FLOG!

Hace unas semanas tuvimos una experiencia laboral que me interesa contar y luego analizar algunos hechos. La historia fue así:

Llegamos, con mis compañeros de trabajo, a las instalaciones de un cliente para, entre otras cosas, instalar un firewall The Block (uno de los modelos para la solución Blockware que brinda Openware).

Al llegar a la organización nos indicaron que no tenían Internet y, por lo tanto, nosotros no podríamos instalar el firewall. Se nos encomendó la tarea, entones, de investigar las causas y solucionar la falta de Internet en la organización para, luego, poder dejar el nuevo firewall en producción.

No voy a contar los detalles técnicos que se sucedieron a continuación pero les puedo indicar que fueron muchas horas de trabajo intentando descubrir por qué no había Internet.

Entre otras cosas, supusimos en primera instancia un problema en el proveedor de Internet pero, luego de hablar con ellos y analizar con más profundidad la infraestructura pudimos determinar que el enlace a Internet estaba funcionando correctamente. Luego entonces intentamos encontrar la causa interna sobre por qué no se podía acceder a Internet: desechamos problemas en los cables, en los switches, en el mismo firewall, en la topología de red hasta que, finalmente, dimos con la causa.

Les recuerdo nuevamente que esto es un simple resúmen de la historia y que este trabajo de analizar las causas nos llevo varias horas. Descubrimos que una Pc estaba saturando el ancho de banda que tenía la empresa, que no eran pocos: 2 megas. Pudimos descubrir que esta Pc estaba infectada con un malware que generaba tráfico ICMP hacia Internet y saturaba el enlace hasta hacerlo caer. Finalmente le indicamos al personal de sistemas de la empresa que desconecten la Pc de la red y la conexión a Internet se restableció a sus velocidades correctas. También dimos la indicación de hacer un backup de la información y formatear el ordenador infectado.

El relato, es un hecho completamente real. La historia parece simple pero quiero que refresquemos este hecho: en una organización con más de 400 ordenadores, uno solo infectado con malware logró que toda la organización estuviera practicamente un día sin Internet, con lo que eso implica para una empresa hoy en día.

En cuanto al ataque, se puede encontrar más información en este enlace sobre malware generando denegaciones de servicio utilizando tráfico ICMP.

Sin embargo, me interesa comentar algunas conclusiones que pude sacar al respecto luego de haber podido solucionar el incidente.

En los últimos años la protección contra virus y todo tipo de archivos maliciosos se volvió a la vez indispensable, pero a la vez insuficiente si se quiere proteger la seguridad de forma completa. Es decir, hace quince años ya teníamos antivirus pero no eran tan importantes otros factores de la seguridad como firewall o detectores de intrusos en la seguridad perimetral, entre otros. El campo de la seguridad informática ha avanzado, los ataques han evolucionado y son importantes un montón más de factores y medidas para tener un Sistema de Gestión de Seguridad Informática completo.

El problema, es cuando se confunde insuficiente con innecesario. Hace quince o diez años los virus eran la novedad en Seguridad Informática y claramente hoy existen nuevos factores y amenazas a considerar. Sin embargo, el hecho de que la protección anti-malware sea hoy insuficiente, la hace más indispensable aún.

En el ideario común, pareciera que tener en el ordenador una o dos infecciones de malware, no es un tema para preocuparse. Pero trasladar esta idea a infraestructuras empresariales es de sumo riesgo. Muchas empresas (e incluso personal de Sistemas) consideran que tener instalados antivirus en los ordenadores de los usuarios de forma local es protección suficiente para la organización y no hay idea más equivocada que esta. La experiencia que conté al comenzar es un ejemplo de ello (el ordenador infectado tenía un antivirus instalado).

En el caso empresarial, el riesgo a las infecciones de todo tipo de software malicioso debe ser mitigado a través de un plan de Gestión de Malware.

Cuando digo Gestion de Malware me refiero básicamente al siguiente conjunto de elementos:

• Instalación de solución anti-malware del tipo empresarial. Esto significa, no solo la instalación de forma local, sino también la capacidad de gestionar las actualizaciones y amenazas de forma centralizada a través de servidores de anti-malware. Todas las empresas antivirus ofrecen este tipo de soluciones que difieren considerablemente de la instalación de un antivirus de forma local en el ordenador. Además, existen soluciones específicas para servidores de archivos, de correo y todo tipo de protecciones adicionales a los ordenadores finales.
• Gestión de la solución. La sola instalación del software es el comienzo de la gestión. Es importante asignar responsabilidades en el área de Sistemas para hacer un seguimiento de la solución a través de los servidores de antivirus. Las tareas principales a realizar son: revisión de las actualizaciones (asegurarse que todos los ordenadores estén con la base de firmas actualizadas) y revisión de las amenazas (chequeo de las infecciones que se han encontrado en los ordenadores y seguimiento de que las desinfecciones sean realizadas correctamente). Es importante investigar sobre las infecciones que ocurrieron para conocer su funcionamiento y sus riesgos y priorizarlas según corresponda.
• Plan de concientización interna. La capacitación y educación de los usuarios es la principal herramienta contra los virus y todo tipo de software malicioso. Actualmente, la mayoría de las amenazas cuentan con la complicidad del usuario para propagarse por las redes e infectar ordenadores. Es por ello que es necesario generar un cultura en los usuarios de la empresa para que conozcan cuáles son las amenazas existentes y cuáles las mejores prácticas para minimizar los riesgos.

Con estos tres elementos, el riesgo de que la red de la organización se vea infectada se reduce considerablemente y es la forma correcta de actuar ante esta amenaza del malware cuyo crecimiento es exponencial día a día.

Como dije al comenzar, la gestión de malware no es la clave de la seguridad, pero sí un primer paso mínimo pero indispensable para trabajar en un plan de seguridad empresarial completo y efectivo.

A futuro, intentaré dejar una serie de post relacionados al tema de malware para que los lectores puedan conocer un poco más cuáles son las principales amenazas a las que están expuestos y poder darle continuidad a uno de los ejes en la protección de la información en cualquier empresa.

Esta entrada ha sido publicada el Sábado, Abril 12th, 2008 at 6:34 PM y esta archivada bajo la categoría Openware, Seguridad, TI. Puede seguir todas las respuestas de esta entrada a través del feed RSS 2.0. Puede dejar un comentario, o agregar un enlace a su propio sitio.