El control de ejecución de programas como garantía de seguridad en las redes. Parte 2

Parte 1

¡Suena bien! Pero… ¿es fácil de usar?

La idea de Default Deny es muy simple y lógica. Pero, hasta ahora, este método se había limitado a una audiencia muy restringida. Esto se debe principalmente a los retos técnicos que surgen al desarrollar una solución que sirva para un uso extendido y sin muchas limitaciones críticas.

Nuevos desarrollos en Control de Aplicaciones

El uso del modo Default Deny implica un cambio de prioridades al momento de escoger las reglas de seguridad: alejarse de la libertad y comodidad del usuario para lograr la meta de cualquier sistema de seguridad de datos: reducir al máximo el riesgo de fuga de datos y pérdidas de información crítica de la empresa.

Pero los primeros modos estrictos de control de aplicaciones de sistemas causaban grandes limitaciones en la funcionalidad y hacían que su uso fuera casi imposible. Se necesitan funciones adicionales para mantener un modo Default Deny de calidad para que una red corporativa pueda operar como es debido.

Al hacer la transición al modo Default Deny, el administrador del sistema necesita realizar varias tareas. Para que el proceso sea más fácil, el Control de Aplicaciones, que es el componente principal que administra las aplicaciones de una red corporativa, debe primero someterse a unos cambios substanciales.

Por lo tanto el modo Default Deny es posible y práctico sólo cuando se han puesto en efecto las siguientes funciones:

• Inventario – recolectar información sobre todos los programas instalados en la red corporativa, todos los equipos y todos los recursos de red.
• Categorización – dividir el programa inventariado en grupos funcionales: componentes del sistema operativo, navegadores, multimedia, juegos, etc.
• Configuración o Gestión de Aplicaciones – introducir restricciones de Control de Aplicaciones para ciertos usuarios o grupos de usuarios y para determinadas categorías de aplicaciones (en esencia, para definir políticas de seguridad).
• Dynamic Allowlisting – base de datos para conocer todas las variedades de software del mundo. Información nueva y actualizada con regularidad sobre aplicaciones, su reputación, categorías y análogos populares o recomendados. Este es un nivel de datos para expertos que ofrecen los desarrolladores de soluciones de seguridad.
• Mecanismos de actualización de la seguridad de los programas – autónomo significa que se mantienen actualizaciones regulares para programas de uso común, liberando a los administradores de la necesidad de realizar largos procedimientos para identificar y legalizar las aplicaciones que se actualizan en la red.
• Mantener una lista de usuarios y fuentes de confianza – los administradores de redes e ingenieros de seguridad reciben herramientas que les permiten legitimar los programas de una forma simple y cómoda. En particular, esto implica la creación de listas de recursos de redes de confianza en Internet y en la red local corporativa (HTTP/FTP/Shared Folders/etc.) – fuentes de aplicaciones limpias cuya instalación y uso están permitidos.
• Pruebas y asistencia en el modo beta – detección estática o dinámica de colisiones del sistema que surgen cuando se introducen políticas de seguridad (incompatibilidades, fallas en las operaciones de varias aplicaciones) que podrían interferir en las tareas de las empresas.
• Retroalimentación del usuario y asistencia técnica – herramientas para gestionar los incidentes para facilitar lo más posible el proceso de asistencia al usuario.
• Monitorización y auditoría – diversas herramientas para recolectar, agregar y estandarizar los informes.

Ahora explicaremos más a fondo el componente Allowlist Security Approach (Modo de Seguridad por Listas de Admitidos). WSA es una base de datos dinámica de archivos limpios (una “Lista de Admitidos Dinámica” o “Dynamic Allowlist”). El interés en las Dynamic Allowlist surge por aspectos técnicos y organizativos, sin los cuales no se aprovecharía la capacidad máxima de acción de las listas de admitidos.

La Dynamic Allowlist

¿Qué es una Dynamic Allowlist? Es una base de datos con todos los diferentes programas legítimos. Desde un punto de vista técnico, una Dynamic Allowlist es una enorme base de datos de programas “limpios” que se puede actualizar de forma continua con diferentes tipos de archivos, incluyendo archivos de instalación y – todavía más importante- información sobre estos objetos. La calidad e integridad de los datos en este tipo de recursos con nivel para expertos depende de sus proveedores. Los principales desarrolladores de programas de seguridad están compilando la Dynamic Allowlist.

Una Dynamic Allowlist es un componente necesario para tres de las siete tareas que deben lograrse para que Default Deny funcione (ver la tabla de arriba). Está claro que la calidad de un producto tiene una correlación directa con la calidad de la base de datos en esa solución.

Para cumplir con las tareas de arriba, la Lista de Admitidos debe contener:

1. Una base de datos de software: el desarrollador, nombre del producto, última versión y otra información que deriva de los atributos de cada programa.
2. Información adicional (datos de nivel experto):
   • información sobre el nivel de riesgo – clasificación del software, su reputación: fiable, peligroso, amenaza potencial, etc.
   • categoría del programa: componente del sistema operativo, navegador, juegos, aplicaciones de Office, etc.
   • el propósito corporativo del programa: contabilidad, finanzas, marketing, relaciones humanas, logística, gestión de trabajadores, etc.
   • alternativas del programa – datos sobre programas similares
   • estadísticas – prevalencia, distribución regional, etc.

¿Qué otros requisitos existen para la Dynamic Allowlist, además de los datos?

El más importante es que la Dynamic Allowlist debe ser dinámica, valga la redundancia. Cada día se lanzan nuevas aplicaciones legítimas y actualizaciones para los programas ya existentes. Esto significa que los desarrolladores de programas de seguridad deben responder de inmediato a cualquier cambio en el mundo del software y actualizar al instante sus bases de datos. Para ello, deben agregar de forma regular e inmediata entradas a sus bases de datos de software limpio que proviene de diferentes partes del mundo. Estas actualizaciones deben realizarse de forma automática, ya que los volúmenes de datos son enormes (terabytes de datos por día). Para ello, los proveedores de la Dynamic Allowlist envían los denominados “crawlers” a Internet – los crawlers funcionan como agentes que monitorizan nuevos programas y, cuando es necesario, descargan nuevas aplicaciones.

Para mantener las bases de datos actualizadas, es importante que los diferentes vendedores, fabricantes y distribuidores se asocien. Estas asociaciones sirven para conseguir, procesar y analizar (clasificar y categorizar) nuevos programas antes de que se los lance al público para disminuir los falsos positivos o situaciones en las que una solución de seguridad y el programa de un socio sean incompatibles.

Otra posible fuente de información para mantener actualizadas las bases de datos es una red de datos globales creada por un vendedor basado en comunidades de usuarios. Este tipo de red de datos ofrece una ventaja notable – ayuda a rastrear los metadatos del programa que se ejecutaron en los ordenadores de los usuarios y agrega los datos cuando surgen nuevas aplicaciones y actualizaciones de software en la base de datos.

Hace falta controlar con cuidado todos los programas que se incluyen en la Dynamic Allowlist, y es muy importante mantener su reputación al día. Un programa que hoy está clasificado como “limpio” mañana puede, después de un análisis más cuidadoso, resultar ser portador de códigos maliciosos.

Hay que tomar en cuenta que revisar la Dynamic Allowlist constantemente no es un trabajo fácil. Además de que se requiere procesar y analizar datos de forma automática, es necesario un equipo de especialistas que puedan analizar el código de los programas con posibles colisiones lógicas y dar un veredicto final. Las pequeñas compañías y los desarrolladores de productos antivirus “gratuitos” no pueden darse el lujo de mantener estos laboratorios antivirus dedicados. Además, el proceso para manejar los códigos limpios y los maliciosos es diferente. Idealmente, una compañía no solo tiene un laboratorio antivirus específico, sino también un laboratorio de listas de admitidos donde los expertos rastrean los flujos de data entrantes, estudian los sistemas intelectuales y responden de inmediato a las emergencias (Kaspersky Lab tiene un laboratorio de listas de admitidos de este tipo).

De la teoría a la práctica: el Endpoint 10 de Kaspersky Lab

Los administradores de redes corporativas se enfrentan a tareas complejas, a menudo repetitivas, para poder administrar los numerosos equipos que tienen diferentes propósitos. El Allowlist Security Approach (es decir, el modo Default Deny) garantiza un nivel de seguridad mucho mayor para las redes corporativas. Es más, el estar a cargo de una red en el modo Default Deny, con sus estrictas restricciones del sistema, requiere que los productos que lo conforman puedan realizar una automatización de tareas a gran escala para facilitar la administración del sistema.

Veamos cómo se realiza la transición de la teoría a la práctica usando como ejemplo las soluciones Endpoint Security de Kaspersky Lab, siguiendo el programa paso a paso a lo largo de su ciclo de vida, desde los inventarios de programas hasta el mantenimiento de redes corporativas.

Allowlist Security Approach se utilizó por primera vez en Kaspersky Endpoint Security 8 para Windows en 2011. En 2013, Kaspersky Endpoint Security 10 para Windows ofrece cada vez más funcionalidades, también en el área de Control de Aplicaciones.

Etapas del ciclo de vida Default Deny

• • Inventario. Un administrador necesita realizar un inventario automático de programas que incluya todos los programas instalados en la red corporativa justo después de que se instale el producto. Aquí, Kaspersky Endpoint Security recolecta información sobre todos los programas instalados en los equipos de la red y otros recursos de red.

Resultados de un inventario de programas de un directorio específico

• • Categorización (automática, usando la Dynamic Allowlist). Después del inventario automático, todos los programas se categorizan y dividen en grupos según las reglas establecidas para el producto (sistemas operativos, multimedia, dispositivos, juegos, navegadores, etc.). Esta función no se ofrece a todos los desarrolladores de soluciones de Control de Aplicaciones. Sin embargo, creemos que es esencial para facilitar la gestión de grandes cantidades y variedades de programas instalados en las redes corporativas. Es por eso que la Dynamic Allowlist tiene 16 categorías diferentes en el nivel alto y 96 sub-categorías (ver nuestro catálogo de categorías).

Catálogo de categorías de Kaspersky Lab

Para definir los componentes del sistema operativo y controladores con importancia crítica, Kaspersky Endpoint Security incluye una categoría especial de archivos del Sistema Operativo llamado Golden Image. Esta categoría incluye todos los componentes requeridos para Win XP, Vista, Win7, Win8 (32 y 64) y más de 15 ubicaciones para cada uno (más de 100 versiones y localizaciones). Todo lo que un administrador debe hacer es agregar archivos a la categoría Golden Image desde la base de datos local de la lista de admitidos, y la configuración Default Deny está lista.

• • Categorización (manual). Es importante tomar en cuenta el hecho de que ninguna lista de admitidos, sin importar cuál sea su desarrollador de soluciones de seguridad, puede contener los datos de cada programa instalado en la red de una compañía. Por ejemplo, las empresas a menudo tienen programas propietarios especializados que han sido desarrollados por la misma compañía o por encargo. El Control de Aplicaciones de Kaspersky Endpoint Security 10 permite que los administradores creen una Lista de Admitidos local.

Además, Kaspersky Endpoint Security 10 tiene categorizaciones multi-vector. En otras palabras, una aplicación puede pertenecer a varias categorías a la vez.

Opción para la categorización de archivos del usuario

• • Configuración Kaspersky Endpoint Security ofrece la capacidad de gestionar programas categorizados para usuarios específicos y grupos de usuarios. Por ejemplo, programas en la categoría “Contabilidad” pueden permitirse sólo para los contables, para que ningún otro usuario tenga acceso a los datos financieros de la compañía.

En esta etapa se puede restringir el uso de programas sin licencia o que no son esenciales. Por ejemplo, se puede bloquear el uso de cualquier programa para el cual la compañía no tiene las debidas licencias o bloquear los programas de mensajería instantánea como Skype. También se puede bloquear el uso de versiones específicas de un programa, como bloquear todos los navegadores excepto por una versión específica de Internet Explorer.

• • Actualizaciones seguras de programas. Las actualizaciones automáticas de programas en Kaspersky Endpoint Security tienen la tecnología Actualizadores de Confianza, que ayuda a realizar procedimientos seguros de actualización para los productos y, a su vez, factoriza la compleja secuencia de acciones de los programas que se ejecutan durante el proceso de actualización.
  • Pruebas y mantenimiento en modo beta. Como la introducción de políticas de redes estrictas es una responsabilidad muy grande, también hemos incorporado un Modo de Prueba especial que el administrador del sistema puede utilizar para modelar y evaluar cómo funciona una regla en la práctica. Las aplicaciones no se bloquean en el Modo de Prueba, pero un administrador puede ver cómo se ve el sistema basándose en informes, y lo que pasaría si cierta configuración se ejecutara en un sistema particular. Esto ayuda a los administradores del sistema a hacer los ajustes necesarios a las reglas antes de publicar sus nuevas políticas, sin causar ninguna respuesta negativa de los usuarios ni interferir con los negocios de la compañía en caso de que los cambios traigan complicaciones.
  • Retroalimentación del usuario y asistencia técnica. El ambiente de la TI de una compañía cambia todo el tiempo, por lo que los usuarios deberían tener la capacidad de solicitar a un administrador del sistema que le dé permiso para ejecutar un nuevo programa, y los administradores deberían ser capaces de permitir o bloquear estas solicitudes con sólo presionar un botón en una interfaz fácil de usar. El producto de Kaspersky Lab permite ambas cosas. Para garantizar la flexibilidad, hasta en el modo Default Deny, Kaspersky Lab permite que los administradores gestionen las quejas y solicitudes de los usuarios. Si resulta que una aplicación se bloquea, pero el usuario cree que es esencial para realizar sus tareas oficiales, todo lo que debe hacer es pulsar en “Enviar Solicitud” y una notificación se enviará de forma automática al administrador.

Ejemplo de un mensaje que se envió de forma automática al administrador cuando se bloqueó una aplicación necesaria

Conclusión

El creciente número de amenazas y su complejidad obliga a los desarrolladores de programas antivirus a buscar nuevas soluciones para proteger con eficacia a las redes corporativas. El Allowlist Security Approach es un nuevo método que permite que sólo se ejecuten los programas de confianza que están incluidos en una lista de admitidos. Por lo tanto, un programa malicioso no puede simplemente ejecutarse en un sistema. Esto aumenta la protección contra las amenazas complejas y desconocidas, incluyendo los ataques dirigidos.

El Allowlist Security Approach (WSA) es un nuevo desarrollo en el Control de Aplicaciones que complementa a las tecnologías Default Deny y Dynamic Allowlist.

El uso del modo de seguridad estricta Default Deny implica la introducción de funciones adicionales. El Control de Aplicaciones incluye varios mecanismos simples, como inventario, categorización, configuración (Gestión de Aplicaciones), gestión local flexible de políticas de la lista de admitidos, y la capacidad de utilizar una Dynamic Allowlist en la nube que puede responder de inmediato a los cambios comunes en el mundo de los programas. Es más, las funciones como pruebas y asistencia en un Modo de Prueba son importantes para lograr una buena transición al modo Default Deny.

El Modo de Seguridad por Listas de Admitidos ayuda a los administradores del sistema a realizar varias tareas:

• Controlar (permitir, bloquear, restringir con flexibilidad o auditar) el lanzamiento de aplicaciones limpias en los ordenadores de la empresa según las políticas de seguridad de la compañía

• Recibir datos para expertos directo de los desarrolladores de programas sobre el estado de los archivos de la base de datos de la Dynamic Allowlist
• Garantizar que las aplicaciones limpias y permitidas funcionen sin problemas
• Gestionar las categorías de los programas en vez de hacerlo en cada aplicación por separado
• Monitorizar, controlar y responder a los problemas que surjan cuando se bloquea una aplicación
• Reestructurar el uso de los recursos informáticos de la compañía e impulsar el rendimiento mediante el control del uso de los programas de terceras compañías o que no tengan licencia en la red

Los modos Control de Aplicaciones y Default Deny combinados son herramientas poderosas y prácticas que simplifican el trabajo del administrador del sistema en cuestiones de gestión y protección de los ordenadores de una red corporativa.

En Kaspersky Lab creemos que Allowlist Security Approach es una herramienta clave para la seguridad de las redes corporativas en el futuro. Asimismo, creemos que no existe una panacea ni una tecnología que por sí misma sea capaz de proteger a los ordenadores contra todas las amenazas. Es por eso que la mejor opción para las redes corporativas es el uso de un poderoso producto que combine una variedad de tecnologías de protección. Sólo una seguridad y control de sistemas de múltiples niveles ofrece la mayor protección para las redes corporativas.

Los autores agradecen a Vladislav Martynenko por su contribución en la sección “Componentes de los productos de seguridad modernos”.