Ningún sistema debería ser una isla… pero algunos sistemas sí deberían de serlo. En la era de la conectividad e intercambio de información donde la tendencia es vincular y no aislar, ¿por qué razón vengo a platicarles de aislamiento e incomunicación?
La explicación es sencilla: para proteger a sistemas críticos dentro de la red corporativa.
Los ataques dirigidos de hoy siguen ciertos pasos, aquí resumidos:
· El atacante desea tener acceso a cierta base de datos o servidor crítico. Pero da la casualidad que ese sistema no está visible desde Internet o lo está pero muy bien protegido en el perímetro.
· El atacante identifica cuentas de correos y posiciones de empleados de la empresa víctima. Esto se puede hacer googleando, desde la página web del corporativo o echando mano de redes sociales, por poner unos ejemplos.
· Lanza una serie de correos especialmente redactados y coherentes para que el empleado se vea tentado a darle click en las ligas que ahí aparecen. A esta técnica se le llama spear phishing.
· Una vez que al menos uno de los empleados hace click en la liga, es enviado al sitio malicioso del atacante donde explota una debilidad de Flash Player, Internet Explorer u otra aplicación del sistema del empleado. Esto se puede repetir varias veces probando diferentes medios de explotación hasta lograr el objetivo. Seguro algo estará desactualizado (y en casos extremos y atacantes hábiles, se pueden usar debilidades desconocidas llamadas de día cero).
· Una vez que el equipo del empleado es comprometido, el atacante empieza a buscar dentro de la red interna a la base de datos o servidor deseado, lo compromete y obtiene la información que busca.
· Todo fue posible gracias a que los sistemas de los empleados tienen visibilidad con todo tipo de servidores en la red.
Lo anterior no es ficción. Basta usar Google con las palabras “RSA attack excel flash” para llegar a la noticia de cómo esta empresa llamada RSA (dedicada a la seguridad) fue hackeada. Verán que son los pasos que comenté y se trata de un ataque dirigido. Si se dan cuenta no es un ataque masivo (como el de un gusano que tiene el objetivo de atacar una gran cantidad de equipos), sino un ataque quirúrgico (de ahí su nombre “dirigido” porque el atacante desea vulnerar a una empresa en específico y hasta saben qué es lo que buscan).
Para este tipo de ataques especializados y dirigidos, las protecciones tradicionales (entiéndase firewall perimetral o antivirus) no van a ser de utilidad. Y uno de los controles más efectivos y que posiblemente no involucre la compra de un producto, es el aislamiento parcial o total de sistemas críticos.
El aislamiento parcial se refiere a por ejemplo cerrar con un ruteador/switch o un detector de intrusos basado en sistema (HIDS) todos aquellos puertos que no son requeridos y permitir comunicaciones de manera puntual sólo a ciertos sistemas. Tenemos entonces una restricción por puerto específico y por dirección IP. Es importante que esto se haga con los sistemas que valga la pena; es un hecho que la administración de estas reglas restrictivas tan detalladas pueden volverse inmanejables.
También tenemos el aislamiento total. ¡Vaya! ¿Quién querría tener sistemas asilados totalmente de otras redes y sistemas corporativos? ¿Cómo se compartirían datos? Ok, concedido, esta solución no es para todos y suena mucho más atractivo un aislamiento parcial; pero al menos a cierta planta nuclear de Irán le hubiera servido este esquema. Usando Google busquemos “Stuxnet usb nuclear plant”. Este bichito StuxNet precisamente aprovechó un aislamiento sólo parcial (de red) y como adivinarán, se coló a sistemas dizque aislados vía…¡un USB! Dicho dispositivo infectado fue introducido directamente dentro de los sistemas y le dijo adiós a esa incomunicación que todos daban por sentado. Aislar totalmente y como su nombre lo indica, significa aislar por completo. El USB forma un “puenteo” y por lo tanto tendríamos redes semi-aisladas.
En fin. Los dejo con una pregunta ¿Los servidores de su empresa pueden ser contactados por cualquier sistema de la red interna?
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.