Nociones de seguridad de McAfee

La visión del experto: La prevención es el remedio

La amenaza de virus decrece, pero el peligro de fraude electrónico y de troyanos está en aumento. Monty Ijzerman, gerente de contenido de seguridad de McAfee, forma parte de un equipo de elite de investigadores en el área de la seguridad que identifica, calcula y evalúa amenazas para servidores. Ijzerman comparte su perspicacia acerca de la evolución de amenazas y de cómo las empresas pueden protegerse eficazmente contra amenazas combinadas mediante la prevención.

Nociones de seguridad: ¿Qué hay en el horizonte para ataques y exploits en redes y hosts, tales como gusanos, troyanos y virus?

Monty Ijzerman: Los virus son menos frecuentes, pero el fraude electrónico y los troyanos con malware son cada vez más comunes. De acuerdo con el Anti-Phishing Working Group, los sitios de phishing crecieron un 24% de julio a diciembre de 2004, con más de 1.700 sitios de phishing activos informados en diciembre de 2004.

Las amenazas combinadas que usan más de un tipo de exploit han aumentado durante el último año. En el pasado, el malware podía transmitirse por correo electrónico e iniciarse cuando un usuario abría un archivo adjunto. Ahora usa más de una vulnerabilidad. Si un equipo está protegido contra la vulnerabilidad A, el malware intenta aprovechar las vulnerabilidades B y C.

Por ejemplo, el objetivo inicial puede ser el servidor de correo electrónico corporativo, y una vez que se comprime, el ataque continúa. El intruso encuentra la forma de ingresar al perímetro, y cuando lo logra, instala un bot (una herramienta de control remoto) que comienza a atacar equipos de distintos tipos. De este modo, el intruso puede ir de un servidor de correo electrónico a un computador y luego volver a servidores Web. El impacto en la empresa es que la protección necesita ser capaz de manejar ataques combinados.

Nociones de seguridad: ¿Espera ver otro ataque de día cero considerable en 2005?

Ijzerman: En los últimos tres o cuatro años, un gusano se ha propagado globalmente una vez al año aprovechando una sola vulnerabilidad. Lo más seguro es que este año tendremos al menos un ataque.

Cuando aparecieron estos gusanos, Microsoft pudo conocer las vulnerabilidades subyacentes y poner parches a disposición de los usuarios. Sin embargo, si estos parches no se aplican, los gusanos se pueden propagar con mucha facilidad.

Nociones de seguridad: ¿Hay alguna mejoría?

Ijzerman: Los clientes lograron mejorar su protección contra virus en la segunda mitad de 2004. Las organizaciones de IT han logrado mejorar la aplicación de parches de Microsoft al sincronizar sus procesos internos con los martes de parches de Microsoft.

Una amenaza en evolución

Nociones de seguridad: ¿Cómo está cambiando la actual amenaza a la seguridad? ¿Qué tipos de ataques son más comunes en este momento?

Ijzerman: Los ataques de programas espía, programas publicitarios y fraude electrónico son los más graves. La protección contra el fraude electrónico requiere educar a los usuarios sobre los peligros de posibles programas no deseados y contar con buenas herramientas para prevenir la amenaza. Algunos de estos fraudes son muy sofisticados. Incluso un usuario consciente de la seguridad puede descargar accidentalmente software no deseado o ser engañado por fraude.

Los tipos de ataques también están cambiando. En la actualidad, la mayoría de los ataques se encuentra en archivos de medios como
WAV o en imágenes como GIF. Recientemente, hubo un problema en el cual se podía producir un ataque si se descargaba una lista de reproducción en el Reproductor de Windows Media. La buena noticia es que McAfee® VirusScan® 8.0i
brinda protección para computadores contra malware oculto en imágenes o en archivos de medios.

Los ataques en imágenes o archivos de medios intentan desbordar un buffer en la memoria. Si el buffer se desborda, los datos se escriben en otro lugar de la memoria, y si el ataque se realiza correctamente, un intruso puede ejecutar código malicioso. McAfee Entercept® protege sistemas host y servidores contra la ejecución de programas maliciosos como resultado de buffer overflows (o desbordamientos de buffer), y percibe estos ataques incluso si corresponden a día cero.

Nociones de seguridad: ¿Quién escribe o desencadena los ataques? ¿Se diferencian los autores de gusanos de quienes escriben programas publicitarios y programas espía?

Ijzerman: Sólo se atrapó a quienes escribieron los gusanos Sasser y Blaster. La mayoría de los escritores de virus permanece en el anonimato. Prácticamente no hay informes sobre cibercrimen organizado. Quienes escriben programas espía y programas publicitarios tienen principalmente motivaciones financieras.

Con los programas espía y los programas publicitarios, ellos instalan en sistemas de computadores software que puede ser deseado o no deseado. Se trata de posible software no deseado. En ocasiones, aparece repentinamente un cuadro desplegable que pregunta "¿Acepta instalar este software?" Si se comete un error y se hace click en "Aceptar", se accede a instalar este software. Esto no es ilegal.

Otras empresas de programas espía y programas publicitarios instalan software a hurtadillas. Hay trucos para combinar las vulnerabilidades de Microsoft Internet Explorer y mover software a un equipo. Se transforma en programa espía cuando no se ha dado el consentimiento. Los programas espía pueden ser inofensivos, tal como anuncios emergentes, o dañinos si intentan obtener números de tarjetas de crédito.

Para estar protegido, es necesario ejecutar software contra programas espía, tal como McAfee AntiSpyware. McAfee AntiSpyware detecta y elimina aplicaciones tales como capturadores de teclado, programas de control remoto y hackers de navegadores que se pueden usar en el robo de identidad. También detiene programas publicitarios que abren esos molestos cuadros emergentes y agotan los recursos de los sistemas.

Un perímetro permeable

Nociones de seguridad: ¿Es suficiente una defensa de múltiples capas contra estos ataques? ¿Cómo cambia la protección de activos de información a medida que la noción de un perímetro de red corporativa pierde su significado?

Ijzerman: El perímetro de red corporativa como se conoció hace diez años dejó de existir. Las personas conectan sus equipos portátiles en sus casas o en quioscos de aeropuertos y luego los regresan a la empresa, lo que permite vulnerar el perímetro. Esto significa que un sistema de defensa de múltiples capas debe ser más que sólo confiar en un firewall y en una solución antivirus.

La protección mediante el bloqueo de ataques es más importante. El bloqueo de ataques se puede realizar mediante sistemas de prevención de intrusos en redes tales como McAfee IntruShield® o con sistemas de prevención de intrusos en hosts tales como McAfee Entercept. Si las empresas usan IntruShield, el tráfico malicioso se intercepta y se bloquea en la red. Si un ataque logra ingresar a la red e intenta hacer algo en el servidor, o si se inicia localmente, Entercept lo bloquea.

Los departamentos de IT corporativos deben escanear sus sistemas en busca de vulnerabilidades. Los administradores de IT deben conocer su propia red y las aplicaciones que ejecutan sus servidores y sus computadores. Deben asegurarse de que sus sistemas estén parchados. McAfee Foundstone es una de las mejores soluciones para hacerlo. Foundstone permite que los administradores de IT midan en forma continua y protejan activamente sus valiosos activos corporativos, lo que les permite concentrar sus limitados recursos en proteger los elementos más importantes.

Las empresas deben imponer enfáticamente el uso de políticas para los computadores. Asegúrese de que los empleados estén seguros mientras navegan en Internet. Aquí, en McAfee, si visito un sitio Web sospechoso, la política de la empresa me bloquea. Tampoco puedo instalar software en mi equipo corporativo.

Las empresas también necesitan un proceso de respuesta ante incidentes para que puedan detener un problema y deshacerse de él de manera segura y organizada.

Nociones de seguridad: ¿Qué soluciones pueden adoptar las empresas para proteger sus redes y sistemas?

Ijzerman: La mejor estrategia es tener una defensa de múltiples capas y bloquear los ataques cuando se producen. Elija un proveedor que ofrezca una solución de seguridad integral, desde antivirus y software contra programas espía hasta sistemas de prevención de intrusos en redes y en hosts. Es realmente difícil tener muchos productos de distintos proveedores y estar seguro de que se está protegido.

Recursos

Consulte la Demostración de amenazas encriptadas.