Protección contra botnets con el firewall de nueva generación
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Introducción La proliferación de botnets y el malware moderno están cambiando el plantel de amenazas y obligando a las empresas a replantearse las estrategias de seguridad. Este nuevo tipo de amenazas va muy por delante de las estrategias tradicionales de seguridad y ya han establecido puntos de apoyo que podrían aprovechar los delincuentes y algunos estados para robar información y atacar los puntos sensibles. Este documento está dividido en dos apartados: en el primero se estudian las características y el funcionamiento de las botnets, así como las distintas respuestas que ha desarrollado el sector hasta la fecha. En el segundo apartado se presenta un modelo nuevo que permite a las empresas encargarse de su seguridad de forma activa gracias a las capacidades exclusivas del firewall de nueva generación.
Qué es una botnet y qué la caracteriza Los equipos encargados de proteger la información de las empresas llevan más de dos décadas peleando con diversos tipos de malware. Pero toda esta experiencia acumulada no significa que las empresas estén ganando la batalla a día de hoy, pues los últimos estudios reflejan que existen motivos para preocuparse. En 2009 Cyveillance alertó de que la mitad del malware que circulaba por la web pasaba inadvertido ante las soluciones de seguridad disponibles, mientras que en 2010 fue NSS Labs quien informó de que solo el 53% del malware era detectado durante la descarga. En gran medida esto se debe a la evolución del malware, capaz de mutar y de actualizarse para eludir los sistemas de protección tradicionales. Tanto los bot (las máquinas infectadas) como las botnets (las redes de bots que trabajan unidos) desempeñan un papel fundamental dentro de esta evolución de malware multiforme, y resultan realmente difíciles de detectar con las soluciones tradicionales de antivirus/anti-malware. Pero veamos qué es lo que diferencia una botnet de las generaciones anteriores de malware y de qué forma contrarrestan nuestros esfuerzos por controlarlos.
Como decíamos, una botnet es una red de bots (máquinas infectadas). A diferencia de sus predecesores, formados en mayor o menor medida como un enjambre de agentes independientes, los bots se coordinan entre sí y comparten un canal de comunicación con el mundo exterior. De la misma forma en que Internet multiplicó las posibilidades de la informática personal, las botnets multiplican hoy las posibilidades del malware. Hoy en día todo el malware de un mismo tipo puede colaborar para lograr un objetivo común, formando un conjunto en el que cada máquina infectada aumenta la capacidad y la potencia de la botnet. Además una botnet puede evolucionar en pos de nuevos objetivos y adaptarse a los cambios en materia de seguridad. A continuación veremos algunos de los rasgos funcionales más característicos de una botnet:
PÁGINA 2
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
n
n
Distribución y versatilidad. Las botnets son un tipo de malware que aprovecha al máximo la distribución de Internet. Una botnet puede tener varios controladores distribuidos por todo el mundo, por lo que cuenta con infinidad de planes alternativos. Por su parte, un bot tiene la capacidad de convertir otros bots infectados en canales de comunicación, lo cual resulta en infinidad de rutas de comunicación que sirven para adaptarse a diferentes opciones de acceso. Multifuncionalidad. La funcionalidad de un bot se puede cambiar completamente desde los servidores de control y mando, lo cual permite al propietario de una botnet dedicar porciones de la misma a tareas tales como la recopilación de números de tarjetas de crédito y otras al envío indiscriminado de spam. En cualquier caso, la infección es siempre el paso más importante, pues la funcionalidad se puede ir modificando después según los intereses.
Perseverancia e inteligencia. Dado que un bot es difícil de detectar y que puede cambiar fácilmente de función, resulta particularmente idóneo para la realización de intrusiones premeditadas a largo plazo en una red. Asimismo, al quedar bajo el control a distancia de la inteligencia humana, una botnet se asemeja más a tener un hacker maligno dentro de la red que a tener un ejecutable maligno alojado en la misma. Por ejemplo, se puede usar una botnet para extraer información acerca de la empresa propietaria de una red, localizar objetivos a explotar e instalar puertas traseras adicionales en el caso en el que se descubra el bot.
n
Amenazas para la empresa Teniendo en cuenta la flexibilidad y la capacidad para eludir los sistemas de protección, las botnets presentan innumerables amenazas para las empresas. En términos de funcionalidad, una botnet presenta una cantidad ilimitada de riesgos, desde el envío de spam hasta el robo de información confidencial y secretos comerciales. En cualquier caso, el riesgo real lo presenta el controlador de los bots, pues un nodo que se dedica a enviar spam puede empezar a robar información de tarjetas de crédito al día siguiente. Veamos ahora resumidas las clases de botnets más reconocibles y algunos ejemplos de las mismas. Botnets para spam Las botnets de mayor tamaño a menudo se dedican al envío de spam, y su funcionamiento es bastante simple: el controlador de la botnet (la persona o personas que las controlan a distancia) trata de infectar el mayor número posible de máquinas para después, sin el conocimiento de sus propietarios, dedicarlas al envío de cientos de correos de spam. En un principio el impacto de este tipo de bots en la empresa es relativamente débil, pero un usuario infectado que se dedica al envío inconsciente de spam ocupa una gran cantidad del ancho de banda de la red y puede ver reducida tanto su productividad como la de la propia empresa. Por otro lado, la empresa podría terminar identificada como remitente de spam, lo cual podría provocar que todo su correo corporativo terminase etiquetado como spam.
PÁGINA 3
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Asimismo, el riesgo que supone un portátil infectado por un bot va más allá de la funcionalidad de la propia botnet. Un portátil infectado puede abrir puertas traseras y puntos de entrada a la red corporativa para distribuir y localizar desde la misma nuevos objetivos a explotar. Así que jamás se debe menospreciar la capacidad de una botnet. O lo que es lo mismo: no existe ningún terminal comprometido de forma benigna. Ejemplo: Rustock DDoS y Botnets Existe una variedad del modelo de botnet dedicado a spam que consiste en utilizar los bots como parte de un ataque distribuido de negación de servicio (DDoS en inglés) destinado a saturar un sistema en particular con tráfico procedente de diversos terminales. En estos casos, la empresa que aloja al cliente infectado no es el objetivo del ataque, sino que solamente se utiliza para inundar el objetivo real con tráfico procedente de ésta. Una vez más, es el controlador del bot (la persona que domina la botnet) quien intentará generar una cantidad de tráfico suficiente para saturar los recursos de su objetivo. Los motivos por los que se realiza un ataque DDoS pueden ser personales, políticos o como medio para exigir un pago a cambio del fin del ataque. Los ataques DDoS presentan un doble riesgo para las empresas. Por un lado, si la empresa resulta ser el objetivo del ataque, éste podría provocar retrasos y pérdidas de productividad. Y aunque la empresa no sea el objetivo final del ataque, los terminales infectados en su red provocarán un consumo desproporcionado de los recursos de la misma y facilitarán inconscientemente el delito. Ejemplo: Skunkx Botnets financieras Las botnets financieras han recibido amplia cobertura en los medios, principalmente por los enormes daños que han provocado en el mercado. Botnets como ZeuS y SpyEye son responsables del robo directo de fondos de todo tipo de empresas. Su estructura no es tan grande y monolítica como la de las botnets para spam, las cuales crecen casi indiscriminadamente a partir de un solo propietario, sino que generalmente se venden en forma de kit, lo cual facilita que un gran número de atacantes licencien el código y se dediquen a montar sus propias botnets para sus objetivos particulares. A pesar de su menor tamaño, el impacto de estas botnets puede ser enorme. Las botnets ZeuS han logrado en repetidas ocasiones robar a las empresas millones de dólares en muy poco tiempo. Otro tipo de botnet financiera es la que se dedica a robar información de tarjetas de crédito y a falsificar transferencias bancarias. Este tipo de ataque puede provocar graves daños financieros, legales y de imagen en una empresa. Y si llegase a afectar al departamento financiero, al de recursos humanos o a la contabilidad de la empresa, esta podría perder grandes cantidades de dinero que jamás recuperaría. Ejemplos: Zeus, SpyEye Intrusiones con un objetivo concreto Las botnets también son un elemento clave en los ataques dirigidos a un objetivo en concreto. Se trata de un tipo de botnet diferente con respecto a sus hermanos mayores, pues en vez de dedicarse a infectar el mayor número posible de usuarios para lanzar ataques de gran escala, éstos apuntan a terminales específicos de gran valor que pueden utilizarse después para ampliar la intrusión y el sondeo en las redes objetivo. En estos casos, el terminal infectado sirve para acceder a sistemas protegidos y para abrir una puerta trasera que permita el acceso a la red en el supuesto en el que la intrusión sea detectada.
PÁGINA 4
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Estas amenazas suelen pasar desapercibidas para los fabricantes de soluciones antivirus aunque suponen uno de las riesgos más peligrosos a los que se enfrentan las empresas, pues los ataques están premeditados y van dirigidos precisamente a los puntos clave de las mismas: desarrollo e investigación, código fuente, departamento de planificación, departamento financiero, cartera de clientes y demás. Ejemplo: Aurora
Respuestas del sector a las botnets Sin duda, la proliferación de botnets no ha pasado desapercibida y las empresas más grandes ya han empezado a colaborar con las fuerzas del orden para tomar medidas frente a algunos de las botnets más grandes y notables. La estrategia consiste básicamente en separar los bots (las máquinas infectadas) de su cerebro (los servidores de control y mando). Si los bots no pueden comunicarse con el servidor, no podrán recibir nuevas instrucciones, enviar información, ni desempeñar ninguna de las tareas que los hace tan peligrosos. Se podría considerar esta estrategia, y de hecho así se refiere a ella, como la “decapitación” de botnets. Aunque esta estrategia pudiera parecer simple, en realidad requiere grandes dotes de investigación, experiencia y coordinación entre el departamento de seguridad y las fuerzas del orden. Para inhabilitar un servidor de control y mando es preciso neutralizarlo físicamente y adquirir la propiedad del dominio y/o rango IP asociado al mismo. La desarticulación de una botnet conlleva pues la coordinación entre el equipo técnico, el equipo jurídico y las fuerzas del orden. Para empeorar las cosas, las botnets suelen depender de más de un servidor en concreto por motivos disuasorios. Además, cada uno de los servidores está rodeado por diversos intermediarios con el fin de ocultar la verdadera ubicación del servidor. Los intermediarios que se suelen utilizar son redes P2P, blogs y redes sociales. La simple localización del servidor de control y mando es por tanto una tarea complicada que requiere mucho tiempo de investigación técnica. Además, la mayoría de las botnets se han diseñado para resistir a la pérdida de un servidor de control y mando, lo cual significa que se han de inhabilitar TODAS las opciones al mismo tiempo. Si alguno de los servidores permanece accesible, o si funciona alguna de las opciones de reserva, el bot se actualizará y rápidamente se organizará un nuevo conjunto de servidores, con lo que la botnet se recuperará sin mayores problemas. Por tanto es imprescindible desactivar los servidores casi simultáneamente, pues en cuanto el propietario de una botnet advierte que está siendo atacado, inmediatamente intentará montar una infraestructura nueva. Para ello solo necesitará que uno de sus servidores permanezcan activos durante el tiempo suficiente para actualizar los bots y montar una nueva botnet. Aun con todo, se han producido algunos logros sustanciales de alto nivel. En marzo de 2011, Microsoft, en colaboración con el líder del sector y el FBI, logró acabar con la botnet Rustock, la cual llevaba más de 5 años en funcionamiento y era responsable del envío de más del 60% del spam mundial.
La detección de una infraestructura de control y mando requiere de una investigación exhaustiva. PÁGINA 5
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Por qué no sirve el modelo vertical para proteger la empresa El modelo descrito anteriormente supone una respuesta fiable por parte del sector frente a las botnets más grandes, y las empresas que lideran estas actuaciones merecen el reconocimiento unánime. No obstante, como profesionales de la seguridad, resulta igualmente importante reconocer que estos logros, aunque son válidos bajo una perspectiva global, poco pueden hacer para mitigar la amenaza que las botnets suponen para la empresa individual. La limitación más obvia es que el modelo vertical es tremendamente intensivo en cuanto a tiempo y esfuerzo, y por eso únicamente se emplea para afrontar las botnets de mayor tamaño e importancia. Se trata de un proceso muy reactivo que en ocasiones dura varios años, mientras que la respuesta que necesitan las empresas suele ser casi inmediata para evitar que la intrusión fructifique. A modo comparativo, esperar a que el sector logre desactivar una botnet es parecido a esperar a que el gobierno apruebe una ley cuando se produce una intrusión. En segundo lugar, los esfuerzos del sector tienden a centrarse en las botnets de mayor tamaño, concretamente en aquellos responsables del spam más evidente. Aunque cualquier bot podría suponer un riesgo, conviene hacer hincapié en que las botnets para spam no tienen a ninguna empresa como objetivo final, sino que simplemente buscan el mayor número posible de agentes para enviar la mayor cantidad posible de spam. Los ataques cuyo objetivo es infiltrarse en una empresa o robar información suelen contar con malware mucho más sofisticado y difícil de detectar. Así consiguen organizar botnets de menor tamaño que pueden pasar desapercibidas más fácilmente, por lo que no suponen un objetivo importante a erradicar por parte del sector. Así, la empresa suele quedar desamparada ante las amenazas individuales. La industria contra las botnets
Las botnets contra la empresa
Se centra en botnets de gran tamaño
n
Se centra en las dedicadas a spam
n
Tarda años en lograr su objetivo
n
n
n
n
De pequeño tamaño y premeditadas Robo de información y espionaje Requieren soluciones inmediatas
Existen botnets a las que no resulta práctico atacar sobre su servidor de control y mando debido a la manera en la que sus elementos clave están distribuidos. No olvidemos que uno de los mayores retos a los que se enfrentan los investigadores es tener que localizar y neutralizar todos sus servidores en muy poco tiempo. Cuanto más distribuida esté una botnet, más difícil resulta de decapitar. Incluso en el caso Rustock, las autoridades tuvieron la suerte de que casi todos los servidores de control y mando se encontraban dentro de Estados Unidos, lo cual facilitó la coordinación de las fuerzas del orden y las órdenes judiciales con el fin de inhabilitar todos al mismo tiempo. Por el contrario, hoy en día existen botnets cuyos servidores se encuentran repartidos por todo el mundo y solamente se ejecutan en zonas en las que apenas existe vigilancia contra delitos de Internet. Se trata de un modelo que imita el propio funcionamiento de Internet, que se diseñó desde un principio para soportar la pérdida de cualquiera de sus sitios web. Así, las redes distribuidas están diseñadas para soportar intentos de decapitación, por lo que es un modelo muy difícil de extender a las botnets en general. De manera que, aunque se hayan producido avances a la hora de enfrentarse a botnets a nivel mundial, la realidad es que no son más que la excepción que confirma la regla, y poco se puede hacer para proteger a la empresa frente a la amenaza que suponen las botnets. Es por tanto responsabilidad exclusiva de la empresa el protegerse de las mismas. En el siguiente apartado analizaremos algunas de las técnicas y herramientas que se han desarrollado y que ya pueden utilizar las empresas para localizar este tipo de malware y para evitar infecciones.
Modelo propuesto para la protección de la empresa frente a una botnet En este apartado presentamos algunos métodos para el control de botnets y demás malware moderno. Se trata de algunas recomendaciones dirigidas no a reemplazar sino a complementar las estrategias de seguridad que ya existen como parte de un planteamiento coordinado. Aunque la idea es plantear estos métodos de
PÁGINA 6
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
una forma lo más genérica posible, también incluimos algunos detalles exclusivos de las soluciones de Palo Alto Networks para quienes deseen implantar algún sistema de protección frente a botnets hoy mismo. La presente metodología incluye técnicas tanto para limitar la exposición de la empresa como para detectar y remediar infecciones. También tenemos en cuenta el hecho de que las botnets más peligrosas para la empresa pueden ser aún desconocidas para los equipos de seguridad, por lo que presentamos algunas técnicas para identificar estas nuevas amenazas en la red corporativa. n n n n n n n
El papel del firewall de nueva generación en el control del malware moderno Reducción de la superficie expuesta de la red Investigación del tráfico desconocido Control de aplicaciones expuestas a malware Prevención del uso de circunvaladores Protección de usuarios remotos Localización de terminales infectados
Incorporación del firewall de nueva generación A medida que el malware evoluciona desde los terminales individuales a las redes coordinadas, las empresas también debieran ampliar su perspectiva e incorporar sensores y controles que cubran la red en general. La seguridad de la red nos permite centrarnos en el rastro que distingue a las botnets de las variaciones anteriores de malware: una botnet depende de la comunicación con una red más amplia de bots. Partiendo de la famosa frase de John Gage, “la red es el ordenador”, es cierto que la amenaza hoy en día se ha convertido en una red. Si las medidas de seguridad no actúan a este mismo nivel, corremos el riesgo real de perdernos el bosque por culpa de los árboles. Por otro lado, los mecanismo de seguridad de la red ofrecen una capa independiente de control y monitorización, a diferencia de los terminales que pueden quedar comprometidos por culpa del malware. Las botnets y demás formas modernas de malware pueden incluir rootkits, cuyo cometido consiste en obtener acceso a la raíz del terminal elegido con el fin de corromper el antivirus y demás mecanismos de seguridad. El equipo de seguridad se encuentra entonces ante una pescadilla que se muerde la cola, pues no puede confiar en el software de seguridad que gobierna dicho terminal. No queremos decir con esto que la seguridad basada en terminales haya quedado obsoleta, sino más bien que se necesita un complemento en forma de capas adicionales de defensa. Todo lo dicho hasta ahora puede aplicarse a la seguridad de la red en general. El firewall de nueva generación en particular ofrece probablemente el complemento idóneo para proteger la red frente a ataques de botnets, pues ofrece la visibilidad y el control del tráfico necesarios para eludir cualesquiera tácticas evasivas. Si somos capaces de comprender en su conjunto la manera en la que se comporta el tráfico de la red, podremos controlar sin problemas aquellos comportamientos permitidos en el entorno corporativo y eliminar al mismo tiempo los recovecos que forman las botnets para esconderse. Un bot necesita comunicarse para funcionar, por lo que al localizar el hilo de comunicación se consigue neutralizar la amenaza. Los firewalls de nueva generación no solo realizan una clasificación completa de todo el tráfico en función de las firmas, sino que inician un proceso de aplicación, análisis, descifrado, descodificación y heurística que poco a poco va levantando las distintas capas del tráfico para averiguar su verdadera identidad. Esta capacidad para señalar y analizar hasta el tráfico desconocido con independencia del puerto o el cifrado es lo que caracteriza a un firewall de nueva generación y lo que lo hace imprescindible para la lucha frente a las botnets. Además, un auténtico firewall de nueva generación ofrece una solución completa frente al riesgo de amenazas, pues se basa en la coordinación de varias disciplinas de seguridad y no simplemente en la co-localización de estas en un mismo dispositivo. Por ejemplo, la identidad de aplicaciones, detección de malware, prevención de intrusiones, filtrado por URL, control de tipos de archivo y la inspección del contenido debieran estar todos integrados en un mismo contexto. Con esta integración se alcanza un conocimiento mucho más inteligente y definitivo de las botnets de lo que cualquier tecnología es capaz por separado.
PÁGINA 7
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Para ver y comprender los rastros de comunicación de amenazas desconocidas se necesita un tipo de inteligencia colectiva como esta.
Prevención de infecciones por botnet Una de las medidas más importantes que puede adoptar una empresa para controlar malware moderno pasa por reducir los canales de infección y eliminar las posibilidades que tienen las botnets para esconderse. La mayoría de los canales de infección que emplean las botnets hoy en día pasan virtualmente inadvertidos, y el tráfico que genera una botnet suele ser tan escaso que se puede mezclar fácilmente entre el tráfico “normal” de una red. Al recuperar la visibilidad total y el control del tipo de tráfico permitido en la red, los equipos de seguridad tienen ya mucho terreno ganado para lograr ambos objetivos. Reducción de la superficie de ataque Otra de las medidas importantes a tomar consiste en volver a un modelo de control positivo. Por control positivo se entiende aquel que solamente permite el tráfico deseado, en vez de ir bloqueando una a una las entradas no deseadas. Es esta noción de control positivo la que diferencia a un firewall de otros tipos de sistemas de seguridad de red. Por ejemplo, si se quiere usar Telnet, simplemente se abre el puerto 23 para permitir FTP sin tener que abrir la red a todo tipo de tráfico. Desgraciadamente, los firewalls tradicionales han ido perdiendo la capacidad de ejercer un control positivo sobre las redes a medida que las aplicaciones han ido aprendiendo a usar puertos alternativos que suelen permanecer abiertos (80, 443, 53) o a saltar de uno a otro puerto disponible. La recuperación del control positivo resulta fundamental en la lucha contra el malware, pues supone una manera sencilla de reducir la superficie de ataque de la empresa y de minimizar el riesgo en general. En realidad, la cantidad y diversidad de aplicaciones que existen se ha disparado, y casi cualquiera de ellas supone un mínimo riesgo. La aparición de la web 2.0, los widgets y las diversas opciones de script permiten a cualquiera desarrollar aplicaciones y servicios de enorme capacidad, la mayoría de los cuales están diseñados para conectarse o usarse en combinación con otros sitios o aplicaciones. Por si esto fuera poco, de todas las aplicaciones que se desarrollan día a día, muy pocas tienen un valor real para la empresa. Al incorporar el modelo de control positivo, los equipos de seguridad se pueden centrar en abrir el tráfico a las aplicaciones deseadas sin tener que ir cerrando uno a uno los accesos de aplicaciones que carecen de valor para la empresa. Con este método se evita al instante la entrada a la red de grandes cantidades de aplicaciones y se reduce así el número de canales que las botnets pueden usar para entrar y salir de la red.
PÁGINA 8
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Consejos Qué es exactamente un firewall de nueva generación A día de hoy el firewall de nueva generación de Palo Alto Networks es el único realmente capaz de facilitar el control positivo del tráfico moderno de aplicaciones. Para lograrlo, el firewall ha tenido que evolucionar hacia un modelo más sofisticado y fiable, uno que no consista en simplemente abrir y cerrar puertos. A diferencia de otros fabricantes de firewalls, Palo Alto Networks ha partido de cero y a desarrollado una nueva inteligencia de clasificación para el firewall con el fin de poder clasificar el tráfico en el nivel de aplicaciones y no depender de los niveles de puertos y protocolos exclusivamente. No obstante, incluso con un firewall de nueva generación, la aplicación de un método de control positivo no consiste simplemente en apretar un botón, pues el valor de las aplicaciones que utiliza una empresa varía de un departamento a otro. Así, los equipos de TI y seguridad han de planificar y consultar con los distintos departamentos de la empresa con el fin de decidir qué aplicaciones pueden acceder a la red y cuáles no. Por otro lado, algunas aplicaciones como Facebook pueden tener usos personales y profesionales: sirven a los empleados para sus relaciones personales pero también a la empresa para su relación con los clientes. En estos casos es preciso especificar concretamente los usuarios que pueden acceder a ella así como las funciones que se pueden utilizar. Más adelante analizaremos la habilitación segura de aplicaciones. Resumen. Reducción de la superficie de ataque Establecimiento de políticas de usos y aplicaciones aprobadas según las necesidades de la empresa ● Realización de un inventario de la red: aplicaciones, protocolos, etc ● Análisis de las aplicaciones que se emplean ● Qué aplicaciones mejoran el negocio y quiénes las necesitan ● Qué aplicaciones personales o de doble uso debe autorizar la empresa
n
Realización de un control positivo de todo el tráfico ● Prevención del tráfico innecesario o de alto riesgo ● Omisión de cifrados y evasión de puertos
n
Investigación del tráfico desconocido Tras retomar la capacidad para clasificar con precisión el tráfico aprobado en la red, la empresa dispone de una base desde la cual puede investigar el resto del tráfico desconocido de la red. La presencia y el comportamiento del tráfico desconocido resulta crucial para la identificación de botnets, los cuales se identifican como tráfico “desconocido” debido al uso de cifrados y a su particular comportamiento.
Investigación del tráfico desconocido PÁGINA 9
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
El firewall de nueva generación debe contar con esta capacidad para localizar y analizar el tráfico desconocido de la red. Es preciso investigar el tráfico desconocido que proceda de un mismo terminal con el fin de averiguar si el usuario está utilizando una aplicación legítima desconocida para la red o si se trata de una infección por botnet. Asimismo también conviene investigar hacia dónde se dirige ese tráfico. ¿Va dirigido a sitios web conocidos por el uso de malware o a redes sociales? ¿Transmite siempre con un horario específico? ¿Existen intentos de descargar o cargar archivos desde o hacia una URL desconocida? Todos estos son comportamientos típicos de un terminal infectado por un bot. Si se emplea un firewall de nueva generación para identificar precisamente el tráfico aprobado en la red, el tráfico desconocido debiera ser escaso, por lo que resultaría relativamente sencillo localizar y analizar tráfico nocivo procedente de botnets. Esta metodología ya se ha probado con éxito para identificar botnets desconocidas dentro de una red. De hecho, una de las primeras averiguaciones sobre la botnet Mariposa la hizo un cliente de Palo Alto Networks. El análisis de tráfico desconocido puede además programarse con ayuda del Behavioral Botnet Report, el cual estudiaremos en los siguientes apartados.
Consejo En busca de lo desconocido El firewall de Palo Alto Networks facilita la investigación y el control de tráfico desconocido. El tráfico desconocido se puede rastrear, analizar y controlar como cualquier otra aplicación, para averiguar así la densidad y el destino al que va dirigido, las categorías de URL implicadas, las firmas de amenazas y malware que intervienen y los intentos de transmisión de archivos que se produzcan. También existe la posibilidad de capturar una porción del tráfico desconocido para analizarlo al detalle o para enviarlo al Equipo de Investigación de Amenazas de Palo Alto Networks. La función Behavioral Botnet además estudia los comportamientos más comunes para identificar aquellos terminales que puedan estar infectados por un bot. Más adelante seguiremos estudiando estas funciones. Palo Alto Networks también ofrece a la empresa la posibilidad de clasificar convenientemente cualquier aplicación personalizada con el fin de asegurarse de que las aplicaciones aprobadas no aparecen identificadas como tráfico desconocido. El firewall de Palo Alto Networks también permite al usuario escribir sus propias App-IDs para estas aplicaciones personalizadas. Gracias a ello, el equipo de seguridad puede eliminar todo el tráfico desconocido y conservar solamente el tráfico de comportamiento conocido y controlado. Resumen. Investigación del tráfico desconocido Investigación del tráfico desconocido ● Rastreo del origen y el destino del tráfico ● Relación con URL, IPS, malware y los registros de transmisión de archivos ● Definición de App-IDs a medida para aplicaciones internas o personalizadas ● Captura de porciones de tráfico de aplicaciones no reconocidas y envío a Palo Alto Networks ● Investigación del tráfico “desconocido” en busca de comportamientos sin autorización o de botnets
n
PÁGINA 10
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Control de las aplicaciones vinculantes Las aplicaciones son una parte indispensable en el ciclo vital de una botnet, tanto en la etapa inicial de infección como a lo largo del proceso de control y mando. En realidad la asociación entre malware y aplicaciones no es nueva. En el pasado, la aplicación preferida del malware era el correo electrónico corporativo; desde el punto de vista de la seguridad, el correo y los virus circulaban de la mano por la red. Pero hoy, aunque aún se producen ataques a través del correo, ya no es el medio preferido, pues las empresas tienen sus servidores convenientemente protegidos y analizan cada mensaje en profundidad antes de depositarlo en su buzón correspondiente. En cualquier caso, los controladores de bots han desviado la atención hacia otras aplicaciones más débiles que interactúan con el usuario en tiempo real y resultan más versátiles que el correo corporativo. No todas las aplicaciones se crean de la misma forma, así que los propietarios de botnets han migrado hacia aplicaciones que facilitan que el bot funcione y permanezca oculto. Las redes sociales y las aplicaciones personales cumplen estos dos requisitos, y por eso se han convertido en los principales focos de infección por malware. Aparte de las mencionadas redes sociales, las aplicaciones elegidas suelen ofrecer correo web, mensajería instantánea, P2P y diversas aplicaciones para transmisión de archivos. Estas aplicaciones están diseñadas para facilitar el intercambio de información de diversas formas, y sus usuarios al utilizarlas generalmente fuera del trabajo, ofrecen al delincuente más avispado una enorme cantidad de opciones de infección. Las aplicaciones sociales son también el entorno ideal para desarrollar ingeniería social, pues permiten al atacante adoptar la identidad de algún amigo o compañero para lograr que la víctima haga clic sobre el enlace nocivo. A pesar de su sofisticación, la infección por malware todavía consiste en lograr que un usuario confiado haga clic sobre un enlace nocivo. Pero hoy, en vez de incluirse dicho enlace en un correo electrónico, este puede aparecer en un tweet o en una página de Facebook que parece ser de un amigo. Gracias a las técnicas de cross-site scripting (XSS) es posible repartir enlaces nocivos entre varios amigos, y tecnologías de rastreo como FireSheep permiten a los hackers apropiarse de cuentas en redes sociales. Pero la conexión entre redes sociales y malware no es nueva. Estudios realizados por la Information Warfare Monitor and Shadowserver Foundation demuestran que las redes sociales juegan un papel fundamental en el ciclo vital de una botnet. En el estudio “Sombras en la Nube”, realizado en 2010, se rastreó una intrusión muy planificada y persistente en una red por medio de una botnet a medida. En el análisis posterior se comprobó que los terminales infectados rara vez se comunicaban directamente con su servidor de control y mando. Al contrario, el tráfico de malware inicial originado en el terminal infectado se dirigía hacia blogs conocidos, grupos de Google, cuentas de Twitter y cuentas de correo Yahoo!, y desde allí se mezclaba la comunicación nociva entre el tráfico “normal”. Se demuestra así que las botnets siempre intentan mezclarse entre el tráfico aparentemente normal y de escaso valor en la red. ¿Cuántas veces investigará un administrador lo que parece ser simplemente un usuario que hace publicaciones en un blog inofensivo? El paso predeterminado hacia SSL La dependencia actual de Internet y de los servicios en la “nube” está obligando a numerosas tecnologías e industrias a adoptar el protocolo SSL. Por este motivo, los sitios de redes sociales, al promover el uso predeterminado del SSL con el fin de proteger las comunicaciones, facilitan sin darse cuenta que el malware moderno permanezca oculto y activo. Aún así se trata de una mejora necesaria, pues para un hacker resulta mucho más sencillo fisgonear y secuestrar una sesión en HTTP. Algunas herramientas como FireSheep simplifican este proceso y amenazan la noción de privacidad en la web. Por otro lado, la mayoría de las empresas carecen de la capacidad de observar de forma dinámica los entresijos de las comunicaciones cifradas con SSL, por lo que el tráfico de las redes sociales permanece más o menos invisible ante aquellas. Todo esto supone una pérdida considerable de eficacia para los equipos de seguridad, pues mientras el usuario logra aumentar la privacidad de sus comunicaciones, se establece una infraestructura comunicativa invisible que favorece en gran medida las intrusiones de malware. Este paso predeterminado al SSL podría ciertamente convertir las aplicaciones sociales en un medio tan valioso para los delincuentes como lo han sido las aplicaciones P2P como BitTorrent. El patrón es prácticamente el mismo: un canal de comunicación cifrada dominado por las motivaciones personales del usuario.
PÁGINA 11
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Consejos Control de las aplicaciones vinculantes Palo Alto Networks ofrece las herramientas y las técnicas necesarias para mantener bajo control las aplicaciones vinculantes con el malware. La capacidad para habilitar de forma segura cualquier aplicación es un requisito indispensable para aquellas empresas que no pueden permitirse el bloqueo de accesos a blogs, correo web, mensajería instantánea y redes sociales, pues ello reduciría la capacidad de la empresa para comunicarse y mantenerse al día con el mundo exterior. Control de las aplicaciones en función del usuario - El primer paso para habilitar de forma segura una aplicación pasa por limitar el acceso a dicha aplicación en función de las necesidades de cada usuario. Por ejemplo, el acceso a Facebook y a las aplicaciones que lo forman se puede limitar a los departamentos de ventas y marketing responsables del mantenimiento de la identidad online de la empresa, dejando fuera o con acceso limitado al resto de departamentos. De esta forma se puede reducir considerablemente la superficie expuesta a ataques y el riesgo de sufrir infecciones. Limitar las funciones disponibles de cada aplicación - Los equipos de seguridad también tienen la opción de habilitar determinadas aplicaciones pero solamente para el desempeño de aquellas funciones que no entrañan ningún riesgo para la empresa. Por ejemplo, la empresa puede permitir el acceso a una aplicación social pero anular la posibilidad de publicar en ella, o bloquear la función de descarga de archivos y demás comportamientos de riesgo. Con esta medida se limita la probabilidad de que el malware alcance su objetivo terminal. Prevención de descargas ocultas - En muchas ocasiones el usuario afectado ni siquiera es consciente de estar descargando archivos. Al acceder a una web infectada, es posible que el terminal inicie una descarga en segundo plano de forma automática. Esto es lo que se conoce comúnmente como descargas ocultas, y puede producirse incluso en sitios web perfectamente válidos pero que están comprometidos por malware. La función de protección contra descargas ocultas de Palo Alto Networks protege frente a este tipo de infecciones al solicitar del usuario la verificación de cada una de las descargas que se produzcan, evitando así que se descargue algún archivo sin el conocimiento del usuario. Se trata de una función especialmente útil cuando se trabaja con redes sociales en las que un enlace puede derivar hacia sitios externos desde los que se organizan los ataques por malware en segundo plano. Cifrado selectivo con SSL - A continuación, la empresa ha de establecer algún tipo de estrategia para tratar el tráfico cifrado con SSL. El firewall de nueva generación de Palo Alto Networks permite el cifrado con SSL. Esta función, como el resto de las que ofrece Palo Alto Networks, se puede configurar en función de cada aplicación o tipo de aplicación. Se puede así descifrar toda la comunicación que se realice a través de redes sociales y utilizar por otro lado el filtrado por URL para evitar el descifrado de información personal dirigida a sitios financieros o informativos.
PÁGINA 12
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Recomendaciones principales. Control de aplicaciones vinculantes n Evitar el uso de aplicaciones “nocivas” ● P2P ● Limitar el uso de aplicaciones a los usuarios/grupos que las necesitan Prevención del uso de funciones de riesgo ● Transferencia de archivos ● Anular funciones de escritorio a distancia ● Pasar otras aplicaciones por túnel
n
Prevención de descargas ocultas
n
Cifrado selectivo con SSL en función de las aplicaciones y URL ● Descifrado de redes sociales, correo web, mensajería instantánea ● No descifrar tráfico dirigido o procedente de sitios financieros
n
Inspección y refuerzo de todo el tráfico de riesgo ● Prevención de intrusiones y amenazas ● Protección contra malware ● Filtrado por URL
n
Prevención del uso de circunvaladores En el apartado anterior nos hemos centrado en las aplicaciones de usuario y web 2.0 más comunes que pueden ser compartidas por malware con fines peligrosos para la empresa. No obstante, existe una segunda clase de aplicaciones que se han diseñado de forma proactiva para atravesar la seguridad tradicional de una red sin ningún obstáculo. Destacan las aplicaciones para controlar el escritorio a distancia, los proxys y las aplicaciones diseñadas para burlar los sistemas de seguridad. Algunas de estas aplicaciones tienen cierta utilidad para la empresa, mientras que otras presentan síntomas evidentes de riesgo y comportamientos sospechosos. En cualquier caso, todas merecen ser controladas con esmero por parte de los equipos de seguridad con el fin de evitar la apertura de canales vulnerables en la red corporativa.
Las tecnologías de control a distancia de escritorios gozan de buena aceptación entre usuarios y departamentos de IT. De hecho, la mayoría de las aplicaciones para conferencia incluyen la posibilidad de dejar el escritorio en manos de un usuario a distancia. Este tipo de tecnologías presentan dos riesgos fundamentales: por un lado, cuando un usuario se conecta a su ordenador a distancia, es libre para navegar a cualquier destino y usar cualquier aplicación sin que el tráfico que ello genere pase por el firewall. Además de burlar así la política de seguridad, el escritorio deja abierto un vector descontrolado que queda a merced de cualquier amenaza. Por otro lado, las tecnologías de control a distancia de escritorios presentan el riesgo lógico que conlleva el dejar que un usuario externo obtenga acceso total a un terminal integrado en la red corporativa. Este tipo de controladores a distancia son uno de los principales objetivos de los distribuidores de malware, pues abren una brecha peligrosa para la entrada de intrusos. Encontramos también otras aplicaciones para empresa como SSH que resultan muy útiles para ésta pero que dejan la red corporativa expuesta si no se emplean correctamente. Por ejemplo, la mayoría de las empresas utilizan SSH para PÁGINA 13
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
administrar sistemas y aplicaciones desde una central de datos corporativa. Sin embargo, si se usa SSH para abrir túneles hacia la central, posiblemente se abra un acceso descontrolado a los bienes más valiosos de la empresa. Estas aplicaciones han de ser controladas exhaustivamente y su uso debe quedar restringido a solo algunos usuarios. Al mismo tiempo han evolucionado numerosos proxys web y aplicaciones de conexión cifrada cuyo objetivo principal consiste en facilitar comunicaciones seguras y anónimas a través de firewall y demás infraestructuras de protección. Algunas tecnologías proxy como CGIProxy o PHProxy ofrecen al usuario una forma relativamente segura de navegar sin el control de la empresa, y así se encuentran en el 75% de las redes corporativas. Otras aplicaciones como UltraSurf, Hamachi y Tor están diseñadas específicamente para atravesar infraestructuras de protección y se actualizan periódicamente para permanecer invisibles. Apenas existen motivos válidos para el uso de este tipo de aplicaciones en la empresa, por lo que su presencia suele indicar la ocurrencia de un intento de burlar la seguridad de la misma. Estas herramientas no solamente dejan circular el tráfico de forma descontrolada, sino que además tienden a ser utilizadas para comportamientos de riesgo elevado, como el intercambio de archivos o de contenidos bloqueados, lo cual conlleva un riesgo considerable de infección por malware. Por estos motivos conviene bloquear estas aplicaciones en casi todos los casos.
Consejos Control de los circunvaladores (circunventors) Control de escritorio a distancia Palo Alto Networks facilita a la empresa el control de numerosas tecnologías de control del escritorio a distancia. Al igual que otras aplicaciones, las tecnologías de control del escritorio a distancia se pueden agrupar mediante un filtro para simplificar el control de las mismas. A medida que van apareciendo nuevas aplicaciones de control del escritorio a distancia, Palo Alto Networks desarrolla nuevas App-IDs que se comunican con los filtros de categoría correspondientes, de forma que los usuarios permanecen protegidos en todo momento ante nuevas aplicaciones. Al mismo tiempo, las aplicaciones de control del escritorio a distancia son las primeras que se han de controlar en función del usuario. Así, se debe permitir el acceso a las mismas solamente a aquellos usuarios que las necesitan para el desarrollo de sus tareas, como los equipos de IT y el servicio técnico. SSH Palo Alto Networks permite a la empresa controlar SSH en función de la política que elija. Ni que decir tiene que esto incluye la capacidad para limitar el uso de SSH a los usuarios de IT que realmente lo necesitan. Conviene aclarar también que Palo Alto Networks permite a cada equipo desactivar de forma selectiva la función de comunicación segura de SSH sin tener que desactivar la aplicación por completo. Gracias a esto, la empresa puede utilizar las herramientas que necesite sin correr el riesgo de que se abran canales de entrada a la red. Proxys cifrados Los proxys cifrados son unas de las aplicaciones más complicadas del mundo en lo que respecta al control y el bloqueo, y es con ellas con las que se distingue claramente la calidad de los equipos de investigación. Aplicaciones como UltraSurf, Hamachi y Tor se diseñaron originalmente para eludir censuras, pero han terminado en manos de los hackers gracias a la capacidad que tienen de burlar los controles de seguridad tradicionales. Además, estas aplicaciones se actualizan periódicamente con el fin de eludir la detección por parte de los sistemas de seguridad. Es por ello responsabilidad de los fabricantes de firewalls el mantenerse al día en cuanto a la evolución de este tipo de aplicaciones con el fin de actualizar los sistemas de seguridad convenientemente. A día de hoy, Palo Alto Networks es el único firewall capaz de detectar y bloquear estas aplicaciones. De hecho, los investigadores de Palo Alto Networks actualizan constantemente las App-IDs para así evitar la entrada de este tipo de herramientas.
PÁGINA 14
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Recomendaciones principales. Control de los circunvaladores n Limitar el uso de aplicaciones de control del escritorio a distancia ● IT solamente Habilitar SSH con protección ● Permitir la comunicación segura con SSH pero con restricciones
n
Bloquear el uso de proxys sin autorización
n
Bloquear canales cifrados
n
UltraSurf Hamachi ● Actualizar App-IDs semanalmente ● ●
Protección de usuarios en el exterior Hasta ahora hemos presupuesto una topología de red bastante tradicional en la que se distingue a la perfección el interior del exterior de la misma. Sin embargo, las tecnologías corporativas han evolucionado mucho más allá de los límites físicos tradicionales de la empresa. Hoy los usuarios se llevan a casa sus portátiles con la esperanza de poder trabajar desde allí o en cualquier otro lugar. Esto crea un desequilibrio en la protección de la red, pues cada usuario espera poder realizar cualquier tarea desde cualquier lugar mientras que las estructura de protección de la red (firewalls, IPS, etc.) solamente se aplica cuando el usuario se encuentra dentro del perímetro físico tradicional de la empresa. Por si esto no fuera suficientemente peligroso, el comportamiento del usuario suele resultar bastante más arriesgado fuera de la empresa que dentro, pues aunque sea de forma inconsciente, tiende a aplicar los criterios personales que aplica en casa. Con este tipo de comportamiento aumenta considerablemente el riesgo de hacer clic en un enlace peligroso o de entrar en un sitio web desde el que se ejecuten aplicaciones ocultas.
Consejos GlobalProtect La herramientas GlobalProtect de Palo Alto Networks sirve para enlazar el vacío que existe entre la seguridad tradicional de la empresa y la falta de seguridad que existe cuando el usuario sale del perímetro físico de la misma. Es decir, que GlobalProtect permite al usuario seguir conectado al firewall de la empresa cuando está en casa o de viaje. Esto quiere decir que todo el tráfico que genera el usuario comparte las mismas restricciones y funciones de firewall, IPS, prevención de malware, filtrado por URL y detección de botnets. La solución GlobalProtect es transparente para el usuario y asegura el funcionamiento del firewall corporativo de Palo Alto Networks allá donde vaya el usuario. GlobalProtect además permite el acceso a todas las funciones del firewall de nueva generación, como la de protección frente a descargas ocultas. Con todo esto se consigue una constancia en términos tanto de política corporativa como de prevención de amenazas cualquiera que sea la ubicación de cada usuario. Recomendaciones principales. Protección de usuarios en el exterior n Funcionamiento del firewall y prevención de amenazas desde cualquier lugar ● Incluir GlobalProtect para la protección de usuarios en el exterior Funcionamiento de la protección contra descargas ocultas
n
Funcionamiento de políticas a medida en función de la ubicación del usuario ● Prohibición de descarga de archivos de sitios seguros desde fuera de la empresa
n
PÁGINA 15
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Cómo encontrar un terminal infectado A pesar de los esfuerzos de los equipos de seguridad de la empresa, los terminales siempre terminarán infectados por malware. Ya sea a través de un tipo de malware o un vector desconocidos, o a través de una conexión física USB, es inevitable que se produzcan infecciones, pues ha quedado demostrado una y otra vez que así es hasta con los sistemas más seguros que existen. Por ello es importante que los equipos de seguridad lo asuman tal cual es y que desarrollen las técnicas necesarias para localizar los terminales infectados de la red. No es tarea sencilla, sobre todo cuando posiblemente el malware en cuestión ya habrá logrado eludir las firmas tradicionales y quizá haya logrado acceso total al terminal infectado. Para identificar un terminal infectado es necesario atender no tanto a las firmas de malware como a los comportamientos que se producen en la red. Dado el secretismo y la ingenuidad que caracterizan a las botnets, estas necesitan comunicarse para su funcionamiento resultar tan difíciles de encontrar como de rastrear. Este requisito fundamental forma un patrón concreto que podemos emplear con el fin de identificar el tráfico de bots o determinados comportamientos que destacan sobre el tráfico normal de un terminal, incluso si se trata de un bot completamente desconocido. Detección de tráfico de control y mando Una de las mayores ventajas del firewall de nueva generación es la capacidad para clasificar corrientes de tráfico potencialmente complejas en el nivel de las aplicaciones. Esto incluye la capacidad para escanear progresivamente el tráfico para ir retirando protocolos de dentro de otros protocolos hasta lograr identificar una aplicación en concreto. La experiencia a la hora de analizar hasta el tráfico más complejo resulta indispensable para lograr identificar el tráfico de control y mando característico de las botnets. A todos los efectos, una botnet es una aplicación y el tráfico específico que genera resulta observado por Palo Alto Networks. La detección del tráfico de control y mando es un elemento fundamental del módulo de prevención de amenazas, el cual se actualiza periódicamente junto a otros sensores de contenido y amenazas. Uso de IPS para la detección de botnets Palo Alto Networks también incluye diversas técnicas complementarias que sirven para identificar malware polimorfo en función de los elementos que lo componen. Por ejemplo, SpyEye, una botnet financiera muy conocida, deja espacio libre reservado para que el malware pueda cambiar constantemente de tamaño y con ello el rastro que deja. Sin embargo, SpyEye descarga periódicamente un archivo cifrado de configuración para actualizar el bot. Los investigadores de Palo Alto Networks lograron descifrar este archivo de configuración y descubrieron que todos los archivos de este tipo comparten un mismo patrón, lo cual les permite ahora identificar con el módulo IPS la presencia de un bot hasta en el caso en el que no se reconozca la botnet en cuestión. Este es solo un ejemplo de cómo se puede combinar el módulo ISP con las funciones de detección para localizar una amenaza moderna. Behavioral Botnet Report Aunque las técnicas de investigación descritas son cruciales para la detección de malware, algunas empresas no disponen de tiempo suficiente para realizar análisis manuales del tráfico. La función Behavioral Botnet Report de Palo Alto Networks realiza este rastreo de forma automática e identifica aquellos comportamientos que indican la presencia de un bot. A continuación se detallan las características principales que busca esta herramienta: TCP/UDP desconocidos. Como hemos visto antes, el tráfico de las botnets suele estar cifrado y resultar desconocido. El rastreo del tráfico TCP y UDP desconocido es una buena forma de iniciar la búsqueda de terminales infectados. El informe resultante facilita al personal de seguridad el rastreo del tráfico desconocido por sesiones, destinos y bytes.
n
Presencia de DNS dinámicas. El malware acostumbra a utilizar DNS dinámicas para complicar el rastreo de las comunicaciones de las botnets. Al rebotar tráfico entre los distintos terminales infectados con una lista de direcciones IP que cambia constantemente, seguir el rastro del bot y averiguar el origen y el destino verdaderos puede resultar una tarea muy difícil.
n
PÁGINA 16
Palo Alto Networks: Protección contra botnets con el firewall de nueva generación
Actividad de los sitios con malware conocidos. Como parte de la solución de filtrado por URL, Palo Alto Networks rastrea constantemente aquellos sitios web que voluntaria o involuntariamente han alojado malware. Palo Alto Networks rastrea entonces a aquellos usuarios que visitan sucesivamente estos sitios e intentan descargar archivos.
n
Visitas a dominios recién registrados. Las botnets están en movimiento constante con el fin de eludir los sistemas de detección y para recuperarse cuando un servidor es descubierto y desactivado. Por ese motivo, las botnets a menudo tienen que usar dominios nuevos para mantener la estructura de dominio y mando. Que un usuario visite una y otra vez un dominio recién registrado no es un síntoma evidente de infección, pero sí puede ayudar a confirmarla.
n
Búsquedas de dominios IP en vez de URL. Por el mismo motivo, a veces los bots utilizan para sus comunicaciones direcciones IP de código estricto o rangos IP en vez de URLs, que es lo que utiliza un usuario habitualmente. Al igual que ocurre con los dominios de registro reciente, el uso continuado de dominios IP puede ser síntoma de infección por bot.
n
Tráfico IRC. El tráfico IRC es uno de los métodos de comunicación más conocidos que usan las botnets y resulta de gran ayuda a la hora de localizar un bot.
n
La función Behavioral Botnet Report recopila todos estos factores y los coteja para encontrar síntomas de infección en los terminales. Tras ejecutarse entrega un informe con aquellos terminales que podrían estar infectados e indica los motivos por los que su comportamiento resulta sospechoso.
Resumen de las recomendaciones Establecer un sistema de control positivo e investigar comportamientos desconocidos n Establecer políticas de usos y aplicaciones aprobadas en función de las necesidades de la empresa n Configurar App-IDs a medida en función de las aplicaciones aprobadas n Investigar todo el tráfico “desconocido” en busca de comportamientos típicos de botnet Controlar las aplicaciones vinculantes n Evitar el uso de aplicaciones “nocivas” ● P2P n Reservar el uso de aplicaciones a los usuarios/grupos que las necesiten n Descifrar protocolos SSL en función de las aplicaciones y las categorías de URL ● Descifrar las comunicaciones en redes sociales, correo web y mensajería instantánea ● No descifrar el tráfico dirigido o procedente de sitios financieros n Evitar el uso de funciones peligrosas ● Publicación en redes sociales ● Transferencia de archivos ● Control a distancia n Evitar las descargas ocultas n Inspeccionar y vigilar todo el tráfico de aplicaciones sospechosas ● IPS ● Malware ● Filtrado URL Controlar los circunvaladores n Limitar el uso de funciones de control a distancia de escritorios ● Solamente personal de IT
PÁGINA 17
Palo Alto Networks: Controlling Botnets with the Next-Generation Firewall
Activar SSH con protección ● Vigilar la aparición de canales SSH n Bloquear el uso de proxys sin aprobación n Bloquear canales cifrados ● UltraSurf ● Hamachi ● Actualizar App-IDs semanalmente n
Proteger usuarios en el exterior n Aplicar las funciones de firewall y prevención de amenazas para usuarios externos ● Incluir GlobalProtect para la protección de usuarios externos n Reforzar la protección frente a descargas ocultas n Aplicar políticas a medida en función de la ubicación de cada usuario ● Prohibir la descarga de archivos de sistemas seguros desde fuera de la empresa Localizar terminales infectados n Aplicar las funciones de firewall y prevención de amenazas para usuarios externos ● Incluir GlobalProtect para la protección de usuarios externos n Reforzar la protección frente a descargas ocultas n Aplicar políticas a medida en función de la ubicación de cada usuario ● Prohibir la descarga de archivos de sistemas seguros desde fuera de la empresa
Resumen Las botnets han transformado el mundo del malware y la forma en la que se realizan los ataques a las redes de hoy en día. Se trata de amenazas sofisticadas que permanecen invisibles ante los sistemas de seguridad tradicionales y se caracterizan por su comportamiento inteligente, resistente y versátil. Se necesitan múltiples disciplinas de seguridad para lograr controlar estas amenazas. Aunque no existe ninguna solución capaz de resolver el problema de las botnets por sí misma, el firewall de nueva generación ofrece disciplinas exclusivas de visibilidad, control, integración y prevención que se necesitan para localizar y evitar este tipo de amenazas hoy y en el futuro. Se trata de disciplinas que evolucionan a medida que van apareciendo nuevas técnicas y nuevas formas de riesgo. No dude en ponerse en contacto con nosotros si tiene alguna duda sobre cómo podemos ayudarle a controlar las botnets y a mejorar la seguridad de la red en general.
C/ Caleruega, 79 4º A 28033 Madrid Teléfono: Fax:
902.108.872 917.662.634
www.paloaltonetworks.es e-mail:
[email protected]
Copyright ©2011, Palo Alto Networks, Inc. All rights reserved. Palo Alto Networks, the Palo Alto Networks Logo, PAN-OS, App-ID and Panorama are trademarks of Palo Alto Networks, Inc. All specifications are subject to change without notice. Palo Alto Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Palo Alto Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice. PAN_WP_DC_051811