuxnet, Duqu y Flame muestra que las soluciones ofrecidas en el mercado son prácticamente inútiles contra algunas nuevas amenazas y ataques en concreto. La consecuencia es el crecimiento constante de las exigencias de seguridad de las redes corporativas.

En la situación actual, los desarrolladores de software de seguridad TI tienen que buscar soluciones alternativas que pueden aumentar sustancialmente el nivel de protección de las redes corporativas. El método alternativo ofrecido en este artículo, Allowlist Security Approach, no sólo proporciona un nivel de protección que corresponde a las exigencias modernas, sino que también permite a las compañías antivirus dejar de “correr tras la amenazas” y empezar a jugar con sus propias reglas.

Allowlist Security Approach no sólo se basa en nuestros conocimientos de los principios de desarrollo y propagación de las amenazas corporativas, sino también en la comprensión de las necesidades de las compañías clientes y, además, de saber qué medios de protección se necesitan para realizar una solución fiable y al mismo tiempo balanceada. La solución que analizamos a continuación se caracteriza por la simplicidad de su integración y administración. También es importante que su TCO es relativamente barato para el alto nivel de seguridad informática alcanzado.

La realización de este método no sólo exigió la revisión del “paradigma de persecución” vigente durante décadas, sino que también inició una nueva etapa de desarrollo de la tecnología de control de inicio y ejecución de programas (Control de Aplicaciones).

Componentes de los productos de seguridad modernos

Una protección informática fiable exige un enfoque completo. Los medios modernos de protección están conformados por varios componentes, cada uno de los cuales ejecuta una tarea determinada.

Modelo de componentes de los medios modernos de protección

En este modelo se pueden diferenciar cuatro grupos principales de componentes: interceptores, motores antivirus, componente de control de inicio y ejecución de aplicaciones y servicios “en la nube”.

Analicemos las tareas funcionales de cada uno de los componentes.

Los interceptores son ciertos “sensores” que permiten a los productos antivirus integrarse en el proceso del funcionamiento del sistema operativo de tal manera que los otros componentes de la defensa antivirus tengan la posibilidad de revisar los objetos y sucesos en el momento necesario.

En calidad de interceptores funcionan:

• Un driver que se encarga de la intercepción de las llamadas que las aplicaciones hacen a los ficheros. Al interceptar la llamada al fichero, el antivirus puede revisar este fichero en busca de código malicioso o revisar si esta operación está permitida según las reglas de control de actividad de aplicaciones (HIPS). En caso de presencia de código malicioso o de contradicción con las reglas de actividad de las actividades, el driver puede prohibir la llamada al fichero o el inicio de la aplicación.
• El driver de red permite realizar el control de las actividades de red de las aplicaciones (prevención de fugas de datos por la red, bloqueo de ataques de red, etc.).
• Los plugins son bibliotecas (módulos) integrados en aplicaciones populares (clientes de correo, navegadores, clientes de mensajería instantánea, etc.) que aseguran el análisis de los datos transmitidos.

Los motores son los módulos del producto destinados al análisis de los objetos potencialmente maliciosos. Los métodos de análisis pueden ser varios y su lista y nombres pueden ser diferentes según la compañía antivirus que los venda.

Los principales tipos de motores son:

• Los analizadores estáticos permiten detectar objetos maliciosos por cualquiera de sus características estáticas (con más frecuencia esto está relacionado con la estructura de los ficheros de formatos específicos).
• Los analizadores de URLs comprueban si la dirección URL a la que se dirige el usuario o la enviada por correo está en las bases de datos de URLs maliciosas o de phishing y en la base de direcciones URL de determinadas categorías temáticas (componente “Control Parental”).
• Los analizadores heurísticos son una tecnología que permiten con una sola firma detectar una gran cantidad de ficheros maliciosos, entre ellos modificaciones desconocidas de software malicioso, y al mismo tiempo aumentan la calidad de la detección y reducen el tamaño de las bases antivirus.
• Los emuladores son módulos que ejecutan el código del software en un entorno aislado para hacer un análisis posterior de su comportamiento.

En la mayoría de los productos antivirus modernos, uno de los componentes de la protección informática es un conjunto de tecnologías integradas en el componente Control de Aplicaciones. El control de inicio y ejecución de aplicaciones (Control de Aplicaciones) utiliza los eventos de los “interceptores”. El procesamiento de los primeros se realiza con la ayuda de diferentes componentes.

• PDM Módulo de Defensa Proactivo (Proactive Defense Module). Búsqueda y detección de los modelos maliciosos de comportamiento de los programas (secuencias, patrones) según las bases de datos de los patrones maliciosos de comportamiento.
• HIPS (Host Intrusion Prevention System). Análisis de cada acción del programa que pueda representar un peligro potencial (por lo general, acciones muy pequeñas) según una lista de reglas que determinan las acciones permitidas a cada programa. Estas reglas pueden ser diferentes para cada categoría de software. Por ejemplo, los programas “de confianza” pueden hacer “todo” y se puede prohibir determinadas acciones a los “desconocidos y sospechosos”.
• Protección contra exploits. Está destinado a la defensa contra software malicioso que usa las vulnerabilidades de los programas y del sistema operativo.

• EAC (Enterprise Application Control). Inicio de programas de diferentes categorías o versiones de software de acuerdo a diferentes reglas.

La interacción con los servicios “en la nube” (CLOUD Services) permite expandir las posibilidades, tanto de los motores, como de las tecnologías de control de las actividades de los programas. El uso de la nube permite mantener oculta parte de la lógica de análisis (para hacer más difícil a los delincuentes el proceso de ingeniería inversa y la evasión de la lógica de análisis de los programas maliciosos) y reducir el tamaño de las actualizaciones de las bases de firmas y de las bases de patrones de comportamiento en el territorio del usuario o cliente.

El Control de Aplicaciones como instrumento clave en las redes corporativas

En el modelo de componentes descrito más arriba, el Control de Aplicaciones permite hacer una regulación flexible de las actividades de las aplicaciones mediante políticas HIPS originalmente establecidas por los productores de soluciones antivirus. Las aplicaciones analizadas en el contexto del Control de Aplicaciones se dividen en cuatro categorías: seguras, peligrosas, con fuertes limitaciones y con limitaciones débiles. De acuerdo con estas categorías se determina el nivel de limitaciones de las aplicaciones (políticas HIPS). Para cada categoría de aplicaciones se determinan las reglas que regulan el acceso de las aplicaciones a diferentes recursos (ficheros, carpetas, registro, direcciones de red, etc.). Por ejemplo, si la aplicación necesita acceso a determinado recurso, el Control de Aplicaciones comprueba si tiene los derechos correspondientes y ejecuta la operación de conformidad con las reglas establecidas.

El Control de Aplicaciones también permite hacer un protocolo del lanzamiento de aplicaciones. Esta información puede usarse durante la investigación de incidentes y diferentes pruebas. Teniendo en su arsenal esta funcionalidad, el ingeniero de seguridad informática o el administrador recibe respuesta inmediata y estructurada a las siguientes preguntas:

• ¿Qué aplicaciones se iniciaron y cuándo en determinado intervalo de tiempo?
• ¿En qué equipos y bajo qué cuentas?
• ¿Hace cuánto se usa uno u otro programa?

Precisamente de las posibilidades funcionales (potencia y comodidad de uso) de este componente depende con cuánta efectividad los administradores de red pueden implementar y prestar servicio técnico a las diferentes normas de seguridad.

Balance entre la libertad de acción y la seguridad

Al momento de escoger el modelo de defensa informática es importante lograr un balance razonable entre la libertad y la seguridad.

Para los usuarios domésticos es importante la posibilidad de instalar y usar cualquier software sin limitaciones. Y a pesar de que el riesgo de infección es mayor en este caso, que en el de más severas limitaciones, el usuario doméstico sólo administra su información personal y toma decisiones personales considerando la existencia del riesgo de publicación o pérdida de su información.

Por el contrario, el usuario corporativo opera con información que no le pertenece. Mientras más severo es el control, menores son los riesgos de seguridad informática: fugas o pérdidas de datos de importancia crítica para los negocios, interrupción de los procesos de negocios de la compañía y, como consecuencia, pérdidas financieras y de reputación.

Para las compañías, el balance entre la seguridad y la libertad del usuario implica encontrar un equilibrio entre los riesgos potenciales y el nivel de comodidad para los usuarios corporativos. Las compañías más pequeñas suelen priorizar la comodidad y reducir sus restricciones. Pero las redes corporativas más grandes hacen de la seguridad una prioridad. Las grandes compañías tienen políticas de seguridad centralizadas, reglas que estandarizan el uso de los recursos de datos corporativos. La facilidad de uso se considera menos importante que los programas estandarizados y la máxima transparencia en los procesos para los administradores del sistema.

Por lo general, los empleados de una compañía sólo necesitan usar ciertos programas. Es muy importante que una red corporativa pueda restringir el uso de programas a sólo aquellos que se especifican en las reglas del administrador y bloquear los demás (desautorizados, ilegítimos o que no son esenciales), más aún para los centros de comando, industrias, organizaciones financieras, agencias militares y equipos con propósitos especiales (como ATMs y terminales de otro tipo).

El modo “Default Allow”, que otorga permisos de acción a los programas de forma predeterminada, ofrece mayor comodidad para los usuarios, mientras que el modo “Default Deny”, que rechaza la ejecución de los programas por defecto, ofrece mayor seguridad.

El modo tradicional de protección: Default Allow

Con Default Allow, la elección tradicional para proteger los productos personales y corporativos, los usuarios pueden ejecutar cualquier aplicación menos las que están bloqueadas o las que tienen limitaciones específicas. Este modo se concentra en maximizar la comodidad del usuario.

No cabe duda de que se requieren tecnologías de detección de alta calidad para poder ejecutar cualquier aplicación. En el modo Default Allow, todos los componentes de seguridad de arriba juegan un rol importante en el análisis de los programas ejecutados. Esto ayuda a detectar las amenazas conocidas y desconocidas. Asimismo, la calidad de la detección dependerá del desarrollador de la solución antivirus que se esté usando.

Como dijimos antes, las compañías antivirus casi siempre trabajan para contrarrestar a los escritores de virus; esto significa que siempre hay algún tipo de programa malicioso que los antivirus todavía no han detectado. Por lo tanto, en el modo Default Allow se permite la ejecución de cualquier programa que no esté en la lista de rechazados de forma predeterminada. Eso implica que el modo Default Allow tiene cierto nivel de riesgo: el código al que se otorga permiso para ejecutarse podría ser una amenaza que todavía no ha sido identificada.

Además de los programas maliciosos, también hay programas legítimos que se califican como “indeseados” para ciertas redes. Este tipo de programas no se bloquea porque, en el modo Default Allow, el programa puede ejecutarse en la red corporativa sin restricciones mientras no haya una regla especial para bloquearlo.

Estos dos ejemplos ilustran cómo un programa que no está incluido en las políticas de seguridad puede causar problemas a una compañía.

Un empleado puede instalar un cliente de mensajería instantánea en su equipo – Skype, por ejemplo. Una de las características distintivas de Skype es que codifica los datos que transfiere mediante canales de comunicación. Eso significa que el sistema DLP (prevención de pérdida de datos) no puede rastrear la transferencia de información confidencial más allá de los límites de un perímetro asegurado ni identificar la información para el receptor. Las tecnologías antivirus no bloquean el uso de esta aplicación porque no es un programa malicioso. Pero un usuario malicioso que está conspirando con un empleado de la compañía podría recibir información confidencial de ese empleado usando Skype como medio para transferir datos.

Otro ejemplo: los expertos de Kaspersky Lab participaron en la investigación de un incidente que ocurrió en una compañía. No se detectaron programas maliciosos, pero el incidente involucraba a un miembro del equipo de informática que había instalado una herramienta de administración remota en varios ordenadores de la compañía. Se había despedido al trabajador hace más de un año, pero nadie sabía de la existencia de la herramienta, que seguía ejecutándose y permitía que el empleado, que ya no formaba parte de la compañía, tuviera acceso a toda la red corporativa y a los datos que guardaba.

Por lo tanto, la comodidad que ofrece el modo Default Allow al usuario también deja a las redes corporativas vulnerables a amenazas desconocidas y programas indeseados. Además, se requieren recursos considerables para controlar todos los ejecutables.

Pero, en la mayoría de los casos, para poder realizar sus tareas, los empleados de una compañía en realidad sólo necesitan una cantidad restringida y específica de programas. Esto significa que hay una solución simple que también es la más lógica: sólo se incluyen los programas necesarios y limpios en una lista de admitidos y se bloquean todos los demás de forma predeterminada. Este modo de control de aplicaciones se llama Default Deny.

Modo Default Deny

A diferencia del modo Default Allow, el modo Default Deny bloquea la ejecución de cualquier programa que no haya sido previamente aprobado, por ejemplo, en una lista de admitidos. Por lo tanto, no se permite la ejecución de ningún programa desconocido o indeseado.

En esencia, cuando el modo Default Deny está activado, una red corporativa opera en un ambiente de software aislado que permite sólo la ejecución de programas que son esenciales y suficientes para satisfacer las necesidades de una compañía.

Default Deny también bloquea la ejecución de programas maliciosos, desconocidos, sin licencia o que no son esenciales que el modo Default Allow sí aceptaría, lo que reduce el coste de analizarlos. Cuando se trabaja en el modo Default Deny, los requisitos de rendimiento para los sistemas que controla el administrador de sistemas y para los recursos necesarios para el análisis son mucho menores. Por lo tanto, el sistema de seguridad tiene un impacto menor en el rendimiento de la red.

Como se puede ver en el gráfico, a diferencia del modelo tradicional de seguridad, el modo de control de aplicaciones Default Deny se realiza cuando se ejecutan programas permitidos, en vez de durante el proceso de ejecución. Por lo tanto, los riesgos de seguridad se reducen en las etapas iniciales.

Las principales ventajas de Default Deny son:

1. Se reduce el riesgo de que se ejecuten programas maliciosos e indeseados:
   • Las aplicaciones desconocidas se bloquean, incluyendo las nuevas modificaciones de programas maliciosos y aquellas que se usan en ataques dirigidos. Por lo tanto, se mantiene un ambiente seguro.
2. • Se puede bloquear la instalación y ejecución de programas ilegítimos, sin licencia y que no son esenciales, como una variedad de clientes de chat, juegos, versiones de programas con vulnerabilidades conocidas y “potenciadores de rendimiento” del sistema. Por lo tanto, los empleados pueden concentrarse más en sus trabajos y su rendimiento mejora.
3. El análisis de aplicaciones necesita muchos menos recursos. Por lo tanto, el sistema de seguridad tiene un impacto mucho menor en el rendimiento de la red.
4. Por ultimo: el modo Default Deny también reduce los gastos y, en esencia, el coste total de poseer un sistema de seguridad. Hay menos errores, menos quejas y una cantidad de trabajo mucho más manejable para el equipo de asistencia técnica.

Por lo tanto, al usar este modo alternativo y su poderoso control de aplicaciones, una compañía puede impulsar el nivel de seguridad de datos de redes corporativas de forma substancial y, a la vez, reducir los costes de mantenimiento del sistema de seguridad. Como mencionamos antes, este es un método diferente y más proactivo que, en la opinión de los expertos de Kaspersky Lab, podría cambiar la percepción tradicional de la seguridad de las redes corporativas.

Los autores agradecen a Vladislav Martynenko por su contribución a la sección “Los componentes de los modernos productos de seguridad”.

Lea la segunda parte aquí: Parte 2