El cortafuegos y el antivirus como defensa de la red han sido una pareja imbatible durante años para luchar contra el código y las comunicaciones maliciosas. Pero su efectividad empieza a ponerse en duda, no porque funcionen mal sino porque solo funcionan «durante» y «después» del ataque, pero no pueden hacer nada antes. A medida que la prevención adquiere mayor importancia se hacen necesarias otras soluciones de seguridad que cubran este terreno.
Una intrusión se compone de diferentes estadios: reconocimiento, puesta en escena, lanzamiento del ataque, explotación, instalación, retorno y persistencia. Cortafuegos y antivirus paran muchos ataques en estos estadios, el cortafuegos en la red y el antivirus en los «endpoints», pero la velocidad y volumen de las nuevas técnicas y herramientas de ataque hacen que muchos no sean detectados durante minutos e, incluso, meses.
Contenido del post
Los cortafuegos y antivirus, insuficientes
Los cortafuegos saben si una dirección de Internet Protocol (IP) de una conexión de red está limpia, o está dentro de una lista negra o una lista de reputación. Pero la empresa que usa un cortafuegos como protección tiene que esperar a que haya un ataque para recolectar y analizar una copia del tráfico. Solo así y con esta información ganará en inteligencia sobre la infraestructura usada en el ataque.
Por su parte, las soluciones antivirus saben cuándo un «hash» coincide con una firma en una base de datos de virus o heurística. Pero pasa lo mismo que con los cortafuegos: la empresa debe esperar hasta que el sistema sea atacado para recolectar y analizar una muestra del código. Entonces, y con esta información, se consigue inteligencia sobre el ataque.
La solución a este problema no pasa por «tirar a la basura» cortafuegos y antivirus. Que estas formas de defensa no puedan parar todos los ataques no significa que no tengan ninguna efectividad. Siguen siendo útiles, aunque no de una forma crítica ni para defender contra ataques que tengan diferentes etapas.
Las amenazas no tienen una fecha de caducidad. Cada espécimen de malware que se haya creado puede estar circulando en algún momento en nuestras redes y puede ser detectado por el antivirus. Las soluciones antivirus basadas en detección por firma son aún efectivas a la hora de prevenir que muchas amenazas ya conocidas infecten nuestros sistemas, sin importar por qué vector llegan: correo electrónico, sitio web o pendrive.
Respecto a los cortafuegos, estos son efectivos para defender dentro de la red y también en su perímetro. Pueden detectar actividades de reconocimientos de los atacantes, por ejemplo escaneos de IPs o de puertos, denegar movimientos laterales segmentando la red y reforzar las listas de control de acceso.
Ahora bien, antivirus y cortafuegos no son suficientes para el volumen y complejidad de los ataques de hoy en día. Se hace necesaria una revisión de la inversión y apostar por nuevas formas de defensa en equilibrio con las ya existentes. Para ello, es importante incorporar herramientas que puedan llevarse bien con las que ya están instaladas y funcionando en nuestra red.
Cisco Umbrella: la solución de seguridad idónea
La plataforma de seguridad Umbrella de Cisco aporta la parte de qué adolecen antivirus y cortafuegos: observa la infraestructura de la red antes de que se lancen los ataques y puede prevenir las conexiones maliciosas desde Internet. Umbrella tiene en cuenta cada una de las etapas del ataque, desde el reconocimiento hasta la persistencia.
La plataforma Umbrella no necesita esperar al ataque, a la instalación de malware o a la infección de los sistemas para recabar información y defenderse. Solo analizando una parte de la actividad mundial de Internet podemos observar continuamente cómo se crean nuevas relaciones entre nombres de dominio, direcciones IP y Números de Sistema Autónomos (ASNs). Esta visibilidad nos permite descubrir -y muchas veces predecir- dónde se están preparando los ataques y actuar antes incluso de que se lleven a cabo.
De esta forma, Umbrella de Cisco se convierte en la primera capa de defensa contra las amenazas en Internet, sea donde sea que vayan los usuarios. Al aprender a partir de pautas de actividad en Internet, Umbrella automáticamente cubre amenazas actuales y emergentes. Y por ser una plataforma construida en la misma Internet, Umbrella bloquea las amenazas antes de que lleguen a su red o a sus «endpoints».
Como dice la consultora Gartner, «los ataques dedicados y avanzados están traspasando demasiado fácilmente los cortafuegos tradicionales y mecanismos de prevención basados en firmas. Todas las organizaciones deberían asumir que están en estado de compromiso continuo».
La realidad, según Gartner, es que «ninguna tecnología de seguridad es suficiente, los hackers están trabajando a todas horas para derrumbar la última defensa. Por eso hay que invertir en defensas para la ultimísima amenaza, así como para todas las amenazas experimentadas en el pasado».