• Tweet

Por:
Douglas Schweitzer

La filosofía de muchos corporativos de TI actuales proviene de una vieja actitud que cuando hay un problema, solo había que aumentar el hardware o el software. Esa filosofía no repara en que los administradores al ver el panorama pueden dar una respuesta más robusta y proactiva con los recursos que cuentan. Los sistemas de detección de intrusos son un buen ejemplo.

"Las PyMEs [Pequeñas y medianas empresas] no necesitan IDS. Necesitan políticas de firewall más restrictivas de las que usan. Si no eres muy vulnerable a ataques, no necesitas un IDS. El problema es que estos individuos quieren ignorar la seguridad y el IDS no lo permitirá." indicó Marcus J. Ranum, CSO de Tenable Security en Columbia, Md.

El "factor ignorancia" ha sido un gran problema en el mejoramiento y la administración de los sistemas. Tristemente, esta perspectiva parece moverse hacia la seguridad. No habia sido más evidente que en la actual "seguridad manía", donde enormes sumas de dinero se destinan a las últimas y más reconocidas herramientas de seguridad.

Una mania son los sistemas de detección y prevención de intrusos. Despues de la instalación, algunos administradores encuentran abrumadores los datos que se producen. Frecuentemente, se debe a que las organizaciones tienen una variedad de defectos en sus redes -- problemas que felizmente ignoran --. Muchas compañías han pretendido que está bien pasar por alto la compartición de archivos de los empleados, escaneos de la red o la proliferación de botnets corriendo debajo de sus narices.

"Prácticamente cada cliente que he visto se queja de que su IDS es muy ruidoso, esta en una contradicción", dijo Ranum. "Cuando observamos los logs usualmente encontramos que el verdadero problema es que sus redes eran un enredo, sus políticas de seguridad eran ignoradas y los hackers tenían un día de campo con sus servidores internos."

Demanda experiencia entender el significado de los reportes de los IDS; sin embargo, el problema es que muchas organizaciones desean mantener funcionando sus redes sin tener que entender lo que significan algunos de estos ataques. "¿Pero sabe que- No puede tener una red importante sin entender esta materia", agrego Ranum.

El análisis de los registros es otra área en la que la ignorancia aparece. Los registros, que son generados por abundantes dispositivos de seguridad, en ocasiones pueden mostrar una imagén sombría de los administradores de red o seguridad. Por lo tanto los ignoran o los eliminán. Los regsitros contienen información que puede beneficiar todas las áreas de seguridad de la red.

Cuando se revisan los registros, hay que tener en mente que no hay una regla que indique "qué se busca" porque eso es lo que un IDS hace. También es la razón de que muchos sistemas de detección de intrusos no funcionen muy bien. Ranum cree que un analista de registros debe trabajar por exclusión. En lugar de buscar problemas, descartar datos que sabe que estan bien. También, mantener estadísticas de datos dudosos cuando se presenten y darles seguimiento si cambian repentinamente. Un tipo importante de registros es lo que permite el firewall. Registrar "lo permitido" asi como "lo negado" puede ligarse a una lista negra de sitios spyware, tal como la de http://www.squidguard.org.

"Apoyamos que los clientes colecten y protejan todos los registros generados por los dispositivos de red y de seguridad, y que construyan una plataforma que pueda expanderse para incluir los datos creados por aplicaciones y hosts", dijo Jim Melvin, VicePresidente Ejecutivo de desarrollo de negocios de Network Intelligence Corp. en Westwood, Mass."esa información [ debe ser compartida ] en los diferentes niveles, del administrador de la red a la junta directiva."

Llegará el momento en que los involucrados en las TI finalmente entiendan que tienen un gran problema a vencer en el manejo de millones de registros que son generados. Más importante, empezarán a ver qué puede pasar cuando no hagan nada. Indicó Ranum: "Muchas organizaciones que piensan que están protegidas muy fuertemente' no están 'protegidas lo suficiente'".