INFORME DETALLADO DE REPUTACIÓN / Por:Por: Mike Gallagher, Vicepresidente Senior y Director de Tecnología de Inteligencia de Amenaza Global de McAfee
Por: Mike Gallagher,
Vicepresidente Senior y Director de Tecnología de Inteligencia de Amenaza Global de McAfee
www.mcafee.com
Cuando usted va al médico por una enfermedad, ¿cómo determina él exactamente qué anda mal? Generalmente, sigue una serie de pasos, comenzando por preguntar qué le pasa y tomando la temperatura. Basándose en estas dos actividades, puede haber algunas señales de cuál es el problema. Pero también debe correlacionar esa información con decenas de otros datos, como la presión sanguínea, que por sí mismos, no le dicen mucho al médico, aunque en correlación entre sí, dan mucha confianza en la precisión del diagnóstico. A partir de allí, el médico puede tomar medidas para detener la enfermedad donde es probable que vuelva a atacar.
De un modo similar, los sistemas de reputación de seguridad cibernética se basan en la relación de datos entre un gran número de dimensiones. Estos sistemas se han utilizado por años entre muchas disciplinas, desde médicos que diagnostican enfermedades hasta expertos matemáticos que califican los instrumentos financieros, para evaluar situaciones y tomar decisiones.
En la actualidad, las herramientas de cálculo de la reputación son más críticas para la seguridad cibernética que nunca antes, ya que más usuarios tienen acceso a más herramientas en línea mediante más dispositivos e interactúan con colegas, amigos y extraños en más puntos de reunión en línea. La reputación ofrece un nivel reconfortante de seguridad respecto de la identidad e integridad en transacciones críticas profesionales y personales basadas en Internet, en las que es imposible realizar una verificación del mundo físico.
¿Qué es reputación?
Wikipedia define reputación como “la opinión (más técnicamente, una evaluación social) del grupo de entidades acerca de una persona, un grupo de personas o una organización según un criterio determinado”. El tipo de reputación que analizamos en este artículo se ocupa de las entidades electrónicas, desde archivos y remitentes hasta sitios Web.
En primer lugar, las reputaciones son dinámicas y temporales. Por ejemplo, un sitio Web anteriormente legítimo puede infectarse con malware y posteriormente limpiarse en un período breve. Una reputación debe actualizarse tan rápidamente como se actualiza el contenido. En segundo lugar, la reputación de una entidad es muy pocas veces “absolutamente buena” o “absolutamente mala”, sino que se halla más bien en algún punto en la amplia área intermedia, lo que hace que la intersección entre reputación y política ofrezca más facultades a los encargados de la toma de decisiones en seguridad. Por último, la confianza es una consideración fundamental en el cálculo de la reputación. Por confianza entendemos el intervalo de confianza o confiabilidad de nuestra estimación. Mientras más puntos de datos y criterios de evaluación se consideren en el análisis, es probable que la reputación sea más precisa en ese momento. Los cuatro elementos que contribuyen a aumentar la confiabilidad son volumen de los datos, longevidad de los datos, fidelidad de los datos y correlación amplia de los datos.
La reputación se calcula basándose en cientos de millones de entidades electrónicas (archivos, sitios Web, dominios Web, mensajes, servidores DNS y conexiones de red) que usan un sistema de puntuación altamente detallado basándose en una diversidad de información sobre los comportamientos, las características de la entidad y nuestra experiencia de cómo se comportan entidades comparables.
La reputación no es solo un componente importante de cualquier sistema de seguridad, es esencial. Las amenazas se mueven de forma demasiado rápida o sigilosa para confiar en las técnicas tradicionales, como la protección basada en firmas y las listas negras. Si la intención de una amenaza es atacar a tantas computadoras como sea posible, puede propagarse con mucha mayor rapidez que el tiempo que lleva escribir e implementar una firma y las soluciones de lista negra no recogen los matices que sí recoge una puntuación de reputación. En el otro extremo del espectro, vemos amenazas dirigidas con suma precisión cuya meta no es propagarse rápidamente, sino que en cambio evitar la detección, provocar un impacto mínimo y lograr un objetivo muy sutil y dirigido. Para combatir cada uno de estos extremos (y todo lo que hay en medio), los profesionales en seguridad y sus proveedores comprenden que el panorama de amenazas actual exige un sistema que calcule la reputación de una entidad en tiempo real basándose en inteligencia colectiva sobre esa entidad y que después actúe basándose en esa reputación.
Operación Aurora, el ataque contra Google y más de 20 otras empresas a fines de 2009 y a principios de 2010, se valió de un esfuerzo dirigido para apuntar exactamente a un conjunto específico de personas. Los atacantes usaron sofisticadas tecnologías evasivas para obtener acceso a las máquinas de esos usuarios y desde allí a información valiosa y propiedad intelectual de empresas. A pesar de su sutileza y los esfuerzos para evitar la detección, las amenazas como Operación Aurora tienen un número pequeño de entidades asociadas, correos electrónicos que emanan de direcciones IP temporalmente no confiables que atraen a usuarios ingenuos a sitios Web infectados con malware, por ejemplo, cuyas reputaciones pueden cambiar de un momento a otro.
Cuatro elementos que aseguran alta confianza en el cálculo de la reputación
Además de actuar como base para un sólido sistema de reputación, los datos de telemetría son útiles para desarrollar niveles de confianza en las siguientes formas:
• Volumen de los datos. Piense en esto como la abertura en un telescopio: mientras más volumen de datos (luz) ingrese, más profundo podrá ver el observador en el espacio. Esto nos permite ver la actividad de amenazas con rapidez e identificarlas con mayor precisión.
• Longevidad de los datos. Recopilar datos durante un período largo contribuye a la madurez del sistema. Asegura que el sistema de reputación tenga una sólida referencia para la forma en que se espera que se comporten las entidades de acuerdo con su comportamiento anterior y el de sus pares. Esto ayuda no solo a detectar anomalías cuando se producen, sino que también identifica los ataques basándose en patrones reconocidos.
• Fidelidad de los datos. Una consideración importante al abordar sistemas de reputación son los datos fidedignos. Los sistemas de reputación sólidos deben tener mecanismos para autenticar los datos que reciben, así como también para ajustarse a la credibilidad de la fuente. Factores como la ubicación, la configuración y el comportamiento anterior de la fuente de los datos puede afectar cuánto importarán los datos de esa fuente en el cálculo general de la reputación.
• Correlación de los datos. El factor más crítico en un sistema de reputación sólido es la capacidad de recopilar y correlacionar datos de telemetría provenientes de una amplia gama de fuentes que representan a todos los vectores de amenazas. Ser capaces de correlacionar los datos que representan una visión completa de una amenaza es como tener todas las piezas de los bordes en un rompecabezas.
El poder de la reputación
Extraer datos de todos los vectores nos ayuda a comprender una amenaza y ofrece una mucha mayor precisión en el cálculo de la reputación de cualquier entidad involucrada en la amenaza. La noción de seguridad basada en la reputación ha circulado durante años, pero en la actualidad debemos enfrentar un número rápidamente creciente de amenazas que van desde virus de rápida propagación y robos de IP evasivos y dirigidos con mucha exactitud hasta toda la variedad de amenazas relacionadas. Este desafío exige un marco de seguridad objetivo y coherente para comprender y calcular el estado de un conjunto de entidades increíblemente dinámico. Conocer el estado de una entidad con un alto grado de confianza, derivado de un conjunto fidedigno de datos de telemetría correlacionados, es el pilar principal para brindar una protección integral.